Computer Internet Forensics Τεχνική και Νοµική ιάσταση

Πανεπιστήµιο Αιγαίου Τµήµα Μηχανικών Πληροφοριακών & Επικοινωνιακών Συστηµάτων Μεταπτυχιακό ίπλωµα Ειδίκευσης στις Τεχνολογίες και ιοίκηση Πληροφοριακών & Επικοινωνιακών Συστηµάτων Κατεύθυνση: Ασφάλεια Πληροφοριακών & Επικοινωνιακών Συστηµάτων Computer Internet Forensics Τεχνική και Νοµική ιάσταση Επιβλέπουσα: Λίλιαν Μήτρου, Μόνιµη Επίκουρη Καθηγήτρια Φοιτητής: Μαραγγός Νικόλαος Καρλόβασι, Φεβρουάριος 2011

Πρόλογος Με την ολοκλήρωση της διπλωµατικής εργασίας, θα ήθελα να ευχαριστήσω την επιβλέπουσα καθηγήτρια κ. Λίλιαν Μήτρου για την πολύτιµη καθοδήγησή της καθ όλη την διάρκεια εκπόνησης της εργασίας και για τις χρήσιµες και ενδιαφέρουσες συζητήσεις που είχαµε. Επίσης, θα ήθελα να εκφράσω τις ευχαριστίες µου προς το Ίδρυµα Κρατικών Υποτροφιών (Ι.Κ.Υ.) για την υποτροφία που µου χορήγησε µε σκοπό την πραγµατοποίηση των µεταπτυχιακών µου σπουδών. Καρλόβασι, Φεβρουάριος 2011 Νίκος Μαραγγός 2

Περιεχόµενα Πρόλογος 2 Περιεχόµενα 3 Περίληψη 6 1. Εισαγωγή 7 2. Ηλεκτρονικό Έγκληµα 11 2.1. Εισαγωγή 11 2.2. Χαρακτηριστικά ηλεκτρονικού εγκλήµατος 12 2.3. Κατηγορίες ηλεκτρονικού εγκλήµατος 15 2.3.1. Εγκλήµατα που διαπράττονται τόσο σε κοινό όσο και σε ηλεκτρονικό περιβάλλον 15 2.3.2. Εγκλήµατα που διαπράττονται µόνο σε ηλεκτρονικό περιβάλλον 16 2.3.3. Γνήσια διαδικτυακά εγκλήµατα ή εγκλήµατα κυβερνοχώρου 16 3. Κατανοώντας τα Computer Forensics 18 3.1. Εισαγωγή 18 3.2. Ιστορική αναδροµή 21 3.3. Γενικές έννοιες και ορισµοί 23 4. Ψηφιακά Αποδεικτικά Στοιχεία 27 4.1. Τι είναι τα ψηφιακά αποδεικτικά στοιχεία 27 4.2. Προέλευση των ψηφιακών αποδεικτικών στοιχείων 27 4.3. Ασφάλιση και αξιολόγηση του χώρου του συµβάντος 30 4.4. Τεκµηρίωση του χώρου του συµβάντος 32 4.5. Συλλογή ψηφιακών αποδεικτικών στοιχείων 34 4.5.1. Άλλες µορφές αποδεικτικών στοιχείων 38 4.5.2. Άλλες ηλεκτρονικές και περιφερειακές συσκευές µε πιθανά στοιχεία 38 4.6. Ευάλωτα δεδοµένα 39 4.6.1. Τι είναι τα ευάλωτα δεδοµένα 40 4.6.2. Γιατί θεωρούνται σηµαντικά τα ευάλωτα δεδοµένα 41 4.6.3. Μεθοδολογία συλλογής των ευάλωτων δεδοµένων 41 4.7. Μόνιµα δεδοµένα 43 4.7.1. Τι είναι τα µόνιµα δεδοµένα 43 4.7.2. Γιατί θεωρούνται σηµαντικά τα µόνιµα δεδοµένα 44 4.8. Μοντέλα ασφαλούς ανάκτησης και ανάλυσης ψηφιακών δεδοµένων/αποδεικτικών στοιχείων 44 4.8.1. Μοντέλο Forensics Process 45 4.8.2. Μοντέλο Abstract Digital Forensics 46 4.8.3. Μοντέλο Integrated Digital Investigation 47 4.9. Συσκευασία, µεταφορά και αποθήκευση των ψηφιακών αποδεικτικών στοιχείων 55 4.9.1. ιαδικασία συσκευασίας 56 4.9.2. ιαδικασία µεταφοράς 57 3

4.9.3. ιαδικασία αποθήκευσης 57 5. ιαδικασία των Computer Forensics 58 5.1. Εισαγωγή 58 5.2. Συλλογή 59 5.3. Προετοιµασία Εξαγωγή 60 5.4. Αναγνώριση 61 5.5. Ανάλυση 63 5.6. Τεκµηρίωση της έρευνας 64 5.7. Εξακρίβωση της γνησιότητας των ψηφιακών αποδεικτικών στοιχείων 65 6. Ερευνητικά Εργαλεία και Εξοπλισµός των Computer Forensics 67 6.1. Εισαγωγή 67 6.2. Γιατί γίνεται χρήση ειδικού λογισµικού εργαλείων 69 6.2.1. Ορθή απόκτηση και διατήρηση των ψηφιακών αποδεικτικών στοιχείων 69 6.2.2. Εξακρίβωση της γνησιότητας των δεδοµένων που συλλέγονται για παρουσίασή τους στο δικαστήριο 70 6.2.3. Ανάκτηση όλων των διαθέσιµων δεδοµένων, συµπεριλαµβανοµένων και των αρχείων που έχουν διαγραφεί 70 6.3. ιαθέσιµο λογισµικό εργαλεία 71 6.3.1. EnCase 71 6.3.2. Sleuth Kit 72 6.3.3. Live View 73 6.3.4. OpenedFiles View 73 6.3.5. WireShark 74 6.3.6. Live Response 74 6.3.7. netcat cryptcat 74 7. Internet Forensics 76 7.1. Εισαγωγή 76 7.2. Ορισµός και προκλήσεις των internet forensics 77 7.3. Κατηγορίες συλλογή των αποδεικτικών στοιχείων 78 8. Anti Forensics 80 8.1. Εισαγωγή 80 8.2. Κατηγορίες των µεθόδων Anti Forensics 82 8.2.1. Απόκρυψη δεδοµένων 82 8.2.2. Εκκαθάριση δεδοµένων 83 8.2.3. Απόκρυψη ηλεκτρονικού µονοπατιού 84 8.2.4. Επιθέσεις ενάντια στα εργαλεία των computer forensics 85 8.3. Ζητήµατα Ιδιωτικότητας 86 8.3.1. Ο όρος της ιδιωτικότητας 87 8.3.2. Ιδιωτικότητα και computer forensics 88 4

9. Θεσµικό Πλαίσιο 90 9.1. Εισαγωγή 90 9.2. Ελληνικό κανονιστικό πλαίσιο 91 9.2.1. Το Σύνταγµα και η προστασία των ατοµικών δικαιωµάτων 92 9.2.1.1. Προστασία ιδιωτικού βίου και προσωπικών δεδοµένων 92 9.2.1.2. Προστασία απορρήτου 93 9.2.1.3. Άλλες ρυθµίσεις 96 9.3. Ευρωπαϊκή νοµοθεσία 97 9.3.1. Συµβούλιο της Ευρώπης και έγκληµα στον κυβερνοχώρο 97 9.3.2. Η Συνθήκη της Βουδαπέστης 98 9.3.2.1. Μορφές εγκληµάτων 99 9.3.2.2. ιαδικασίες διερεύνησης εγκληµάτων 102 9.3.3. Η θέση της Ε.Ε. απέναντι στο διαδίκτυο 106 9.3.3.1. Παράνοµο περιεχόµενο του διαδικτύου 106 9.3.3.2. Επιβλαβές περιεχόµενο του διαδικτύου 107 9.3.4. Ευρωπαϊκό ένταλµα συγκέντρωσης αποδεικτικών στοιχείων 108 9.4. Νοµοθεσία των ΗΠΑ 109 9.5. ιεθνείς οργανισµοί σχετικοί µε το ηλεκτρονικό έγκληµα 111 9.5.1. CERT 111 9.5.2. FIRST 111 9.5.3. IC3 112 9.5.4. Interpol 112 9.6. Συνοψίζοντας 113 10. Συµπεράσµατα 116 11. Αναφορές 118 5

Περίληψη Η ενσωµάτωση του υπολογιστή και γενικότερα των συστηµάτων πληροφορικής στις προσωπικές, εµπορικές, εκπαιδευτικές, κυβερνητικές και άλλες πλευρές της σύγχρονης ζωής έχει ως αποτέλεσµα την βελτίωση την παραγωγικότητας και της αποτελεσµατικότητάς τους. Αναπόφευκτα ο υπολογιστής, εφόσον έχει την δυνατότητα να διεισδύσει παντού, λειτουργεί και ως εργαλείο για παράνοµη δραστηριότητα. Τα ηλεκτρονικά αυτά εγκλήµατα που διαπράττονται µέσω υπολογιστή αποτελούν είτε νέες µορφές εγκληµάτων ή εγκλήµατα υπό την κλασσική έννοια που απλώς οι χρήστες τους τα εκτελούν µε την χρήση ηλεκτρονικού υπολογιστή. Ο εντοπισµός, η σύλληψη και η δίωξη των εγκληµατιών που εµπλέκονται σε ηλεκτρονικά εγκλήµατα, απαιτεί διαφορετικές ενέργειες και διαδικασίες απ ότι τα «κλασσικά», εξωδικτυακά εγκλήµατα. Η διαδικασία που ακολουθείται για την ανεύρεση των εγκληµατιών ονοµάζεται computer forensics και διερευνά τα ηλεκτρονικά αποτυπώµατα που άφησε ο εγκληµατίας στο υπολογιστικό σύστηµα, µε σκοπό την ανεύρεση της ταυτότητάς του και την τεκµηρίωση των κατηγοριών εναντίον του. Η διαδικασία αυτή αποτελείται από τα στάδια της συλλογής δεδοµένων, της προετοιµασίας εξαγωγής δεδοµένων, της αναγνώρισης δεδοµένων που ενδέχεται να αποτελούν ψηφιακά αποδεικτικά στοιχεία, την ανάλυση των συγκεκριµένων δεδοµένων, την τεκµηρίωση της έρευνας και τέλος, την εξακρίβωση της γνησιότητας των ψηφιακών αποδεικτικών στοιχείων που εξήχθηκαν. Στην παρούσα εργασία αναλύεται το φάσµα των computer forensics τόσο από τεχνικής, όσο και από νοµικής πλευράς. Στο τεχνικό µέρος δίνεται ο ορισµός των εννοιών της διαδικασίας, αναλύονται τα στάδιά της καθώς και τα εργαλεία που χρησιµοποιούνται. Επίσης, αναλύονται οι διάφορες τεχνικές που χρησιµοποιούνται για την παρακώλυση του έργου των ερευνητών (computer anti-forensics). Στο νοµικό µέρος γίνεται αναφορά στη ελληνική νοµοθεσία, στην ευρωπαϊκή νοµοθεσία καθώς και στη νοµοθεσία των ΗΠΑ σε ότι αφορά τους νόµους που οφείλει να γνωρίζει ο ερευνητής computer forensics. 6

κεφάλαιο 1 ο Εισαγωγή 1. Εισαγωγή Κάθε αιώνας χαρακτηρίζεται από µια ξεχωριστή ονοµασία σχετική µε τις ανακαλύψεις που τον σηµάδεψαν. Ο δέκατος ένατος αιώνας ήταν ο αιώνας της επανάστασης των µηχανών, ο εικοστός αιώνας της επανάστασης των επικοινωνιών. Ο εικοστός πρώτος αιώνας δίκαια χαρακτηρίζεται ως ο αιώνας της πληροφορικής και ως η αφετηρία της ψηφιακής εποχής. Με τον όρο ψηφιακή εποχή νοείται η χρήση της τεχνολογίας των ηλεκτρονικών υπολογιστών ως µέσο ενίσχυσης των παραδοσιακών µεθόδων όλων των επιστηµών και εργασιών. Η ενσωµάτωση του υπολογιστή και γενικότερα των συστηµάτων πληροφορικής στις προσωπικές, εµπορικές, εκπαιδευτικές, κυβερνητικές, στρατιωτικές και άλλες πλευρές της σύγχρονης ζωής, έχει ως αποτέλεσµα την βελτίωση της παραγωγικότητας και της αποτελεσµατικότητάς τους. Αναπόφευκτα ο υπολογιστής, εφόσον έχει την δυνατότητα να διεισδύσει παντού, λειτουργεί και ως εργαλείο για παράνοµη δραστηριότητα. Έτσι, ως εγκληµατικό εργαλείο ο υπολογιστής δίνει την δυνατότητα στον εγκληµατία να εκτελέσει, να αποκρύψει ή και να ενισχύσει την δραστηριότητά του. Ειδικότερα, η ευκολία χρήσης των υπολογιστικών συστηµάτων σε συνδυασµό µε την ανωνυµία, φαίνεται να ενθαρρύνουν αυτού του είδους τα εγκλήµατα, δεδοµένου ότι οι παρανοµούντες θεωρούν µικρή την πιθανότητα να αποκαλυφθούν ή να κατηγορηθούν. Τα ηλεκτρονικά εγκλήµατα δεν είναι απαραιτήτως νέες µορφές εγκληµάτων αλλά συνήθως πρόκειται για εγκλήµατα υπό την «κλασσική έννοια». Εκµεταλλεύονται την υπολογιστική ισχύ, την ευκολία επικοινωνίας και την δυνατότητα πρόσβασης στον ψηφιακό κόσµο. Είναι η συνέπεια της διαθεσιµότητας υπολογιστικών πόρων σε λανθασµένα χέρια, όπως είναι ένα απλό µαχαίρι στα χέρια ενός εγκληµατία. Ο εντοπισµός, η σύλληψη και η δίωξη των εγκληµατιών που εµπλέκονται σε ηλεκτρονικά εγκλήµατα, απαιτεί διαφορετικές ενέργειες και διαδικασίες απ ότι τα «κλασσικά», εξωδικτυακά εγκλήµατα. Η διαδικασία που ακολουθείται ονοµάζεται computer forensics και διερευνά τα ηλεκτρονικά αποτυπώµατα που άφησε ο εγκληµατίας στο υπολογιστικό σύστηµα, µε σκοπό την 7

ανεύρεση της ταυτότητάς του και την τεκµηρίωση των κατηγοριών εναντίον του. Ο όρος «computer forensics» στα ελληνικά έχει µεταφραστεί ως «δικανική υπολογιστών» [106], «ψηφιακή εγκληµατολογία» [107, 108] ή και περιφραστικά ως «Ασφαλής ανάλυση και ανάκτηση ψηφιακών αποδεικτικών δεδοµένων» [109]. Παρόλα αυτά, όπως θα παρατηρήσει και ο αναγνώστης, στην εργασία ο όρος δεν έχει αποδοθεί στα ελληνικά γιατί αφενός µεν δεν θεωρείται ότι οι τρέχουσες µεταφράσεις αποδίδουν επιτυχώς τον αγγλικό όρο, αφετέρου δε δεν έχει βρεθεί ακριβής απόδοσή του. Στο άκουσµα της λέξης forensics το µυαλό ανατρέχει στην τηλεοπτική σειρά Quincy µε τον Jack Klugman στο ρόλο του ιατροδικαστή. Ο τοµέας της ιατροδικαστικής δεν είναι ο µοναδικός, στον οποίο βρίσκουν εφαρµογή τα forensics. Στην πραγµατικότητα υπάρχουν πάνω από εικοσιπέντε διαφορετικοί κλάδοι, µε µία ευρεία κλίµακα εφαρµογής από την λογιστική (forensics accounting) έως και την ανθρωπολογία (forensics anthropology). Ετυµολογικά, η λέξη forensics σηµαίνει την εφαρµογή µιας πληθώρας επιστηµών προς απάντηση ερωτηµάτων σχετικών µε νοµικά ζητήµατα [66]. Κατά συνέπεια, τα computer forensics είναι η επιστήµη που επικεντρώνεται στην σχέση και στην εφαρµογή των υπολογιστών σε νοµικά ζητήµατα. Η διάδοση των υπολογιστών στις σύγχρονες κοινωνίες έχει φέρει τα computer forensics τόσο στο νοµικό όσο και στο επιχειρησιακό προσκήνιο. Όλο και περισσότερες νοµικές υποθέσεις βασίζουν τις αποφάσεις τους στα ευρήµατα των computer forensics, ενώ επιχειρήσεις και οργανισµοί ελέγχουν για συµβάντα που απορρέουν από καταστρατήγηση των πολιτικών ασφαλείας τους µέσω αυτών. Ο ειδικός των computer forensics είναι µια συνάρτηση µεταξύ του τεχνικού, του προγραµµατιστή και του ερευνητή, ένα άτοµο µε ιδιαίτερα αναπτυγµένο το αίσθηµα της περιέργειας, στο οποίο αρέσει να διερευνά το πώς και το γιατί συνέβησαν διάφορα γεγονότα στο παρελθόν [04]. Στην παρούσα εργασία αναλύεται το φάσµα των computer forensics και αναφέρονται οι κανόνες που διέπουν τις συµπεριφορές και την προκείµενη περίπτωση τις παραβατικές συµπεριφορές στην ηλεκτρονική κοινωνία. Στο δεύτερο κεφάλαιο της εργασίας δίνεται ο ορισµός του ηλεκτρονικού εγκλήµατος. Αναφέρονται και αναλύονται τα χαρακτηριστικά του καθώς και οι κατηγορίες του. Σκοπός του συγκεκριµένου κεφαλαίου είναι να δώσει στον αναγνώστη µια περιληπτική αλλά πλήρη εικόνα για το συγκεκριµένο αντικείµενο. Το τρίτο κεφάλαιο λειτουργεί ως εισαγωγή στα computer forensics. Τα computer forensics έπονται ενός ηλεκτρονικού εγκλήµατος και έχουν ως στόχο την εύρεση αποδεικτικών στοιχείων που θα χρησιµοποιηθούν για την κατηγορία ή την υπεράσπιση ενός υπόπτου. ίνεται ο ορισµός της επιστήµης των computer forensics και επιχειρείται η συσχέτισή τους µε τους άλλους τοµείς της εγκληµατολογικής έρευνας. Κατόπιν, γίνεται µια µικρή αναφορά στους επιµέρους κλάδους της επιστήµης των computer forensics, οι οποίοι προέκυψαν από την ανάγκη για 8

περαιτέρω εξειδίκευση και για επίλυση προβληµάτων που αναδύθηκαν κατά την εξέλιξη της επιστήµης. Στο τέταρτο κεφάλαιο αναλύεται ο πυρήνας των computer forensics, τα ψηφιακά αποδεικτικά στοιχεία καθώς σκοπός της συγκεκριµένης επιστήµης είναι η εύρεση αυτών των στοιχείων και η ακλόνητη τεκµηρίωσή τους. ίνεται ο ορισµός τους, η πηγή προέλευσής τους, καθώς και τρόποι συλλογής, µεταφοράς και αποθήκευσής τους. Στη συνέχεια του κεφαλαίου αναφέρονται και αναλύονται τρία χαρακτηριστικά µοντέλα ανάκτησης των ψηφιακών αποδεικτικών στοιχείων. Στο κεφάλαιο που ακολουθεί, το πέµπτο, καταγράφεται διεξοδικά η διαδικασία των computer forensics. Η διαδικασία αυτή αποτελείται από τα στάδια της συλλογής δεδοµένων, της προετοιµασίας εξαγωγής δεδοµένων, της αναγνώρισης δεδοµένων που ενδέχεται να αποτελούν ψηφιακά αποδεικτικά στοιχεία, την ανάλυση των συγκεκριµένων δεδοµένων, την τεκµηρίωση της έρευνας και τέλος, την εξακρίβωση της γνησιότητας των ψηφιακών αποδεικτικών στοιχείων που εξήχθηκαν. Κάθε ερευνητής οφείλει να ακολουθεί κατά γράµµα τη διαδικασία αυτή διότι, αφενός µεν λάθος πρόσβαση στα δεδοµένα µπορεί να τα καταστρέψει ή να τα αλλοιώσει, µε αποτέλεσµα την απώλεια πολύτιµων ψηφιακών αποδεικτικών στοιχείων, αφετέρου δε η τεκµηρίωσή τους σε µια δικαστική αίθουσα ή οπουδήποτε αλλού ζητηθεί, θα πρέπει να είναι πλήρης και ακριβής. Το έκτο κεφάλαιο αναφέρεται στα τεχνικά θέµατα που αντιµετωπίζει ο ερευνητής κατά την διαδικασία των computer forensics. Εξηγείται γιατί κρίνεται απαραίτητο να χρησιµοποιούνται ειδικά εργαλεία κατά τη διαδικασία αυτή, και αναλύονται οι προϋποθέσεις που πρέπει να πληρούν αυτά τα εργαλεία. Στη συνέχεια γίνεται µια συνοπτική αναφορά στο διαθέσιµο λογισµικό εργαλεία που έχει στη διάθεσή του ο ερευνητής. Το κεφάλαιο που ακολουθεί, το έβδοµο, περιγράφει ένα κλάδο των computer forensics, τα internet forensics. ίνεται ο ορισµός τους και καταγράφονται οι προκλήσεις που αντιµετωπίζει ο ερευνητής κατά την διεξαγωγή του συγκεκριµένου είδους έρευνας. Κατόπιν αναφέρονται και αναλύονται οι κατηγορίες των αποδεικτικών στοιχείων των internet forensics καθώς και πηγές από τις οποίες προκύπτουν αυτά. Στο όγδοο κεφάλαιο περιγράφονται τα computer anti-forensics, µια τεχνική που βρίσκεται στον αντίποδα των computer forensics. ηµιουργήθηκε µε σκοπό την παρακώλυση του έργου των computer forensics και την πρόκληση προβληµάτων στον εκάστοτε ερευνητή ώστε να µην προκύψουν ψηφιακά αποδεικτικά στοιχεία κατά του υπόπτου. Η τεχνική αυτή στον πραγµατικό κόσµο αντιστοιχεί στη χρήση γαντιών από κάποιον εγκληµατία ώστε να µην βρεθούν δακτυλικά αποτυπώµατα. Αναφέρονται και αναλύονται οι µέθοδοι anti-forensics που χρησιµοποιούνται σήµερα. Κατόπιν, αναλύονται οι λόγοι που αναφέρουν εκείνοι που χρησιµοποιούν τις συγκεκριµένες µεθόδους και τρόποι για χρήση παρεµφερών µεθόδων οι οποίοι όµως 9

δεν επηρεάζουν την διαδικασία των computer forensics. Ο κυριότερος λόγος που επικαλούνται οι χρήστες των µεθόδων αυτών είναι η προστασία της ιδιωτικότητας των δεδοµένων τους Το ένατο κεφάλαιο αγγίζει ένα σηµαντικό ζήτηµα, εκείνο της νοµικής διάστασης των computer forensics. η συγκεκριµένη επιστήµη στην ουσία προσπαθεί να συγκεράσει δυο εντελώς διαφορετικούς κόσµους: ο «κλασσικός κόσµος» της νοµικής, µε σταθερούς νόµους, άρθρα και αποφάσεις από την µία, και ο «ρευστός κόσµος» της πληροφορικής από την άλλη, µε όρους και τεχνικές που ενώ σήµερα χρησιµοποιούνται, αύριο η χρήση τους δεν ενδείκνυται. Γίνεται αναφορά στη σχετική ελληνική νοµοθεσία, στην ευρωπαϊκή νοµοθεσία καθώς και στη νοµοθεσία των ΗΠΑ που αφορά το ηλεκτρονικό έγκληµα και εξετάζονται τα διαδικαστικά ζητήµατα που προκύπτουν. Τέλος, αναφέρονται κάποιοι διεθνείς οργανισµοί, σχετικοί µε το ηλεκτρονικό έγκληµα και δίνεται µια µικρή περιγραφή του τρόπου δραστηριοποίησης του καθενός. 10

κεφάλαιο 2 ο Ηλεκτρονικό Έγκληµα 2.1 Εισαγωγή Η εγκληµατικότητα µέσω των ηλεκτρονικών υπολογιστών ως φαινόµενο που άπτεται του ποινικού ενδιαφέροντος παρουσιάζεται ήδη από τη δεκαετία του 1970. Αυτό οδήγησε σταδιακά πολλές έννοµες τάξεις στη λήψη ειδικών ποινικών νοµοθετικών µέτρων. Με τη ραγδαία εξάπλωση του διαδικτύου έκαναν την εµφάνισή τους και περιπτώσεις κατάχρησης του κυβερνοχώρου, οι οποίες δεν παρουσιάζουν πάντα τα χαρακτηριστικά της εγκληµατικότητας µέσω των ηλεκτρονικών υπολογιστών. Εικόνα 1. Πηγή www.svgtoday.com 11

Έτσι, θεωρείται αναγκαία η διάκριση µεταξύ του λεγόµενου ηλεκτρονικού εγκλήµατος (electronic crime e-crime) και του διαδικτυακού εγκλήµατος (cybercrime), το οποίο παρουσιάζει ποιοτικά σηµαντικές διαφοροποιήσεις από το πρώτο, λόγω των ιδιαίτερων χαρακτηριστικών του διαδικτύου που συνοψίζονται στη δυνατότητα ανταλλαγής δεδοµένων και προγραµµάτων µεταξύ όλων των συνδεδεµένων υπολογιστών. Αξίζει να σηµειωθεί η δυσκολία διατύπωσης ενός ενιαίου ορισµού ο οποίος να περιλαµβάνει όλες τις εκφάνσεις του διαδικτυακού εγκλήµατος, δυσκολία που επίσης παρατηρείται και στον εννοιολογικό προσδιορισµό γενικότερα της ηλεκτρονικής εγκληµατικότητας [89]. Αυτό συµβαίνει γιατί οι παραβάσεις στο διαδίκτυο παρουσιάζουν ποικιλοµορφία ως προς την εκδήλωσή τους και έχουν ως αποτέλεσµα την κατάχρηση ποικίλων αγαθών και υπηρεσιών. Η άποψη ότι το διαδικτυακό έγκληµα αποτελεί τον ίδιο τύπο εγκλήµατος µε το κοινό έγκληµα και το µόνο στοιχείο που το διαφοροποιεί είναι ότι διαπράττεται στο περιβάλλον του διαδικτύου, µάλλον δεν ανταποκρίνεται στην πραγµατικότητα καθώς µπορεί να υπάρχουν εγκλήµατα που διαπράττονται τόσο σε κοινό όσο και σε ηλεκτρονικό και διαδικτυακό περιβάλλον αλλά και εγκλήµατα που αποκλειστικά τελούνται στο περιβάλλον του κυβερνοχώρου [01, 02]. Κατά συνέπεια, ένα πρώτο συµπέρασµα αναφορικά µε τον εννοιολογικό προσδιορισµό του ηλεκτρονικού και διαδικτυακού εγκλήµατος είναι η σαφής διαφοροποίηση των δύο εννοιών. Το παραπάνω συµπέρασµα δεν παραβλέπει σε καµιά περίπτωση τη σχέση που τις συνδέει, η οποία θεωρείται σχέση γένους προς είδος. Το ηλεκτρονικό έγκληµα είναι έννοια γένους που εννοιολογικά περιλαµβάνει και το διαδικτυακό έγκληµα, χωρίς όµως να ταυτίζεται και µε αυτό. Το διαδικτυακό έγκληµα είναι δηλαδή µια ειδικότερη µορφή του ηλεκτρονικού εγκλήµατος. Η δυσκολία της εννοιολογικής προσέγγισης του ηλεκτρονικού και διαδικτυακού εγκλήµατος οδηγεί στο συµπέρασµα ότι ίσως ένας κοινά αποδεκτός ορισµός για το ηλεκτρονικό διαδικτυακό έγκληµα, µε τον κίνδυνο βέβαια να θεωρηθεί αόριστος, θα ήταν ένας ευρύς, που περιλαµβάνει όλες εκείνες τις αξιόποινες πράξεις που τελούνται µε τη χρήση των τεχνολογιών του διαδικτύου. Σύµφωνα µε τα παραπάνω, ως ηλεκτρονικό έγκληµα θα µπορούσαν να οριστούν όλες οι αξιόποινες εγκληµατικές πράξεις που τελούνται µε τη χρήση ηλεκτρονικών υπολογιστών και συστηµάτων επεξεργασίας δεδοµένων και τιµωρούνται µε συγκεκριµένες ποινές από την ελληνική νοµοθεσία [01]. Ανάλογα µε τον τρόπο τέλεσης, τα εγκλήµατα διαχωρίζονται σε αυτά που διαπράττονται µε την χρήση ηλεκτρονικών υπολογιστών και σε εκείνα που διαπράττονται στο κυβερνοχώρο, αν τελέσθηκαν µέσω του διαδικτύου [01, 02]. 2.2 Χαρακτηριστικά ηλεκτρονικού εγκλήµατος Η εγκληµατικότητα µέσω των ηλεκτρονικών υπολογιστών, όπως έχει ήδη αναφερθεί, εµφανίστηκε ως ένα νέο ποινικό φαινόµενο στα µέσα της δεκαετίας του 12

1970. Γρήγορα συνειδητοποιήθηκε από τους νοµικούς κύκλους ότι οι υπάρχοντες νοµικοί κανόνες δεν ήταν σε όλες τις περιπτώσεις δυνατό να καλύψουν εννοιολογικά τις νέες αυτές µορφές εγκληµατικής συµπεριφοράς, επειδή παρουσίαζαν αρκετά ιδιαίτερα χαρακτηριστικά, τα οποία δεν µπορούσαν να αντιµετωπισθούν µε τους ήδη θεσπισµένους κανόνες δικαίου [88]. Έτσι, οι νοµοθέτες προέβησαν σε τροποποίηση των ποινικών τους διατάξεων, προκειµένου να προσαρµοστούν στα νέα δεδοµένα ούτως ώστε να συµπεριλάβουν και τη νέα µορφή εγκληµατικότητας. Με την εµφάνιση όµως του φαινοµένου της συνεχούς δικτύωσης των ηλεκτρονικών υπολογιστών, τα νοµικά ζητήµατα έγιναν ακόµη πιο πολύπλοκα και πιο επιτακτική η ανάγκη νοµικής αντιµετώπισης των συνεχώς νεοεµφανιζόµενων εγκληµατικών συµπεριφορών. Ο εντοπισµός των χαρακτηριστικών της νέας γενιάς εγκληµατικότητας φωτίζει το σκεπτικό της θέσπισης των νέων κανόνων ποινικού δικαίου αναδεικνύοντας ταυτόχρονα την επικινδυνότητα και τις προεκτάσεις του νέου αυτού ποινικού φαινοµένου. Πρωταρχικό χαρακτηριστικό της εγκληµατικότητας στο διαδίκτυο που αναδεικνύει τη διαφορετικότητά της σε σχέση µε άλλες µορφές εγκληµατικότητας είναι η έλλειψη φυσικής επαφής του δράστη µε το αντικείµενο του εγκλήµατος και η έλλειψη βίας, χωρίς αυτό να σηµαίνει ότι οι συνέπειες της δε σχετίζονται σε ορισµένες περιπτώσεις µε βίαιες συµπεριφορές. Ο δράστης του διαδικτύου δεν εισβάλλει στην κατοικία του θύµατος, προκειµένου να αποσπάσει από τον ηλεκτρονικό υπολογιστή του τελευταίου αποθηκευµένα αρχεία, αλλά αποκτά πρόσβαση στο ηλεκτρονικό σύστηµα του θύµατος σπάζοντας τους κωδικούς πρόσβασης. Αντίστοιχα, δεν προκαλεί ζηµιά σε δεδοµένα ή στη λειτουργία του υπολογιστή του θύµατος µε φυσικό τρόπο, για παράδειγµα αφαιρώντας τον σκληρό δίσκο, απλά στέλνει έναν ιό που το ίδιο το ανυποψίαστο θύµα ενεργοποιεί. Ενώ η έλλειψη βίας στο φυσικό έγκληµα παραπέµπει σε µορφές ήπιας εγκληµατικής συµπεριφοράς, δεν συµβαίνει κάτι τέτοιο και στην περίπτωση του διαδικτυακού εγκλήµατος. Η ιδιαίτερη επικινδυνότητα αυτής της µορφής εγκληµατικότητας έγκειται στο γεγονός ότι τα θύµατα δε µπορούν να αµυνθούν στην κατάφορη προσβολή των εννόµων αγαθών τους, αφού συχνά ούτε την αντιλαµβάνονται και όταν τα αποτελέσµατα είναι αντιληπτά, ο εντοπισµός των δραστών συνήθως είναι εξαιρετικά δυσχερής. Εποµένως, ο τρόπος τέλεσης των εγκληµάτων αυτών επιφέρει την ατιµωρησία των δραστών. Το βασικότερο και µείζονος σηµασίας χαρακτηριστικό της εγκληµατικής συµπεριφοράς στο διαδίκτυο είναι η διεθνής/διασυνοριακή φύση της, καθώς εκτείνεται και πέρα από τα όρια ενός κράτους, γεγονός που την καθιστά σπουδαίο κίνδυνο για τη διεθνή κοινότητα [90]. Η διευρυνόµενη διασύνδεση των ηλεκτρονικών υπολογιστών καταλύει τα εθνικά σύνορα και οι δράστες διαπράττουν τα εγκλήµατά τους χωρίς αυτά να συνδέονται µε ένα συγκεκριµένο τόπο. Το ότι το διαδικτυακό έγκληµα ανήκει στην κατηγορία των διεθνών εγκληµάτων αποδεικνύεται και από το γεγονός ότι τα αποτελέσµατα µπορεί να γίνονται ταυτόχρονα αισθητά σε πολλούς 13

τόπους, ενώ λόγω της εκτεταµένης δικτύωσης καθίσταται εξαιρετικά δύσκολος ο προσδιορισµός τόσο του πραγµατικού τόπου τέλεσης του, όσο και του ιδίου του δράστη. Από άποψη θυµατολογικών χαρακτηριστικών και σε αντιδιαστολή µε την εγκληµατικότητα µέσω ηλεκτρονικών υπολογιστών ο δράστης του διαδικτυακού εγκλήµατος συνήθως δε στοχεύει σε συγκεκριµένο θύµα, δεν έχει δηλαδή προεπιλέξει το θύµα του. Αποτέλεσµα τούτου είναι και το µεγάλο ποσοστό εγκληµατικότητας στο χώρο του διαδικτύου, ωστόσο καταγγέλλονται ελάχιστες περιπτώσεις. Η διερεύνηση και η διαλεύκανση διαδικτυακών εγκληµάτων καθίστανται ακόµη πιο δύσκολες και από το γεγονός των πολλαπλών τόπων τέλεσής τους και από το γεγονός ότι η εξωτερίκευση της εγκληµατικής συµπεριφοράς µπορεί να εντοπίζεται σε χώρα διαφορετική από εκείνη όπου βρίσκονται τα αποδεικτικά στοιχεία. Ταυτόχρονα, λόγω του µικρού αριθµού ποινικών αποφάσεων σε συνδυασµό µε το αυξηµένο ποσοστό της διαδικτυακής εγκληµατικότητας, είναι δύσκολο να εξαχθούν ασφαλή συµπεράσµατα για τον τύπο του δράστη που παρανοµεί στο διαδίκτυο. Πάντως, λόγω της ευρείας διάδοσης της χρήσης του διαδικτύου και της αντίστοιχης διάδοσης της τεχνογνωσίας, η εγκληµατικότητα που εκδηλώνεται στο διαδίκτυο πλέον δεν είναι εγκληµατικότητα ειδικών, δηλαδή µιας µεµονωµένης κατηγορίας ατόµων µε κάποιο ιδιαίτερο διανοητικό υπόβαθρο και µε ειδικές τεχνικές γνώσεις. εδοµένης της εύκολης και ελεύθερης πρόσβασης στο διαδίκτυο, αρκεί µια τηλεφωνική σύνδεση, ένας ηλεκτρονικός υπολογιστής µεσαίων δυνατοτήτων και σύνδεση στο διαδίκτυο, και έτσι δράστης µπορεί να είναι ο οποιοσδήποτε. Τυπικό παράδειγµα των προηγούµενων είναι το αδίκηµα της δυσφήµησης, η τέλεση του οποίου επιτυγχάνεται µάλλον πιο εύκολα σε διαδικτυακό περιβάλλον, καθώς χωρίς την ύπαρξη ιδιαίτερων γνώσεων πληροφορικής και χωρίς τη λήψη ιδιαίτερου ρίσκου δύναται κάποιος να δυσφηµεί άλλον τη στιγµή που τα σχετικά συστήµατα ασφαλείας αδυνατούν να εξαλείψουν ή έστω να περιορίσουν δραστικά τέτοιου είδους εκδηλώσεις. Σε γενικές γραµµές όσοι παραβατούν στο χώρο του διαδικτύου µπορούν να διακριθούν σε δυο κατηγορίες [90]: σε εκείνους που παρουσιάζουν παραβατική συµπεριφορά ορµώµενοι από την ανάγκη να ικανοποιήσουν την περιέργειά τους ή απλά να αποκοµίσουν ευχαρίστηση χωρίς να επιδιώκουν κάποιο περιουσιακό όφελος και σ αυτήν την κατηγορία ανήκουν κυρίως άτοµα νεαρής ηλικίας και σε εκείνους οι οποίοι παραβατούν µε σκοπό το οικονοµικό όφελος. 14

2.3. Κατηγορίες ηλεκτρονικού εγκλήµατος 2.3.1. Εγκλήµατα που διαπράττονται τόσο σε κοινό όσο και σε ηλεκτρονικό περιβάλλον Είναι σαφές ότι το διαδίκτυο δεν προσφέρεται µόνο για τέλεση εγκληµάτων που προϋποθέτουν αποκλειστικά τη χρήση ηλεκτρονικού υπολογιστή, αλλά προσφέρεται και για την τέλεση κλασικών εγκληµάτων. Μάλιστα θα µπορούσε κάποιος να πει ότι η εξέλιξη της ηλεκτρονικής τεχνολογίας και η εφαρµογή της στη σηµερινή καθηµερινότητα διευκόλυνε τη σύγχρονη εγκληµατικότητα, διότι οι δράστες προσαρµόζονται στη νέα τεχνολογία και εξελίσσουν τους τρόπους τέλεσης των εγκληµάτων. Με αυτόν τον τρόπο η εγκληµατικότητα προσλαµβάνει νέες διαστάσεις. Έτσι, όταν ένα κοινό έγκληµα τελείται σε ηλεκτρονικό περιβάλλον, δεν έχουµε ένα πρόσθετο στοιχείο στην αντικειµενική υπόσταση του αδικήµατος, αλλά έναν εναλλακτικό τρόπο τέλεσης του αδικήµατος [02]. Στη συγκεκριµένη περίπτωση η χρήση του ηλεκτρονικού υπολογιστή και η σύνδεση µε το διαδίκτυο είναι το µέσο τέλεσης της εγκληµατικής συµπεριφοράς. Οι δράστες διαπράττουν κοινά αδικήµατα µε τη διαφορά ότι ενεργούν στο ιδιόµορφο περιβάλλον του διαδικτύου. Κλασικά παραδείγµατα εγκληµατικής συµπεριφοράς που εκδηλώνεται τόσο σε κοινό περιβάλλον όσο και σε ηλεκτρονικό είναι τα αδικήµατα της απειλής, της εκβίασης, της εξύβρισης, της απλής ή συκοφαντικής δυσφήµισης µε τη χρήση ηλεκτρονικού ταχυδροµείου, της πλαστογραφίας, της απάτης, της παραβίασης της πνευµατικής ιδιοκτησίας µε την αντιγραφή πνευµατικού έργου, όπως ενός πακέτου λογισµικού του ηλεκτρονικού υπολογιστή. Στις περιπτώσεις των εγκληµάτων αυτών η ήδη θεσπισµένη νοµοθεσία κατ αρχήν φαίνεται να είναι ικανοποιητική ως προς τη διατύπωση της ειδικής υπόστασης τους, αφού περιγράφονται επαρκώς σε αυτή τα αντικειµενικά και τα υποκειµενικά στοιχεία προηγούµενων εγκληµάτων. ιατυπώνονται όµως επιφυλάξεις ως προς την πληρότητα της περιγραφής της ειδικής υπόστασης των µορφών αυτών εγκληµατικής συµπεριφοράς. Γι αυτό θα ήταν σκόπιµη η αναγωγή των κοινών εγκληµάτων που τελούνται στο διαδίκτυο σε ξεχωριστή µορφή εγκληµατικότητας. Και τούτο, λόγω των σηµαντικών διαφορών που παρουσιάζει το ηλεκτρονικό περιβάλλον σε σχέση µε το κοινό, οι οποίες συνίστανται τόσο στην ευρύτητα του, καθώς απευθύνεται σε απεριόριστο αριθµό ανθρώπων, όσο και στη διεθνή φύση του, καθώς υπάρχουν πολλαπλοί τόποι τέλεσής του. Ειδικότερα, διαφορετικές είναι οι συνέπειες που επέρχονται από τη δηµοσίευση ενός συκοφαντικού άρθρου σε µια εφηµερίδα που απευθύνεται σε περιορισµένο αριθµό αναγνωστών, οι οποίοι µάλιστα καλούνται να αγοράσουν την συγκεκριµένη έκδοση και διαφορετικές από τη δηµοσίευση του ίδιου άρθρου σε ένα διαδικτυακό τόπο, τον οποίο δύναται να επισκεφθεί απεριόριστος αριθµός χρηστών χωρίς κανένα κόστος. Εποµένως ορθά ο νοµοθέτης σε ορισµένες περιπτώσεις 15

επιλέγει τη θέσπιση ειδικών κανόνων δικαίου που διασφαλίζουν τόσο την πρόληψη όσο και την καταστολή της παράνοµης εκµετάλλευσης της τεχνολογίας της πληροφόρησης, αφού αυτή η µορφή παραβατικότητας παρουσιάζει τόσο ιδιαίτερα χαρακτηριστικά που την καθιστούν µια sui generis εγκληµατική συµπεριφορά [02]. Προς την κατεύθυνση αυτή κινήθηκε ο Έλληνας νοµοθέτης µε τη στοιχειοθέτηση του αδικήµατος της απάτης µε υπολογιστή στο άρθρο 386Α ΠΚ. 2.3.2. Εγκλήµατα που διαπράττονται µόνο σε ηλεκτρονικό περιβάλλον Στην κατηγορία αυτή εντάσσονται τα εγκλήµατα τα οποία τελούνται αποκλειστικά σε ηλεκτρονικό περιβάλλον µε την ευρεία έννοια. Απαιτείται δηλαδή η χρήση ηλεκτρονικού υπολογιστή προκειµένου να πληρωθεί η αντικειµενική υπόσταση του εγκλήµατος [02]. εν αποτελεί προαπαιτούµενο για την τέλεση τους η σύνδεση του ηλεκτρονικού υπολογιστή µε το διαδίκτυο, σε αντιδιαστολή µε την περίπτωση των διαδικτυακών εγκληµάτων, τέλεση των οποίων νοείται µόνο στο ηλεκτρονικό περιβάλλον του διαδικτύου. Ειδοποιός διαφορά της συγκεκριµένης κατηγορίας εγκληµάτων µε την κατηγορία εκείνων που τελούνται τόσο σε κοινό όσο και σε ηλεκτρονικό περιβάλλον είναι ότι στα πρώτα απαραίτητο στοιχείο της αντικειµενικής υπόστασης τους αποτελεί η χρήση ηλεκτρονικού υπολογιστή, χωρίς την οποία δεν υφίσταται τέλεσή τους, ενώ στα δεύτερα η χρήση του ηλεκτρονικού υπολογιστή µε ή χωρίς σύνδεση µε το διαδίκτυο είναι ένα µέσο τέλεσης των εγκληµάτων αυτών. Ενδεικτικά σ αυτήν την κατηγορία υπάγονται τα αδικήµατα που προβλέπονται στα άρθρα 370Β Π.Κ. και 370Γ του Ελληνικού Ποινικού ικαίου και σύµφωνα µε τα οποία αξιόποινη είναι η αθέµιτη πρόσβαση σε δεδοµένα ηλεκτρονικών υπολογιστών. Ένα έγκληµα αυτής της κατηγορίας, το οποίο προβλέπεται στο γερµανικό δίκαιο και συγκεκριµένα στο άρθρο 303Α, είναι αυτό της αλλοίωσης ηλεκτρονικών δεδοµένων, δηλαδή της διαγραφής, απόκρυψης, αχρήστευσης ή µεταβολής ηλεκτρονικών δεδοµένων [89]. 2.3.3. Γνήσια διαδικτυακά εγκλήµατα ή εγκλήµατα κυβερνοχώρου Αναφέραµε νωρίτερα πως το διαδικτυακό έγκληµα αποτελεί έννοια είδους σε σχέση µε το ηλεκτρονικό έγκληµα, το οποίο είναι ευρύτερη έννοια και περιλαµβάνει εννοιολογικά το πρώτο. Με τον όρο διαδικτυακά εγκλήµατα νοούνται εκείνα που τελούνται σε διαδικτυακό περιβάλλον αποκλειστικά. Απαιτείται, λοιπόν, για την πλήρωση της αντικειµενικής υπόστασής τους η σύνδεση του ηλεκτρονικού υπολογιστή µε το διαδίκτυο [02]. εν αρκεί για τη διάπραξή τους µόνο η χρήση ηλεκτρονικού υπολογιστή. Σε περίπτωση δηλαδή που ο υπολογιστής δεν είναι συνδεδεµένος µε το 16

διαδίκτυο, αλλά ενεργεί αυτοτελώς, οποιοδήποτε έγκληµα και αν διαπραχθεί, θεωρείται έγκληµα τελούµενο σε ηλεκτρονικό περιβάλλον. Αδικήµατα τέτοιας κατηγορίας αποτελούν ενδεικτικά η µεταβίβαση αποκρυπτογραφηµένων κειµένων χωρίς σχετική άδεια, η µη εξουσιοδοτηµένη πρόσβαση σε συστήµατα πληροφοριών και η µόλυνση πληροφοριακών συστηµάτων µε ιοµορφικό λογισµικό. Ως γνήσια διαδικτυακά εγκλήµατα µπορούν να θεωρηθούν ακόµη και αυτά που θεσπίζονται από τη Σύµβαση του Συµβουλίου της Ευρώπης για την καταπολέµηση του εγκλήµατος στον κυβερνοχώρο (Convention οn Cyber-crime) στα άρθρα 2 έως 10, όπως θα δούµε και παρακάτω. Καταληκτικά, αξίζει να αναφερθεί η νέα τάση στην ποινική επιστήµη που έχει ως στόχο να αποφευχθεί η αυστηρή διάκριση µεταξύ των εγκληµάτων τελούµενων σε ηλεκτρονικό περιβάλλον και αυτών που τελούνται στο διαδίκτυο και να ενοποιηθούν αυτές οι κατηγορίες σε µια ενιαία κατηγορία εγκληµάτων πληροφορικής. Ο κυριότερος λόγος για την επικράτηση της παραπάνω τάσης είναι ότι µε αυτό τον τρόπο θα απλουστευθούν, σε νοµικό κυρίως επίπεδο, οι διαδικασίες που απαιτούνται για τη διερεύνηση και εξέταση τέτοιων παραβάσεων [90]. Εξάλλου στα εγκλήµατα αυτά ενδείκνυται η θέσπιση διατάξεων µε όσο το δυνατόν ουδέτερους τεχνολογικούς όρους προκειµένου οι όροι που χρησιµοποιούνται να µπορούν να δηλώσουν και να καταλάβουν κάθε νέα τεχνολογική εξέλιξη και να παραµένουν τα νοµοθετικά µέτρα επίκαιρα. 17

κεφάλαιο 3 ο Κατανοώντας τα Computer Forensics 3.1. Εισαγωγή Ποιος επιτέθηκε στο υπολογιστικό σύστηµα και ποιες ενέργειες έκανε; Ποιος έκλεψε χρήµατα από κάποιο ηλεκτρονικό λογαριασµό τράπεζας και µε ποιο τρόπο; Ποιος είναι ο διαχειριστής ενός ιστοτόπου µε πορνογραφικό υλικό ανηλίκων και που βρίσκεται; Με τι βαθµό βεβαιότητας και υπό ποιες προϋποθέσεις θα είµαστε σε θέση να απαντήσουµε σε ερωτήσεις όπως οι παραπάνω; Οι απαντήσεις που θα δώσουµε θα είναι αποδεκτές σε µια δικαστική αίθουσα; Αυτά είναι ορισµένα από τα ερωτήµατα που τίθενται κατά την διάρκεια της διαδικασίας computer forensics σε ένα ηλεκτρονικό σύστηµα. Συνήθως, στην πράξη είναι αρκετά δύσκολο να απαντηθούν. Τόσο οι επιστήµονες όσο και οι ειδικοί σε θέµατα computer forensics πραγµατοποιούν εργασίες σχετικά µε την ανάπτυξη ειδικών λειτουργικών συστηµάτων τα οποία θα χρησιµοποιηθούν για ανάλυση στα computer forensics. Ορισµένα από αυτά τα συστήµατα βασίζονται σε θεωρητικά µοντέλα και βοηθούν στην δηµιουργία ολοκληρωµένων λύσεων. υστυχώς όµως, σε αυτά τα συστήµατα υπάρχουν σοβαρά και σηµαντικά κενά. Ο τοµέας των computer forensics θεωρείται ένα κρίσιµο κοµµάτι των νοµικών συστηµάτων σε όλο τον κόσµο. Το 2002 η Αµερικανική υπηρεσία FBI δήλωσε ότι το πενήντα τοις εκατό των υποθέσεων που χειρίστηκε περιελάµβαναν υπολογιστή. Από το 2002 έως σήµερα η χρήση του υπολογιστή έχει γνωρίσει ραγδαία ανάπτυξη. Ωστόσο, η ακρίβεια των µεθόδων, και συνεπώς ο βαθµός στον οποίο γίνονται δεκτά τα ψηφιακά αποδεικτικά στοιχεία, δεν είναι ακόµα πλήρως αποδεκτή. Ως εκ τούτου, µε τα computer forensics δεν θεωρείται εξίσου ασφαλής η εξαγωγή συµπερασµάτων και στοιχείων, όπως συµβαίνει µε άλλα είδη στοιχείων που προκύπτουν από 18

κλασσικές έρευνες και ο λόγος είναι ότι οι κλασσικές έρευνες έχουν µελετηθεί πολύ περισσότερο και έχουν δηµιουργηθεί στερεότυπες αντιλήψεις σχετικά µε την ακρίβεια και την αποτελεσµατικότητά τους [80]. Χαρακτηριστικό παράδειγµα είναι η ανάλυση DNA. Η ακρίβεια της ανάλυσης του DNA είναι πλήρως κατανοητή από τους ειδικούς και τα αποτελέσµατα είναι αποδεκτά τόσο σε σηµερινές όσο και σε παλαιότερες δικαστικές υποθέσεις. Στοιχεία DNA συνετέλεσαν στην καταδίκη εγκληµατιών, και στην απαλλαγή ατόµων που καταδικάστηκαν και φυλακίστηκαν λανθασµένα. Τα στοιχεία DNA είναι στην ουσία ένας αριθµός που προκύπτει µε κάποιο ιατρικό τρόπο µε πολύ µικρή και καλώς ορισµένη, πιθανότητα λάθους [91]. Στην περίπτωση των ψηφιακών στοιχείων, αυτά προέκυπταν από διάφορες µεθόδους και τρόπους χωρίς την ύπαρξη θεµελιώδους τρόπου έρευνας και χωρίς επιστηµονικό υπόβαθρο για να υποστηριχθεί η χρήση τους στο δικαστήριο ως αποδεικτικά στοιχεία. Μία ακόµα βασική διαφορά µεταξύ του DNA και των computer forensics είναι ότι τα στοιχεία του DNA έχουν την µορφή φυσικών υλικών αντικειµένων τα οποία δηµιουργήθηκαν από φυσικά γεγονότα. Σε αντίθεση µε αυτό, τα αντικείµενα του υπολογιστή δηµιουργούνται σε έναν εικονικό κόσµο, αυτόν του υπολογιστή, από γεγονότα που συµβαίνουν στον υπολογιστή. 19 Εικόνα 2: πηγή www. computerforensicslab.co.uk Τα τελευταία χρόνια έχουν αρχίσει να χρησιµοποιούνται στις δικαστικές αίθουσες αποδεικτικά στοιχεία που βασίζονται σε ψηφιακά στοιχεία. Αρκετές υποθέσεις έχουν εξιχνιαστεί µε την βοήθεια/υποστήριξη αποδείξεων, οι οποίες έχουν εξαχθεί από υπολογιστές ή άλλες ψηφιακές συσκευές, παρόλο που µερικοί από τους ειδικούς τις θεωρούν αναξιόπιστες. Ας πάρουµε για παράδειγµα τη δικαστική υπόθεση της κ. Julie Amero στο Norwich [69], µιας δασκάλας σε δηµοτικό σχολείο της περιοχής. Κατηγορήθηκε και καταδικάστηκε για αδικήµατα σχετικά µε παραβατικότητα ανηλίκων διότι ένας από τους υπολογιστές στο σχολείο όπου δίδασκε ήταν µολυσµένος µε κάποιο spyware και είχε ως αποτέλεσµα την εµφάνιση πορνογραφικών φωτογραφιών στις οθόνες των υπολογιστών των µαθητών κατά την διάρκεια του µαθήµατος. Η απουσία ενηµέρωσης των προσώπων που συγκροτούν το νοµικό σύστηµα σε θέµατα νέων τεχνολογιών οδήγησαν σε µια λάθος καταδίκη ενός ατόµου το οποίο µπορεί µεν να αθωώθηκε µε το που έγινε γνωστό το θέµα άλλα επηρεάστηκε η µετέπειτα ζωή του και πληγώθηκε η αξιοπιστία του νοµικού συστήµατος των ΗΠΑ. Οι δικαστές και οι ένορκοι συχνά κάνουν λανθασµένες υποθέσεις επειδή πιστεύουν ότι τα στοιχεία που προκύπτουν από έναν υπολογιστή ή µια ηλεκτρονική συσκευή είναι ίδια µε τα στοιχεία που υπάρχουν στο φυσικό

περιβάλλον. Ο αντίκτυπος αυτών των υποθέσεων δεν µπορεί να αποδυναµωθεί µόνο µε την αλλαγή της δικαστικής απόφασης. Σε περιπτώσεις παρόµοιες µε την προηγούµενη, είναι δυνατό τα εργαλεία computer forensics που χρησιµοποιούνται να είναι ακριβή και αξιόπιστα, οι υποθέσεις όµως που γίνονται από την εξαγωγή των ψηφιακών αποδεικτικών στοιχείων να είναι λανθασµένες. Πολλοί δικαστικοί δεν κατανοούν πλήρως τις ενέργειες ενός υπολογιστικού συστήµατος και τα µέρη από τα οποία αποτελείται. Ως εκ τούτου, εξαιτίας αυτής της έλλειψης κατανόησής του, το νοµικό σύστηµα βρίσκεται συχνά στο σκοτάδι ως προς το κύρος ή ακόµη και ως προς τη σηµασία των ψηφιακών αποδεικτικών στοιχείων. Στην περίπτωση εξωδικτυακού τόπου, τα computer forensics έπονται άλλων µεθόδων όπως ανάλυση δακτυλικών αποτυπωµάτων, ιχνών σε δείγµατα εδάφους, στάχτης από τσιγάρα, του χρόνο που χρειάστηκε για να εισχωρήσουν έντοµα στο πτώµα και ιχνών από χηµική δηλητηρίαση. Αυτό συµβαίνει διότι οι µελέτες για την µέτρηση και την βελτίωση της ακρίβειας των computer forensics είναι ακόµη σε πρώιµο στάδιο [70]. Για παράδειγµα, πρόβληµα αξιοπιστίας αποτελεί για την διαδικασία computer forensics η τροποποίηση των ιχνών µιας επίθεσης ώστε αυτή να µην γίνει αντιληπτή [71]. Σε αυτή την περίπτωση, τα δεδοµένα από µόνα τους µπορεί να είναι ανακριβή ή παραπλανητικά. Σε άλλες περιπτώσεις, τα δεδοµένα µπορεί µεν να είναι ακριβή, αλλά να µην υποστηρίζουν τα συµπεράσµατα που προκύπτουν. Είναι δυνατόν ένας χρήστης να κατέχει ένα ύποπτο αρχείο αλλά δεν υπάρχει τρόπος να αποδείξουµε ότι ένας δεύτερος χρήστης ήταν συνδεδεµένος µε τον λογαριασµό του πρώτου κατά την δεδοµένη χρονική περίοδο και τροποποίησε το συγκεκριµένο αρχείο. Πολλές από τις τεχνικές που χρησιµοποιούνται στα computer forensics παράγουν αποτελέσµατα µε καλώς ορισµένα περιθώρια λάθους. Όταν παρουσιάζονται τεχνικά αποδεικτικά στοιχεία, ειδικός µάρτυρας καλείται να απαντήσει σε συγκεκριµένες ερωτήσεις, όπως για παράδειγµα στην ερώτηση πόσο γρήγορα θα έπρεπε να πηγαίνει το αυτοκίνητο για να πάρει το µέταλλο αυτή την µορφή, καλείται ειδικός αυτοκινήτων. Όµως στα computer forensics, οι ερευνητές δε δίνουν απλές απαντήσεις σε συγκεκριµένες ερωτήσεις, αλλά καλούνται να δώσουν απαντήσεις αναφέροντας ολόκληρη την ακολουθία των γεγονότων όπως αυτά προκύπτουν από τα ψηφιακά αποδεικτικά στοιχεία, τον τρόπο µε τον οποίο προκλήθηκαν αυτά τα γεγονότα, ποιος τα προκάλεσε και κάποιες φορές πώς τα προκάλεσε. υστυχώς, ένας ειδικός µπορεί να µην είναι σε θέση να τεκµηριώσει επακριβώς την απάντησή του επειδή οι µέθοδοι που χρησιµοποιούνται στα computer forensics δεν είναι κατανοητές όπως εκείνες, π.χ. της ανάλυσης DNA. Ένα άλλο σοβαρό ζήτηµα που αντιµετωπίζουν οι ερευνητές είναι η αξιοπιστία των εργαλείων που χρησιµοποιούν και των αποτελεσµάτων που αυτά εξάγουν. Κάποιοι ισχυρίζονται ότι τα εργαλεία που χρησιµοποιούν έχουν πιστοποιηθεί από τον NIST (National Institute of Standards and Technology) των Η.Π.Α. [72]. Ωστόσο, στις δοκιµές που κάνει ο NIST ελέγχει κατά πόσο τα εργαλεία αυτά είναι σύµφωνα µε τις απαιτήσεις του νοµικού καθεστώτος. Για παράδειγµα, στην οδηγία DFR (Deleted File Recovery) του NIST [73], ο έλεγχος προϋποθέτει ότι τα εργαλεία 20

επαναφοράς διαγραµµένων αρχείων λειτουργούν σε δοκιµασµένο περιβάλλον forensics. Προκειµένου να αξιολογηθεί µια συγκεκριµένη περίπτωση χρήσης ενός εργαλείου, ο ερευνητής οφείλει να γνωρίζει τα χαρακτηριστικά του περιβάλλοντος στα οποία λειτουργεί το συγκεκριµένο εργαλείο καθώς και τα χαρακτηριστικά στα οποία δεν αποδίδει τόσο καλά. Επιπλέον, τα προγράµµατα από το NIST δεν παρέχουν µετρήσεις για να καθοριστεί µε πόση ακρίβεια λειτουργεί ένα εργαλείο, απλά καθορίζει σε τι βαθµό ικανοποιείται ή όχι ένα σύνολο απαιτήσεων. Τέλος, οι επιστήµονες της πληροφορικής θα πρέπει να λάβουν µέτρα για να αποκτήσουν τα computer forensics µια πιο ισχυρή θέση στο χώρο της επιστήµης, υποβάλλοντας σωστά αιτιολογηµένες προτάσεις σχετικά µε την ακρίβεια και την εγκυρότητα των συµπερασµάτων που παρουσιάζουν. 3.2. Ιστορική αναδροµή Η ραγδαία εξάπλωση των υπολογιστών, οι πολλαπλές δυνατότητες επικοινωνίας που έχουµε σήµερα καθώς και η ευκολία πρόσβασης στα αγαθά αυτά, δηµιουργούν πολλές ευκαιρίες για βελτίωση της καθηµερινότητας του ατόµου. Πριν λίγα χρόνια, η ιδέα ότι θα µεταφέρουµε τεράστια ποσά πληροφορίας σε ένα µικρό αντικείµενο µεγέθους µερικών εκατοστών, το USB stick, φάνταζε επιστηµονική φαντασία. Η σκέψη ότι θα περπατάµε στο δρόµο και θα σερφάρουµε στο διαδίκτυο µέσω του κινητού τηλεφώνου µας ήταν εξωπραγµατικό όνειρο. Η τελευταία εικοσαετία, όµως, από θέµατα τεχνολογικών επιτευγµάτων, έχει εκπληρώσει και το πιο απίθανο όνειρο. Σήµερα, περπατάµε στο δρόµο και µπορούµε να δούµε τα e-mail µας, να διαβάσουµε την ηλεκτρονική εφηµερίδα µας και άλλα πολλά, µε την βοήθεια του κινητού µας ή άλλων συναφών ηλεκτρονικών συσκευών. Αυτή η αλµατώδης τεχνολογική ανάπτυξη της πληροφορικής δυστυχώς δεν απέφερε την ίδια ανάπτυξη και στο πεδίο των computer forensics. Βασική αιτία ήταν το γεγονός ότι η επιστήµη της πληροφορικής, από πλευράς υλικολογισµικού, στατιστικά αλλάζει κάθε εξάµηνο. Αυτή την αλλαγή δεν δύνανται να ακολουθήσουν επιστήµες που έχουν ως αντικείµενο τον τοµέα της πληροφορικής και φυσικά ούτε η επιστήµη των computer forensics. Συνέπεια ήταν η δηµιουργία πολλών κενών στις σύγχρονες ψηφιακές έρευνες. Τα παραδοσιακά computer forensics εστίαζαν την έρευνά τους στους κλασσικούς υπολογιστές, µε τους µικρούς σκληρούς δίσκους, τις δισκέτες των 3.5 και τους οδηγούς CD-ROM ή και DVD-ROM και προσκόµιζαν τα αποτελέσµατα αυτής της έρευνας στις έννοµες τάξεις. Πολλοί από τους ερευνητές άρχισαν να κατανοούν το χάσµα που δηµιουργούνταν και κρίθηκε απαραίτητο να εµπλουτίσουν την διαδικασία των computer forensics µε περισσότερα βήµατα για ανάλυση περισσότερων συσκευών, να δηµιουργήσουν ένα κλάδο αποκλειστικά για εταιρικά ζητήµατα, τα corporate forensics και να προχωρήσουν ένα βήµα πιο πέρα, στα digital forensics. 21

Σε περίπτωση που κάποιος ιδιώτης ήθελε να χρησιµοποιήσει τη διαδικασία των computer forensics όχι απαραίτητα για κάποιο νοµικό ζήτηµα αλλά και για κάποιο εταιρικό ζήτηµα, το οποίο ίσως και να είχε νοµικές διαστάσεις, ερχόταν σε σύγκρουση µε το νοµικό καθεστώς. Για την επίλυση της συγκεκριµένης ανάγκης δηµιουργήθηκε ένας ακόµη κλάδος των computer forensics, τα corporate forensics. Ο συγκεκριµένος κλάδος δεν επικεντρώνεται τόσο στα µέσα από τα οποία αντλούνται τα ψηφιακά αποδεικτικά στοιχεία, όπως οι άλλοι κλάδοι, αλλά αναπτύσσει την διαδικασία µε σκοπό την απάντηση ερωτηµάτων, νοµικών και µη, τα οποία ενδέχεται να µην χρησιµοποιηθούν στο δικαστήριο. Τα corporate forensics λειτουργούν κατά κόρον στις σύγχρονες εταιρίες και οργανισµούς µε σκοπό την αξιόπιστη διερεύνηση του πώς συνέβη ένα συµβάν, ποιο µέρος της πολιτικής ασφαλείας παραβιάστηκε, κατά πόσον οι υφιστάµενοι µηχανισµοί ασφαλείας του οργανισµού ήταν επαρκείς και ανταποκρίθηκαν στον ελάχιστο δυνατό χρόνο και συµβάλλουν στην ερευνά των επιπτώσεων και του κόστους ενός περιστατικού ασφαλείας, στη λήψη επιπρόσθετων µέτρων από τη διεύθυνση και σε οποιαδήποτε άλλη ενέργεια κριθεί απαραίτητη. Τα digital forensics είναι µια σχετικά νέα επιστήµη. Αρχικά είχαν ξεκινήσει ως συνώνυµο των computer forensics [77, 78, 79, 34], αλλά σήµερα ο ορισµός τους έχει επεκταθεί και περιλαµβάνει όλες τις ηλεκτρονικές συσκευές οι οποίες είναι σε θέση να αποθηκεύσουν, να µεταδώσουν και να παραλάβουν δεδοµένα. Ένας γενικός ορισµός που δίνεται για τα digital forensics είναι ο εξής: «η χρήστη επιστηµονικώς τεκµηριωµένων και δοκιµασµένων µεθόδων για την διατήρηση, την συλλογή, την επικύρωση, την αναγνώριση, την ανάλυση, την ερµηνεία, την τεκµηρίωση και την παρουσίαση των ψηφιακών αποδείξεων οι οποίες προέρχονται από παντός είδους ψηφιακές πηγές µε σκοπό την διευκόλυνση ανασυγκρότησης κάποιων γεγονότων που συνέβησαν πριν και κατά την διάρκεια ενός συµβάντος για την εξαγωγή ορισµένων συµπερασµάτων» [31]. Σήµερα ως όρος έχουν επικρατήσει τα digital forensics επειδή το νοµικό καθεστώς αναγνωρίζει ότι στη σύγχρονη ζωή του ανθρώπου γίνεται χρήση µιας ποικιλίας από ψηφιακές συσκευές, οι οποίες είναι δυνατό να αξιοποιηθούν για εύρεση ψηφιακών αποδείξεων. Ενώ τα computer forensics έχουν την τάση να επικεντρώνονται σε συγκεκριµένες µεθόδους για την εξαγωγή στοιχείων από κάποιο υπολογιστικό σύστηµα, τα digital forensics πρέπει να διαµορφωθούν κατά τέτοιο τρόπο ώστε να καλύπτουν όλους τους τύπους των ψηφιακών συσκευών, συµπεριλαµβανοµένων και των µελλοντικών ψηφιακών τεχνολογιών. υστυχώς, για τα digital forensics δεν ακολουθείται κάποια συγκεκριµένη µεθοδολογία, παρόλο που αρκετοί επιστήµονες έχουν αναφέρει αρκετές µεθοδολογίες, αλλά ένα σύνολο διαδικασιών και εργαλείων που δηµιουργήθηκαν από την εµπειρία της επιβολής του νόµου, τους διαχειριστές διακοµιστών καθώς επίσης και από τους εισβολείς. Η έλλειψη συγκεκριµένης µεθοδολογίας θεωρείται αναµενόµενη, µιας και οι επιστήµονες δεν έχουν να αντιµετωπίσουν τα «κλασσικά» computer forensics µόνο, αλλά µια ευρύτερη ποικιλία συσκευών και ζητηµάτων τα οποία καθηµερινά αλλάζουν και αυξάνονται. Ο Palmer αναφέρει ότι η εξέλιξη των digital forensics οφείλεται στις 22

τεχνικές και στα εργαλεία που χρησιµοποιήθηκαν και όχι στην επιστηµονική κοινότητα [67]. Παρόλο που η πρόταση του Palmer είναι γενικώς αποδεκτή, θεωρείται σε κάποιο βαθµό προβληµατική. Σύµφωνα µε το νοµικό καθεστώς, τα ψηφιακά αποδεικτικά στοιχεία πρέπει να λαµβάνονται µε χρήση αξιόπιστων και επιστηµονικά τεκµηριωµένων µεθόδων. Η προσκόµιση ψηφιακών αποδεικτικών στοιχείων που προέκυψαν από χρήση τεχνικών και εργαλείων που δεν έχουν επιστηµονική βάση ενδέχεται να αποτελέσει πρόβληµα αξιοπιστίας τους. Τα digital forensics, λόγω του ορισµού τους, περιλαµβάνουν πολλούς επιµέρους τοµείς. Στην διαδικασία των digital forensics εµπεριέχεται οποιοδήποτε αντικείµενο αποθηκεύει, αποστέλλει ή λαµβάνει ψηφιακά δεδοµένα. Αναπόφευκτος είναι λοιπόν ο διαχωρισµός σε επιµέρους τοµείς. Έτσι, σήµερα έχουµε τους όρους internet forensics ή cyber forensics, για έρευνες στο διαδίκτυο, process forensics για έρευνα στις διεργασίες των υπολογιστών, database forensics για βάσεις δεδοµένων, mobile device forensics για κινητές συσκευές, όπως κινητά τηλέφωνα ή υπολογιστές χειρός και αρκετούς άλλους. Όλοι οι παραπάνω όροι καταλαµβάνουν ένα µερίδιο από την τεράστια πίτα των digital forensics και ασχολούνται αποκλειστικά µε το εκάστοτε αντικείµενο. Συνοψίζοντας, θα λέγαµε ότι τα forensics εµπλουτίστηκαν µε έναν ακόµη µεγάλο κλάδο, ο οποίος ασχολείται µε την εύρεση ψηφιακών αποδεικτικών στοιχείων. Ανάλογα µε το αντικείµενο στο οποίο γίνεται η έρευνα, διακρίνουµε τον τοµέα των digital forensics, των database forensics κτλ. Σε ό,τι αφορά τον παραλήπτη των αποτελεσµάτων της έρευνας διακρίνουµε τα κλασσικά computer forensics, µε όλους τους κλάδους τους, που έχουν ως τελικό αποδέκτη την έννοµη τάξη και µε απώτερο σκοπό την εύρεση τεκµηρίων για κάποιο νοµικό ερώτηµα, και από την άλλη τα corporate forensics, µε αποδέκτη την ίδια την επιχείρηση ή τον οργανισµό και µε βασικό σκοπό την επίλυση συµβάντων ασφαλείας. Αξίζει ωστόσο να αναφερθεί το µελανό σηµείο των ερευνών τόσο στο πλαίσιο των digital forensics όσο και στο πλαίσιο των corporate forensics που είναι η αποκάλυψη στοιχείων προσωπικού χαρακτήρα. Στα κεφάλαια που ακολουθούν θα γίνει εκτενέστερη παρουσίαση του συγκεκριµένου προβλήµατος και θα προταθούν κάποιες λύσεις. 3.3. Γενικές έννοιες και ορισµοί Σε αυτήν την ενότητα θα ορίσουµε τις βασικές και θεµελιώδεις έννοιες των Computer Forensics. υστυχώς οι περισσότεροι ορισµοί διαφέρουν από συγγραφέα σε συγγραφέα και γι αυτό υπάρχουν πολύ λίγοι που µοιάζουν στο τοµέα των computer forensics, γι αυτό θα αναφέρουµε όλους τους ορισµούς που χρησιµοποιούνται, ακόµα και τους πιο βασικούς. Ψηφιακά δεδοµένα (digital data) είναι δεδοµένα που αναπαριστώνται σε αριθµητική µορφή. Για τους µοντέρνους υπολογιστές, είναι κοινό τα δεδοµένα να αναπαριστώνται σε δυαδική απεικόνιση, αλλά αυτό δεν είναι ούτε απαιτούµενο ούτε 23

υποχρεωτικό. Ένα ψηφιακό αντικείµενο (digital object) είναι µια διακριτή συλλογή από ψηφιακά δεδοµένα, όπως για παράδειγµα ένα αρχείο, ένας τοµέας (sector) ενός σκληρού δίσκου, ένα πακέτο δικτύου, µια σελίδα µνήµης ή µια διεργασία [68]. Εκτός από την αριθµητική τους απεικόνιση, τα ψηφιακά δεδοµένα έχουν και φυσική απεικόνιση. Για παράδειγµα, τα bits σε ένα σκληρό δίσκο είναι µαγνητικοί παλµοί, οι οποίοι µπορούν να διαβαστούν µε τους ανάλογους αισθητήρες. Τα καλώδια των δικτύων περιέχουν ηλεκτρικά σήµατα τα οποία αναπαριστούν τα πακέτα του δικτύου και τα καλώδια του πληκτρολογίου περιέχουν ηλεκτρικά σήµατα τα οποία αναπαριστούν το κουµπί ή τα κουµπιά που πατήθηκαν. Η ψηφιακή φωτογραφία και το ψηφιακό βίντεο είναι ψηφιακές αναπαραστάσεις του φωτός σε σχέση µε φυσικά αντικείµενα. Τα ψηφιακά δεδοµένα µπορούν να αποθηκεύονται σε αρκετά και διαφορετικά µέσα αποθήκευσης καθένα εκ των οποίων έχει διαφορετικές ιδιότητες οι οποίες καθορίζουν πόσο χρονικό διάστηµα θα παραµείνουν αποθηκευµένα τα δεδοµένα. Για παράδειγµα, τα δεδοµένα θα βρίσκονται στο καλώδιο του πληκτρολογίου για ένα κλάσµα του δευτερολέπτου αλλά µπορεί να βρίσκονται σε ένα σκληρό δίσκο για πολλά χρόνια. Τα ψηφιακά αντικείµενα έχουν χαρακτηριστικά, ή µοναδικά γνωρίσµατα, τα οποία βασίζονται στο δηµιουργό τους και την λειτουργία τους. Για παράδειγµα, τα χαρακτηριστικά ενός τοµέα του σκληρού δίσκου θα είναι διαφορετικά όταν χρησιµοποιείται για την αποθήκευση του περιεχοµένου ενός αρχείου κειµένου και διαφορετικά όταν χρησιµοποιείται για την αποθήκευσης µιας εικόνας. Μπορούµε να χρησιµοποιήσουµε αυτά τα χαρακτηριστικά για να αναγνωρίσουµε το είδος των δεδοµένων. Η κατάσταση (state) ενός αντικειµένου είναι η τιµή των διαφόρων χαρακτηριστικών του [68]. Αν άλλαζε ένα γράµµα από ένα αρχείο κειµένου, τότε το αντικείµενο που σχετίζεται µε το αρχείο θα αποκτήσει µια νέα κατάσταση. Παρόµοια, η κατάσταση µιας διεργασίας υπό εκτέλεση αλλάζει κάθε φορά που γράφονται νέα δεδοµένα στη µνήµη της. Ένα ψηφιακό γεγονός (digital event) είναι ένα περιστατικό που αλλάζει την κατάσταση ενός ή περισσοτέρων ψηφιακών αντικειµένων [05]. Αν η κατάσταση ενός αντικειµένου αλλάξει ως αποτέλεσµα ενός γεγονότος, αυτό ονοµάζεται αποτέλεσµα του γεγονότος. Μερικά είδη αντικειµένων έχουν την ικανότητα να προκαλούν γεγονότα τα οποία ονοµάζονται αιτίες (causes) [68]. Να σηµειωθεί ότι επειδή τα ψηφιακά αντικείµενα αποθηκεύονται σε φυσική µορφή, η κατάστασή τους µπορεί να τροποποιηθεί τόσο από φυσικά όσο και από ψηφιακά γεγονότα. Ένα αντικείµενο αποτελεί απόδειξη ενός γεγονότος, εάν το συγκεκριµένο γεγονός άλλαξε την κατάσταση του αντικειµένου. Αυτό σηµαίνει ότι το αντικείµενο µπορεί να εξεταστεί για πληροφορίες σχετικές µε το γεγονός που του συνέβη. Ωστόσο, µελλοντικά γεγονότα ίσως προκαλέσουν απώλεια πληροφορίας για παρελθοντικά γεγονότα ενός αντικειµένου. Οποιοδήποτε αντικείµενο είναι απόδειξη ενός τουλάχιστον γεγονότος, επειδή θα πρέπει να υπάρχει κάποιο γεγονός το οποίο να δηµιούργησε το αντικείµενο. 24