jak více a více uživatelů jít mobilní a využívat propojená zařízení, počítače jsou často v centru incidentů a vyšetřování. Důkazy pro diskusi u soudu se často shromažďují díky dovednostem digitálních forenzních odborníků, kteří mohou extrahovat důležitá data z elektronických zařízení patřících postiženým stranám. Úředníci zákona někdy závisí na svědectví počítačových forenzních analytiků specializovaných na e-discovery; tito odborníci jsou povoláni, aby spolupracovali přímo s policisty a detektivy, aby pomohli při identifikaci, zachování, analýza a prezentace digitálních důkazů, které pomáhají řešit případy trestné činnosti.
cílem článku je poskytnout přehled počítačové forenzní analýzy a metod používaných při získávání digitálních důkazů z počítačových systémů a mobilních zařízení pro analýzu informací zapojených do vyšetřování trestných činů. Dotýká se také nejnovějších forenzních výzev: mobilní forenzní, cloud forenzní a anti-forenzní.
počítačoví forenzní experti
úkolem forenzních expertů je „pomoci identifikovat zločince a analyzovat důkazy proti nim“, říká Hall Dillon v kariérním výhledu pro americký Úřad pro statistiku práce.
vyškolení a kvalifikovaní jednotlivci pracují pro veřejné vymáhání práva nebo v soukromém sektoru, aby vykonávali úkoly související se shromažďováním a analýzou digitálních důkazů. Jsou také zodpovědní za psaní smysluplných zpráv pro použití ve vyšetřovacích a právních prostředích. Kromě práce v laboratořích používají forenzní experti digitální vyšetřovací techniky v oblasti odhalování metadat, která mají význam u soudu.
dnešní počítačoví forenzní analytici jsou schopni obnovit data, která byla odstraněna, šifrována nebo jsou skryta v záhybech technologie mobilních zařízení; mohou být povoláni svědčit u soudu a spojit důkazy nalezené během vyšetřování. Mohou být zapojeni do náročných případů, včetně ověření alibismu pachatelů, zkoumání zneužívání internetu, zneužití výpočetních zdrojů a využití sítě při vytváření počítačových hrozeb. Forenzní experti mohou být vyzváni, aby podpořili závažné případy narušení dat, vniknutí, nebo jakýkoli jiný typ incidentů. Použitím technik a forenzních aplikací proprietárního softwaru ke zkoumání systémových zařízení nebo platforem by mohli být schopni poskytnout klíčové objevy pinovi, který byl / byl zodpovědný za vyšetřovaný trestný čin.
rychle rostoucí disciplína počítačové forenzní se stala vlastní oblastí vědecké odbornosti s doprovodným výcvikem a certifikacemi (CCFE, CHFI). Podle Computer Forensics World, komunita odborníků zapojených do digitálního forenzního průmyslu, certifikované osoby v této oblasti jsou odpovědné za identifikaci, sběr, získávání, ověřování, uchování, vyšetření, analýza, a prezentace důkazů pro účely stíhání.
počítačový forenzní proces
účelem počítačového forenzního vyšetření je obnovit data z počítačů zabavených jako důkaz při vyšetřování trestných činů. Odborníci používají systematický přístup ke zkoumání důkazů, které by mohly být předloženy soudu během řízení. Zapojení forenzních odborníků musí být brzy na vyšetřování, protože mohou pomoci při správném sběru technického materiálu způsobem, který umožňuje obnovení obsahu bez poškození jeho integrity.
forenzní vyšetřovací úsilí může zahrnovat mnoho (nebo všechny) z následujících kroků:
- sběr – vyhledávání a zabavení digitálních důkazů a získávání dat
- vyšetření – použití technik k identifikaci a extrahování dat
- analýza – použití dat a zdrojů k prokázání případu
- hlášení-prezentace shromážděných informací (např. písemná kazuistika)
Bill Nelson, jeden z přispívajících autorů průvodce počítačovou Forenzí a vyšetřováním (třetí vydání.) kniha, zdůrazňuje význam tří A počítačových forenzních: získávat, ověřovat a analyzovat. Říká, že počítačový forenzní proces ve skutečnosti zahrnuje systematický přístup, který zahrnuje počáteční posouzení, získání důkazů a jeho analýzu, dokončení kazuistiky (2008, s. 32-33).
forenzní případy se velmi liší; někteří se zabývají počítačovými vetřelci, kteří kradou data; jiní zahrnují hackery, kteří pronikají na webové stránky a zahajují útoky DDoS, nebo se pokoušejí získat přístup k uživatelským jménům a heslům pro krádež identity s podvodnými úmysly, říká FBI. Některé případy zahrnují kybernetické pronásledování nebo pachatele, kteří navštěvují zakázané stránky(například webové stránky s dětskou pornografií). Forenzní vyšetřovatel může prozkoumat kybernetickou stopu, kterou pachatel zanechal.
bez ohledu na důvod vyšetřování analytici postupují krok za krokem, aby se ujistili, že zjištění jsou zdravá. Po zahájení trestního řízení budou počítače a další digitální mediální zařízení a software zabaveny a / nebo vyšetřeny pro důkazy. Během procesu vyhledávání, všechny důležité položky jsou shromažďovány s cílem poskytnout forenzní analytik, co s / on potřebuje svědčit u soudu.
pak je čas extrahovat a analyzovat data. Počítačový forenzní vyšetřovatel bere v úvahu 5Ws (Kdo, Co, Kdy, Kde, proč) a jak došlo k počítačovému zločinu nebo incidentu. Pomocí standardních hodnotících kritérií může zkoušející identifikovat výpadky související s bezpečností v síťovém prostředí, které hledají podezřelý provoz a jakýkoli druh vniknutí, nebo mohou shromažďovat zprávy, data, obrázky a další informace, které mají být jednoznačně přiřazeny konkrétnímu uživateli zapojenému do případu.
forenzní proces zahrnuje také psaní zpráv. Počítačové forenzní zkoušející jsou povinni vytvořit takové zprávy pro advokáta diskutovat o dostupných faktických důkazů. Je důležité připravit forenzní důkazy pro svědectví, zejména pokud se případy dostanou k soudu a zkoušející je povolán jako technický / vědecký svědek nebo znalec.
způsoby získání důkazů forenzně
tradičně byla počítačová forenzní vyšetřování prováděna na datech v klidu, například zkoumáním obsahu pevných disků. Kdykoli forenzní vědec vyžadoval další analýzu (například k provádění zobrazování-kopírování pevných disků, flash disků, disků atd.), běžně se to provádělo v kontrolovaném laboratorním prostředí. Mrtvá analýza (také známá jako mrtvá forenzní akvizice nebo jen statická akvizice)je držení dat, které se provádí na počítačích, které byly vypnuty. Jinými slovy, zahrnuje vyšetření systému (a jeho částí) v klidu (mrtvý). Technika živé analýzy místo toho zahrnuje shromažďování dat ze systému před jeho vypnutím. Mrtvá analýza je považována za nezbytnou, aby měla čas také na získání fyzických důkazů, jako je DNA (otisky prstů na zařízení); v současné době je však středem pozornosti forenzních expertů živá akvizice v oboru.
provedení „živé analýzy“ v terénu poskytuje rychlé a včasné důkazy; může být provedeno díky analytickým nástrojům, které jsou nyní přenosné a mohou je provádět analytici na místě činu, aby mohli okamžitě začít vyšetřovat.
i když forenzní vyšetřovatel může potřebovat kriminální laboratoř pro další analýzu nebo pro provedení opakovaného procesu (něco, co není možné při živých akvizicích), ne všechny případy to vyžadují. Nicméně, je důležité, aby forenzní zkoušející shromáždil jen tolik informací, aby určil další vhodný krok ve vyšetřování. Tento přístup nezajišťuje žádnou ztrátu nebo poškození digitálních důkazů, ztrátu volatilních dat nebo potřebu povolení k zabavení zařízení.
živé vyšetřování již bylo provedeno po celá léta. V dnešním digitálním věku a nárůstu počítačové kriminality není žádným překvapením, proč je třeba zaměstnávat forenzní analytiky pro analýzu a interpretaci digitálních důkazů (např. V článku o Cyber Forensic Field Triage Process Model (CFFTPM) v roce 2006 poznamenal, že “ CFFTPM navrhuje přístup na místě nebo v terénu pro poskytování identifikace, analýzy a interpretace digitálních důkazů v krátkém časovém rámci, aniž by bylo nutné vzít systém(y)/média zpět do laboratoře pro hloubkové vyšetření nebo získání úplného forenzního obrazu(y).“
a few computers forensic tools
komplexní forenzní softwarové nástroje (jako je Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD atd.) používají vyšetřovatelé místa činu k zajištění jejich sběru, indexování a podrobné analýzy.
forenzní vyšetřování spočívá ve shromažďování počítačových forenzních informací; proces může začít analýzou síťového provozu pomocí analyzátoru paketů nebo nástroje sniffer, jako je Wireshark, který je schopen zachytit provoz a zaznamenat jej pro další analýzu. NetworkMiner, další nástroj pro forenzní analýzu sítě (NFAT), je alternativou k Wiresharku k extrahování nebo obnově všech souborů. Snort je místo toho cenným nástrojem při sledování vetřelců sítě v reálném čase.
NFAT software také obsahuje forenzní schopnosti tím, že provádí analýzu uloženého síťového provozu, jak jeho název napovídá. Pokud jde o reakci a identifikaci incidentů, forenzní Toolkit nebo FTK lze použít k identifikaci smazaných souborů a jejich obnovení; vzhledem k tomu, že EnCase je vhodný pro forenzní, kybernetickou bezpečnost a e-discovery.
potřeba nových forenzních nástrojů
implementace a rychlý růst nových technologií způsobily poměrně málo problémů forenzním analytikům, kteří nyní čelí úkolům hledat informace nejen na osobních počítačích a noteboocích, ale také (a častěji) na tabletech a chytrých telefonech.
„forenzní mobilní zařízení je věda o obnově digitálních důkazů z mobilního zařízení za forenzně zdravých podmínek pomocí přijatých metod,“ uvádí NIST ve svých “ pokynech pro forenzní mobilní zařízení.“Průvodce zdůrazňuje, jak forenzní analytici musí dnes pevně porozumět jedinečnosti mobilního světa a porozumět většině technologických prvků za jakýmkoli modelem a typem zařízení, které lze nalézt na místě činu.
šíření proprietárních operačních systémů, šifrovacích technologií a ochranných nástrojů vyvinutých společnostmi chytrých telefonů, jako jsou Nokia, Samsung, LG, Huawei, Apple a další, nutí analytiky držet krok s nejnovějším vývojem rychleji než kdykoli předtím. Dnešní nová pokročilá zařízení jsou vyráběna s vyššími sazbami a získávání informací z nich, a to i po obcházení zjevných bezpečnostních funkcí, které je chrání, nabízí jedinečné výzvy.
při práci se samostatnými počítači analytik věděl, kde hledat data (RAM, BIOS, HHD…). V úložišti mobilních zařízení to není tak jasné a relevantní informace lze nalézt na několika místech, například od NAND po flash paměť až po RAM SIM karty.
je důležité pracovat způsobem, který uchovává data, například s ohledem na problémy, jako jsou účinky odvodnění energie na volatilní paměť zařízení, které by mohly odhalit důležité informace o provádění programů v zařízení. Kromě toho „uzavřené operační systémy ztěžují interpretaci jejich přidruženého systému souborů a struktury. Mnoho mobilních zařízení se stejným operačním systémem se může také velmi lišit v jejich implementaci, což má za následek nesčetné množství permutací systému souborů a struktury. Tyto permutace vytvářejí významné výzvy pro výrobce mobilních forenzních nástrojů a zkoušející.“(Speciální publikace NIST 800-101, revize 1)
jak vysvětluje Národní institut pro standardy a technologie (NIST), mnoho z nich je technik, které mohou analytici použít ke shromažďování forenzních dat z mobilních zařízení, od méně rušivé ruční extrakce po invazivní, sofistikované a drahé mikro čtení. Ruční extrakce znamená získání informací jednoduše pomocí uživatelského rozhraní zařízení a displeje. Druhý krok je stále základní a zahrnuje logickou extrakci. Třetí úroveň zahrnuje metody extrakce Hex Dumping/JTAG; vyžaduje obtížnější přístup k shromažďování dat-prováděný fyzickým získáním paměti zařízení. Čtvrtá úroveň je metoda čipování, která zahrnuje skutečné odstranění paměti a pátá, nejobtížnější a sofistikovanější metoda je technika mikro čtení, ve které analytici používají sofistikovaný mikroskop k zobrazení fyzického stavu všech bran.
NIST nejen pracuje na společném přístupu k mobilní forenzní, ale také poskytuje fórum pro shromažďování nápadů na cloud forenzní. Cloud computing je rychle rostoucí technologie, kterou nyní používá většina uživatelů mobilních zařízení a mnoho společností. Jeho flexibilita a škálovatelnost z něj činí atraktivní volbu pro většinu uživatelů, ale také představuje jedinečné forenzní výzvy.
kromě technických výzev ve skutečnosti cloud computing představuje jurisdikci a právní problémy. Data mohou být ve skutečnosti uložena a přístupná kdekoli a pro vyšetřovatele může být problematické přistupovat k datům v různých zemích nebo způsoby, které zachovávají práva na soukromí ostatních uživatelů cloudu.
kromě toho je někdy obtížné přiřadit data a akce konkrétnímu uživateli. Obnova dat může být také problematická kvůli přepsání a opětovnému použití prostoru v cloudovém prostředí.
vyšetřovatelé si musí být také vědomi Anti-forenzních technik, nástrojů a postupů, které mohou forenzní analýzu učinit neprůkaznou zejména v cloudovém prostředí. Některé typy malwaru a mlhavých technik mohou ohrozit integritu shromážděných důkazů a mohou učinit závěry těžko předložitelné u soudu.
závěr
jak vysvětluje Infosec na svých webových stránkách, “ dnešní společnosti potřebují počítačové forenzní specialisty, aby určili příčinu útoku hackerů, shromáždili důkazy právně přípustné u soudu a chránili firemní majetek a pověst.“
s kyberkriminalitou (tj., jakýkoli trestný čin zabývající se počítači a sítěmi) na vzestupu a ohrožování organizačních dat, jakož i zvýšené využívání digitálních návrhů širokou populací, se analýza digitálních důkazů stává klíčovým prvkem na mnoha místech činu.
forenzní výpočetní technika je nyní vzrušující profese, která klade důraz na lidský prvek, ale také představuje výzvy kvůli potřebě odhalení digitálních důkazů v neustále se měnícím prostředí. Technologický pokrok a přechod na síťová a cloudová prostředí, kde mohou snadno vstoupit do hry anti-forenzní metody, ukládá odborníkům v oboru, aby průběžně aktualizovali a revidovali standardní provozní postupy.
Rebecca T. Mercuri, zakladatelka společnosti Notable Software, Inc., uvedeno v odborném článku o výzvách ve forenzním počítání, že “ pokračující zralost této oblasti vždy přinese určitou stabilizaci v osvědčených postupech, školení, certifikace, a sady nástrojů, ale nové výzvy se vždy objeví kvůli dynamické povaze technologie v jejím kořenu.“Nicméně, jak uvádí FBI na svých webových stránkách,“ tato vznikající forenzní disciplína má zůstat účinným a spolehlivým nástrojem v systému trestního soudnictví.“
zdroje
pokyny pro forenzní mobilní zařízení
Carving out the Difference between Computer Forensics and E-Discovery
zjednodušení digitálního forenzního pracovního postupu: Část 3
bezpečnější živé forenzní akvizice
Security Watch-výzvy ve forenzním počítání
průvodce počítačovou forenzní analýzou a vyšetřováním. (3.vydání.). Boston, MA
Computer Forensics Field Triage Process Model.
Innovations Blog: the Push for Live Forensics.
digitální forenzní analýza není jen jak, ale proč