efterhånden som flere og flere brugere bliver mobile og bruger sammenkoblede enheder, er computere ofte i centrum for hændelser og undersøgelser. Bevis for diskussion i en domstol indsamles ofte takket være færdighederne hos digitale retsmedicinske eksperter, der kan udtrække vigtige data fra elektroniske enheder, der tilhører de berørte parter. Lovembedsmænd er engang afhængige af vidnesbyrd fra computer-retsmedicinske analytikere, der er specialiseret i e-opdagelse; disse eksperter kaldes til at arbejde direkte med politibetjente og detektiver for at hjælpe med at identificere, bevare, analysere og præsentere digitale beviser for at hjælpe med at løse kriminalitetssager.
formålet med artiklen er at give et overblik over computer forensics og de metoder, der anvendes i erhvervelsen af digitale beviser fra computersystemer og mobile enheder til analyse af oplysninger involveret i strafferetlige undersøgelser. Det berører også de nyeste retsmedicinske udfordringer: mobile forensics, cloud forensics og anti-forensics.
Computer forensic eksperter
de retsmedicinske eksperters job er at “hjælpe med at identificere kriminelle og analysere beviser mod dem”, siger Hall Dillon i et karriereudsigtsindlæg for US Bureau of Labor Statistics.
uddannede og dygtige personer arbejder for offentlig retshåndhævelse eller i den private sektor for at udføre opgaver i forbindelse med indsamling og analyse af digitale beviser. De er også ansvarlige for at skrive meningsfulde rapporter til brug i efterforsknings-og juridiske omgivelser. Ud over at arbejde i laboratorier, retsmedicinske eksperter anvender digitale efterforskningsteknikker inden for området, der afslører metadata, der har betydning i en domstol.
dagens computer forensic analytikere er i stand til at inddrive data, der er blevet slettet, krypteret eller er skjult i folderne i mobile enheder teknologi; de kan kaldes til at vidne i retten og relatere beviser fundet under undersøgelser. De kan være involveret i udfordrende sager, herunder verifikation af lovovertræderes alibier, undersøgelse af internetmisbrug, misbrug af computerressourcer og netværksbrug til fremstilling af computerrelaterede trusler. Retsmedicinske eksperter kan opfordres til at støtte større sager, der involverer databrud, indtrængen, eller enhver anden type hændelser. Ved at anvende teknikker og proprietære retsmedicinske applikationer til at undersøge systemenheder eller platforme kan de muligvis give vigtige opdagelser til pin, der var/var ansvarlig for en undersøgt forbrydelse.
den hurtigt voksende disciplin inden for Computer forensics er blevet sit eget område af videnskabelig ekspertise med ledsagende uddannelse og certificeringer (CCFE, CHFI). Ifølge Computer Forensics verden, et fællesskab af fagfolk, der er involveret i den digitale forensics industri, de certificerede personer på dette område er ansvarlige for identifikation, indsamling, erhvervelse, godkendelse, bevarelse, undersøgelse, analyse, og præsentation af beviser til retsforfølgning formål.
computer forensic process
formålet med en computer retsmedicinsk undersøgelse er at gendanne data fra computere beslaglagt som bevis i kriminelle efterforskninger. Eksperter bruger en systematisk tilgang til at undersøge beviser, der kan fremlægges i retten under sagen. Inddragelse af retsmedicinske eksperter skal være tidligt i en undersøgelse, da de kan hjælpe med korrekt indsamling af teknisk materiale på en måde, der gør det muligt at gendanne indholdet uden skade på dets integritet.
Forensic investigation indsats kan involvere mange (eller alle) af følgende trin:
- indsamling-søgning og beslaglæggelse af digitale beviser og erhvervelse af data
- undersøgelse-anvendelse af teknikker til at identificere og udtrække data
- Analyse-brug af data og ressourcer til at bevise en sag
- rapportering – præsentation af den indsamlede information (f. eks. skriftlig sagsrapport))
Bill Nelson, en af de medvirkende forfattere af Guide til Computer Forensics and Investigations (tredje udgave.) bog, fremhæver betydningen af de tre A ‘ er af computer Forensics: erhverve, Godkende og analysere. Han siger, at computer retsmedicinsk proces faktisk indebærer at tage en systematisk tilgang, som omfatter en indledende vurdering, indhentning af beviser og analyse af det, for at udfylde en sagsrapport (2008, s.32-33).
retsmedicinske sager varierer meget; nogle beskæftiger sig med computerindtrengere, der stjæler data; andre involverer hackere, der bryder ind på hjemmesider og lancerer DDoS-angreb eller forsøger at få adgang til brugernavne og adgangskoder til identitetstyveri med svigagtige intentioner, siger FBI. Nogle tilfælde involverer cyber-stalking eller lovovertrædere, der besøger forbudte steder (f.eks. børnepornografiske hjemmesider). En retsmediciner kan udforske cyber-trail efterladt af gerningsmanden.
uanset årsagen til undersøgelsen følger analytikerne trinvise procedurer for at sikre, at resultaterne er sunde. Når en straffesag er åben, vil computere og andet digitalt medieudstyr blive beslaglagt og / eller undersøgt for bevis. Under hentningsprocessen indsamles alle væsentlige genstande for at give den retsmedicinske analytiker, hvad han/hun har brug for for at afgive vidnesbyrd i retten.
så er det tid til at udtrække og analysere data. En computer retsmedicinsk efterforsker tager højde for 5V ‘erne (hvem, hvad, hvornår, hvor, hvorfor) og hvordan en computerkriminalitet eller hændelse opstod. Ved hjælp af standard evalueringskriterier kan eksaminatoren identificere sikkerhedsrelaterede bortfald i et netværksmiljø på udkig efter mistænkelig trafik og enhver form for indtrængen, eller de kan indsamle meddelelser, data, billeder og andre oplysninger, der entydigt tilskrives en bestemt bruger, der er involveret i en sag.
retsmedicinsk proces inkluderer også rapportskrivning. Computer retsmedicinske eksaminatorer er forpligtet til at oprette sådanne rapporter, så advokaten kan diskutere tilgængelige faktiske beviser. Det er vigtigt at forberede retsmedicinske beviser til Vidnesbyrd, især når sager går til retssag, og eksaminatoren kaldes som et teknisk/videnskabeligt vidne eller ekspertvidne.
måder at få bevis retsmedicinsk
traditionelt blev computer retsmedicinske undersøgelser udført på data i ro, for eksempel ved at udforske indholdet af harddiske. Når en retsmedicinsk videnskabsmand krævede yderligere analyse (såsom at udføre billeddannelse—kopiering af harddiske, flashdrev, diske osv.), blev det normalt udført i et kontrolleret laboratoriemiljø. Død analyse (også kendt som død retsmedicinsk erhvervelse eller bare statisk erhvervelse) er databesiddelse, der udføres på computere, der er slukket. Med andre ord involverer det undersøgelser af systemet (og dele af det) i hvile (død). Live-analyseteknikken involverer i stedet indsamling af data fra et system, før de lukkes ned. En død analyse anses for nødvendig for også at have tid til at hente fysiske beviser som DNA (fingeraftryk på udstyr); det er dog live erhvervelse på området, der i øjeblikket er fokus for retsmedicinske eksperters opmærksomhed.
udførelse af en “live analyse” i marken giver hurtige og up-front beviser; det kan udføres takket være analytiske værktøjer, der nu er bærbare og kan bæres af analytikerne på gerningsstedet for at begynde at undersøge straks.
selvom en retsmediciner muligvis har brug for kriminalitetslaboratoriet til yderligere analyse eller til at udføre en gentagen proces (noget, der ikke er muligt med live-erhvervelser), kræver ikke alle sager det. Ikke desto mindre er det vigtigt for retsmedicineren at indsamle lige nok information til at bestemme det næste passende trin i undersøgelsen. Denne tilgang sikrer intet tab eller beskadigelse af digitale beviser, tab af flygtige data eller behov for en garanti for beslaglæggelse af udstyret.
Live undersøgelser er allerede blevet udført i årevis. I dagens digitale tidsalder og stigning i computerkriminalitet er det ingen overraskelse, hvorfor der er behov for at ansætte retsmedicinske analytikere til analyse og fortolkning af digitale beviser (f.eks. I en artikel om Cyber Forensic Field Triage Process Model (CFFTPM) i 2006 bemærkede han, at “CFFTPM foreslår en onsite-eller feltmetode til at give identifikation, analyse og fortolkning af digitale beviser inden for en kort tidsramme uden krav om at skulle tage systemet/medierne tilbage til laboratoriet for en grundig undersøgelse eller erhverve et komplet retsmedicinsk billede(er).”
et par computere retsmedicinske værktøjer
omfattende retsmedicinske værktøjer (f.eks.) bruges af efterforskere af gerningssteder til at levere deres indsamling, indeksering og detaljeret analyse.
en retsmedicinsk undersøgelse består i at indsamle computer retsmedicinsk information; processen kan begynde med at analysere netværkstrafik med en pakkeanalysator eller et snifferværktøj som f.eks. Netværksminer, et andet netværk Forensic Analysis Tool (NFAT), er et alternativ til at udtrække eller gendanne alle filer. Snort er i stedet et værdifuldt værktøj til at spore netværksindtrengere i realtid.
nfat indeholder også retsmedicinske kapaciteter ved at udføre analyse på lagret netværkstrafik, som navnet antyder. Hvad angår hændelsesrespons og identifikation, kan et retsmedicinsk værktøjssæt eller FTK bruges til at identificere slettede filer og gendanne dem; der henviser til, EnCase er velegnet til retsmedicinsk, cybersikkerhed og e-opdagelsesbrug.
behovet for nye retsmedicinske værktøjer
implementeringen og den hurtige vækst af nye teknologier har skabt en hel del problemer for retsmedicinske analytikere, der nu står over for opgaverne med at skulle søge information ikke kun på personlige computere og bærbare computere, men også (og oftere) på tablets og smartphones.
“mobile device forensics er videnskaben om at inddrive digitale beviser fra en mobil enhed under retsmedicinsk forsvarlige forhold ved hjælp af accepterede metoder,” hedder NIST i sin “retningslinjer for Mobile device Forensics.”Guiden fremhæver, hvordan retsmedicinske analytikere i dag skal have en fast forståelse af det unikke i den mobile verden og forstå de fleste af teknologifunktionerne bag enhver model og type enhed, der kan findes på et gerningssted.
udbredelsen af proprietære operativsystemer, krypteringsteknologier og beskyttelsesværktøjer udviklet af smartphone-virksomheder som Nokia, Samsung, LG, Apple og mere forpligter analytikere til at holde trit med den seneste udvikling hurtigere end nogensinde før. Dagens nye avancerede enheder produceres til højere priser, og udtrækning af information fra dem, selv efter at have omgået de åbenlyse sikkerhedsfunktioner, der beskytter dem, giver unikke udfordringer.
arbejde med frittstående computere vidste en analytiker, hvor han skulle lede efter data (RAM, BIOS, HHD…). I en mobilenhedslagring er den ikke så klar, og relevant information kunne findes flere steder, fra NAND til NOR flash-hukommelse til RAM på et SIM-kort, for eksempel.
det er vigtigt at arbejde på måder, der bevarer data i betragtning af for eksempel problemer som virkningerne af strømafløb på enhedens flygtige hukommelse, der kan afsløre vigtige oplysninger om programudførelser på enheden. Derudover ” gør lukkede operativsystemer det vanskeligt at fortolke deres tilknyttede filsystem og struktur. Mange mobile enheder med det samme operativsystem kan også variere meget i deres implementering, hvilket resulterer i et utal af filsystem-og strukturpermutationer. Disse permutationer skaber betydelige udfordringer for mobile retsmedicinske værktøjsproducenter og eksaminatorer.”(NIST Special Publication 800-101, Revision 1)
som National Institute of Standards and Technology (NIST) forklarer, er mange de teknikker, som analytikere kan anvende for at indsamle retsmedicinske data fra mobile enheder, fra den mindre påtrængende manuelle ekstraktion til den invasive, sofistikerede og dyre mikrolæsning. Manuel ekstraktion betyder at indhente oplysninger ved blot at bruge enhedens brugergrænseflade og display. Det andet trin er stadig grundlæggende og involverer logisk ekstraktion. Det tredje niveau involverer Sekskantdumping/JTAG – ekstraktionsmetoder; det kræver en vanskeligere dataindsamlingsmetode-udført gennem den fysiske erhvervelse af enhedens hukommelse. Det fjerde niveau er chip-off-metoden, der involverer den faktiske fjernelse af hukommelsen, og den femte, den sværeste og mest sofistikerede metode er Mikrolæsningsteknikken, hvor analytikere bruger et sofistikeret mikroskop til at se den fysiske tilstand af alle porte.
NIST arbejder ikke kun på en fælles tilgang til mobil forensics, men også i at give et forum til at samle ideer om cloud forensics. Cloud computing er en hurtigt voksende teknologi, der nu bruges af de fleste brugere af mobile enheder og mange virksomheder. Dens fleksibilitet og skalerbarhed gør det til et tiltalende valg for de fleste brugere, men udgør også unikke retsmedicinske udfordringer.
ud over tekniske udfordringer udgør cloud computing faktisk jurisdiktion og juridiske problemer. Data kan faktisk gemmes og tilgås hvor som helst, og det kan være problematisk for efterforskere at få adgang til data i forskellige lande eller på måder, der bevarer andre skybrugeres privatlivsret.
derudover er det nogle gange svært at tildele data og handlinger til en bestemt bruger. Gendannelse af data kan også være problematisk på grund af overskrivning og genbrug af plads i et skymiljø.
efterforskere skal også være opmærksomme på anti-retsmedicinske teknikker, værktøjer og praksis, der kan gøre retsmedicinsk analyse ufattelig, især i et skymiljø. Visse typer ondskabsfuldhed og tilsløringsteknikker kan kompromittere integriteten af indsamlede beviser og kan gøre konklusioner svære at præsentere for retten.
konklusion
som Infosec forklarer på sin hjemmeside, “Computer Forensics-specialister er nødvendige af nutidens virksomheder for at bestemme årsagen til et hackerangreb, indsamle beviser, der er lovligt tilladt i retten, og beskytte virksomhedsaktiver og omdømme.”
med cyberkriminalitet (dvs., enhver kriminel handling, der beskæftiger sig med computere og netværk) stigende og truende organisatoriske data såvel som den øgede brug af digitale udtænker af den generelle befolkning bliver analysen af digitale beviser et afgørende element på mange gerningssteder.
Forensic computing er nu et spændende erhverv, der lægger vægt på det menneskelige element, men også udgør udfordringer på grund af behovet for at afdække digitale beviser i et stadigt skiftende miljø. Teknologiske fremskridt og skiftet til netværks-og skymiljøer, hvor anti-retsmedicinske metoder let kan komme i spil, forpligter fagfolk inden for felterne til at holde sig ajour og revidere løbende standarddriftsprocedurer.
Rebecca T. Mercuri, grundlægger af det bemærkelsesværdige program, Inc., bemærkede i en videnskabelig artikel om udfordringer inden for retsmedicinsk databehandling, at “den fortsatte modenhed på dette felt altid vil medføre en vis stabilisering i bedste praksis, uddannelse, certificering, og værktøjssæt, men nye udfordringer vil altid dukke op på grund af teknologiens dynamiske karakter ved dens rod.”Ikke desto mindre, som FBI siger på sin hjemmeside,” denne nye retsmedicinske disciplin skal forblive et effektivt og pålideligt værktøj i det strafferetlige system.”
kilder
retningslinjer for mobilenheds Forensics
Carving out forskellen mellem Computer Forensics og E-Discovery
strømlining af den digitale retsmedicinske arbejdsgang: Del 3
Safer Live Forensic erhvervelse
Sikkerhedsur – udfordringer inden for retsmedicinsk databehandling
vejledning til Computer Forensics og undersøgelser. (3. udgave.). Boston, MA
Computer Forensics felt Triage proces Model.
innovationer Blog: Push for Live Forensics.
Digital Forensics er ikke bare hvordan, men hvorfor