kun yhä useammat käyttäjät liikkuvat ja käyttävät toisiinsa kytkettyjä laitteita, tietokoneet ovat usein vaaratilanteiden ja tutkimusten keskipisteessä. Todistusaineistoa tuomioistuimissa käytävää keskustelua varten kerätään usein digitaalisten oikeuslääketieteellisten asiantuntijoiden taitojen ansiosta, jotka voivat poimia ratkaisevia tietoja asianomaisille osapuolille kuuluvista elektronisista laitteista. Lain virkamiehet joskus riippuvainen todistus tietokoneen rikosteknisten analyytikot erikoistunut e-discovery; nämä asiantuntijat kutsutaan työskentelemään suoraan poliisien ja etsivien auttaa tunnistamaan, säilyttää, analysoida ja esittää digitaalisia todisteita auttaa ratkaisemaan rikostapauksia.
artikkelin tarkoituksena on antaa yleiskatsaus rikostekniseen rikostekniseen tutkimukseen sekä menetelmiin, joita on sovellettu digitaalisen todistusaineiston hankkimisessa tietokonejärjestelmistä ja mobiililaitteista rikostutkintaan liittyvän tiedon analysoimiseksi. Se koskee myös uusimpia rikosteknisiä haasteita: mobiilitutkinta, pilvitutkinta ja rikostutkinta.
rikostekniset asiantuntijat
rikosteknisten asiantuntijoiden tehtävänä on ”auttaa tunnistamaan rikollisia ja analysoida todisteita heitä vastaan”, sanoo Hall Dillon Yhdysvaltain Työvoimatilastoviraston uranäkymät-lehdessä.
koulutetut ja taitavat henkilöt työskentelevät julkisoikeudellisissa laitoksissa tai yksityisellä sektorilla suorittaakseen digitaalisen todistusaineiston keräämiseen ja analysointiin liittyviä tehtäviä. He ovat myös vastuussa merkityksellisten raporttien kirjoittamisesta tutkinta-ja lakiympäristöä varten. Labratyöskentelyn lisäksi oikeuslääketieteen asiantuntijat soveltavat alalla digitaalisia tutkintatekniikoita, joiden avulla saadaan selville metatietoja, joilla on merkitystä oikeudessa.
nykypäivän rikostekniset tietokoneanalyytikot pystyvät palauttamaan tietoja, jotka on poistettu, salattu tai piilotettu mobiililaitteiden teknologian taitteisiin; heidät voidaan kutsua todistamaan oikeudessa ja suhteuttamaan tutkimusten aikana löydettyjä todisteita. He voivat osallistua haastaviin tapauksiin, kuten rikoksentekijöiden alibien todentamiseen, Internetin väärinkäytön tutkimiseen, laskentaresurssien väärinkäyttöön ja verkon käyttöön tietokoneisiin liittyvien uhkien tekemisessä. Oikeuslääketieteen asiantuntijoita voidaan pyytää tukemaan suuria tapauksia, joissa tietomurrot, tunkeutumiset, tai muunlaisia vaaratilanteita. Soveltamalla tekniikoita ja omia ohjelmistoja oikeuslääketieteellisiä sovelluksia tutkia järjestelmän laitteita tai alustoja, he saattavat pystyä tarjoamaan avainlöytöjä selvittää, kuka oli/olivat vastuussa tutkitun rikoksen.
nopeasti kasvavasta tieteenalasta on tullut oma tieteellinen osaamisalueensa, johon liittyy koulutusta ja sertifikaatteja (CCFE, CHFI). Mukaan Computer Forensics World, yhteisö ammattilaisten mukana digitaalisen rikosteknisen teollisuuden, sertifioidut henkilöt tällä alalla ovat vastuussa tunnistaminen, kerääminen, hankinta, todentaminen, säilyttäminen, tutkiminen, analyysi, ja esittämistä todisteita syyteharkintaan.
atk-oikeuslääketieteellinen prosessi
atk-oikeuslääketieteellisen tutkimuksen tarkoituksena on palauttaa tietoja rikostutkinnassa todistusaineistona takavarikoiduista tietokoneista. Asiantuntijat tarkastelevat järjestelmällisesti todisteita, joita voitaisiin esittää oikeudenkäynnin aikana. Oikeuslääketieteen asiantuntijoiden on osallistuttava tutkimukseen varhaisessa vaiheessa, koska he voivat auttaa teknisen aineiston asianmukaisessa keräämisessä siten, että Sisältö voidaan palauttaa vahingoittamatta sen eheyttä.
oikeuslääketieteellisiin tutkimuksiin voi sisältyä monia (tai kaikkia) seuraavista vaiheista:
- tiedonkeruu-digitaalisen todistusaineiston haku ja haltuunotto ja tiedonhankinta
- tutkimus – sovellettavat menetelmät tietojen tunnistamiseksi ja poimimiseksi
- analyysi – tietojen ja resurssien käyttäminen asian todistamiseen
- raportointi – kerätyn tiedon esittäminen (esim. kirjallinen tapausraportti)
Bill Nelson, yksi osallistuvista kirjoittajista Guide to Computer Forensics and Investigations (kolmas toim.) kirja, korostaa kolmen A: n tietokonetutkinnan tärkeyttä: hankkia, todentaa ja analysoida. Hän sanoo, että tietokoneen oikeuslääketieteellinen prosessi, itse asiassa, liittyy ottaen systemaattinen lähestymistapa, johon kuuluu alustava arviointi, hankkia todisteita ja analysoida sitä, loppuun tapausraportti (2008, s.32-33).
rikostekniset tapaukset vaihtelevat suuresti; jotkut käsittelevät tietokoneisiin tunkeutujia, jotka varastavat tietoja; toiset liittyvät hakkereihin, jotka murtautuvat verkkosivuille ja käynnistävät DDoS-hyökkäyksiä tai yrittävät päästä käsiksi käyttäjätunnuksiin ja salasanoihin identiteettivarkauksia varten vilpillisin aikein, kertoo FBI. Joissakin tapauksissa on kyse verkkovakoilusta tai väärintekijöistä, jotka vierailevat kielletyillä sivustoilla (esim.lapsipornosivustot). Oikeuslääketieteellinen tutkija voi tutkia tekijän jättämiä nettijälkiä.
oli tutkimuksen syy mikä tahansa, analyytikot noudattavat vaiheittaisia menettelytapoja varmistaakseen, että löydökset ovat luotettavia. Kun rikosasia on avoin, tietokoneet ja muut digitaaliset medialaitteet ja ohjelmistot takavarikoidaan ja/tai tutkitaan todisteiden saamiseksi. Hakuprosessin aikana kaikki olennaiset esineet kerätään, jotta oikeuslääketieteellinen analyytikko saa tarvitsemansa todistuksen oikeudessa.
sitten on aika poimia ja analysoida tietoja. Tietokonelääketieteellinen tutkija ottaa huomioon 5WS: n (Kuka, mitä, milloin, missä, miksi) ja miten tietokonerikos tai tapaus tapahtui. Käyttämällä standard arviointikriteerit, tarkastaja voi tunnistaa tietoturvaan liittyvät raukeaa verkkoympäristössä etsivät epäilyttävää liikennettä ja minkäänlaista tunkeutumisia, tai ne voivat kerätä viestejä, tietoja, kuvia, ja muita tietoja voidaan yksilöllisesti johtuvan tietyn käyttäjän mukana tapauksessa.
rikostekniseen prosessiin kuuluu myös raportin kirjoittaminen. Oikeuslääketieteen tutkijat ovat velvollisia luomaan tällaisia raportteja asianajaja keskustella käytettävissä tosiasioihin perustuvaa näyttöä. On tärkeää valmistella oikeuslääketieteelliset todisteet todistajanlausuntoja varten erityisesti silloin, kun tapaukset menevät oikeudenkäyntiin ja tutkijaa kutsutaan teknis-tieteelliseksi todistajaksi tai asiantuntijatodistajaksi.
tapoja hankkia todisteita rikosteknisesti
perinteisesti rikosteknisiä tutkimuksia on tehty levossa olevista tiedoista esimerkiksi tutkimalla kiintolevyjen sisältöä. Aina, kun oikeuslääketieteen tutkija vaati lisäanalyysejä (kuten kuvantamista—kovalevyjen, muistitikkujen, levyjen jne.kopiointia.), se tehtiin normaalisti kontrolloidussa laboratorio-ympäristössä. Dead analysis (tunnetaan myös nimellä dead forensic acquisition tai vain staattinen hankinta) on tietojen hallussapito, joka suoritetaan tietokoneissa, jotka on kytketty pois päältä. Toisin sanoen, se sisältää tutkimuksia järjestelmän (ja sen osia) levossa (kuollut). Live-analyysi tekniikka, sen sijaan, kuuluu kerätä tietoja järjestelmästä ennen sulkemista sen. Kuollutta analyysiä pidetään tarpeellisena, jotta aikaa olisi myös fyysisten todisteiden, kuten DNA: n (sormenjäljet laitteissa), hakemiseen; tällä hetkellä oikeuslääketieteellisten asiantuntijoiden huomion kohteena on kuitenkin elävänä tapahtuva hankinta alalla.
”live-analyysin” suorittaminen kentällä tarjoaa nopean ja ennakkotodistelun; se voidaan suorittaa sellaisten analyyttisten työkalujen ansiosta, jotka ovat nyt kannettavissa ja joita rikospaikalla olevat analyytikot voivat kantaa, jotta tutkimukset voidaan aloittaa välittömästi.
vaikka oikeuslääketieteellinen tutkija saattaa tarvita rikoslaboratoriota jatkotutkimuksiin tai toistuvaan prosessiin (mikä ei ole mahdollista live-hankinnoilla), kaikki tapaukset eivät vaadi sitä. On kuitenkin tärkeää, että oikeuslääketieteellinen tutkija kerää juuri riittävästi tietoa, jotta voidaan määrittää seuraava asianmukainen vaihe tutkinnassa. Tällä lähestymistavalla varmistetaan, ettei digitaalista todistusaineistoa menetetä tai vahingoiteta, haihtuvia tietoja menetetä tai että laitteen haltuunottoa varten tarvitaan lupa.
eläviä tutkimuksia on tehty jo vuosia. Nykypäivän digitaaliaikana ja tietokonerikollisuuden lisääntyessä ei ole yllättävää, miksi on tarpeen palkata rikosteknisiä analyytikoita digitaalisen todistusaineiston (esim.tietokonejärjestelmät, tallennusvälineet ja laitteet) analysointiin ja tulkintaan, selittää Marcus K. Rogers, Purduen yliopiston tietokone-ja tietotekniikkaosasto. Artikkelissa Cyber Forensic Field Triage Process Model (Cfftpm) vuonna 2006, hän totesi, että ”CFFTPM ehdottaa paikan päällä tai kentällä lähestymistapa tarjota tunnistaminen, analysointi ja tulkinta digitaalisen todistusaineiston lyhyessä ajassa, ilman vaatimusta ottaa järjestelmä(t)/media takaisin laboratorioon perusteellista tutkimusta tai hankkia täydellinen oikeuslääketieteellinen Kuva(t).”
muutamat tietokoneet rikostekniset työkalut
kattavat rikostekniset ohjelmistotyökalut (kuten Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD jne.) käytetään rikospaikkatutkijat tarjota niiden kokoelma, indeksointi ja yksityiskohtainen analyysi.
rikostekninen tutkimus koostuu tietokoneen oikeuslääketieteellisen tiedon keräämisestä; prosessi voidaan aloittaa analysoimalla verkkoliikennettä pakettianalysaattorilla tai Wiresharkin kaltaisella nuuskintavälineellä, joka pystyy sieppaamaan liikenteen ja kirjaamaan sen myöhempää analysointia varten. NetworkMiner, toinen Network Forensic Analysis Tool (NFAT), on vaihtoehto Wireshark poimia tai palauttaa kaikki tiedostot. Snort sen sijaan on arvokas työkalu verkkohyökkääjien jäljittämisessä reaaliajassa.
NFAT-ohjelmisto sisältää nimensä mukaisesti myös rikosteknisiä valmiuksia tekemällä analyyseja tallennetusta verkkoliikenteestä. Kuten tapaus vastaus ja tunnistaminen, Forensic Toolkit, tai FTK, voidaan tunnistaa poistetut tiedostot ja palauttaa ne; taas, EnCase on apt for forensic, cyber-security ja e-discovery käyttöä.
uusien rikosteknisten välineiden tarve
uusien teknologioiden käyttöönotto ja nopea kasvu on aiheuttanut melkoisia ongelmia rikosteknisille analyytikoille, joiden tehtävänä on nyt etsiä tietoa henkilökohtaisten tietokoneiden ja kannettavien tietokoneiden lisäksi (ja useammin) myös tableteista ja älypuhelimista.
”Mobile device forensics is the science of recovering digital evidence from a mobile device under forensically sound conditions using accepted methods”, states NIST in its ”Guidelines on Mobile Device Forensics.”Oppaassa korostetaan sitä, kuinka rikosteknisten analyytikoiden täytyy nykyään ymmärtää vankasti mobiilimaailman ainutlaatuisuus ja ymmärtää suurin osa teknologisista ominaisuuksista minkä tahansa rikospaikalta löytyvän laitteen mallin ja tyypin takana.
Älypuhelinyritysten, kuten Nokian, Samsungin, LG: n, Huawein, Applen ja muiden kehittämien omien käyttöjärjestelmien, salaustekniikoiden ja suojaustyökalujen lisääntyminen velvoittaa analyytikot seuraamaan viimeisintä kehitystä nopeammin kuin koskaan ennen. Nykypäivän uusia kehittyneitä laitteita tuotetaan suuremmalla nopeudella ja tietojen talteenotto niistä, vaikka ohittamalla ilmeiset tietoturvaominaisuudet, jotka suojaavat niitä, tarjoavat ainutlaatuisia haasteita.
itsenäisten tietokoneiden parissa työskennellyt analyytikko tiesi mistä etsiä dataa (RAM, BIOS, HHD…). Mobiililaitteen tallennustilassa se ei ole yhtä selkeä, ja relevanttia tietoa voisi löytyä useista paikoista, NANDISTA NOR flash-muistista esimerkiksi SIM-kortin RAM-muistiin.
on tärkeää työskennellä tavalla, joka säilyttää tietoja ottaen huomioon esimerkiksi tämänkaltaiset virrankaivauksen vaikutukset laitteen haihtuvaan muistiin, jotka voisivat paljastaa tärkeitä tietoja ohjelman suorittamisesta laitteessa. Lisäksi ” suljetut käyttöjärjestelmät tekevät niihin liittyvän tiedostojärjestelmän ja rakenteen tulkinnasta vaikeaa. Monet mobiililaitteet, joilla on sama käyttöjärjestelmä, voivat myös vaihdella suuresti niiden toteutuksessa, mikä johtaa lukemattomiin tiedostojärjestelmän ja rakenteen permutaatioihin. Nämä permutaatiot luovat merkittäviä haasteita liikkuville rikosteknisten työkalujen valmistajille ja tutkijoille.”(NIST Special Publication 800-101, Revision 1)
kuten National Institute of Standards and Technology (NIST) selittää, monet ovat tekniikoita, joita analyytikot voivat käyttää kerätäkseen rikosteknistä tietoa mobiililaitteista, vähemmän tunkeilevasta manuaalisesta louhinnasta invasiiviseen, hienostuneeseen ja kalliiseen mikrolukuun. Manuaalinen louhinta tarkoittaa tiedon hankkimista pelkästään laitteen käyttöliittymän ja näytön avulla. Toinen vaihe on edelleen perus ja siihen liittyy looginen louhinta. Kolmas taso liittyy Hex polkumyynti / JTAG louhinta menetelmiä; se vaatii vaikeampaa tiedonkeruu lähestymistapa – suoritetaan vaikka fyysinen hankinta laitteen muistia. Neljäs taso on chip-off-menetelmä, johon kuuluu muistin varsinainen poistaminen ja viides, vaikein ja hienostunein menetelmä on Mikrolukutekniikka, jossa analyytikot käyttävät hienostunutta mikroskooppia tarkastellakseen kaikkien porttien fyysistä tilaa.
NIST ei ainoastaan työskentele yhteisen lähestymistavan parissa mobiilitutkinnassa, vaan tarjoaa myös foorumin, jossa kerätään ideoita pilvitutkinnasta. Cloud computing on nopeasti kasvava teknologia, jota käyttävät nykyään useimmat mobiililaitteiden käyttäjät ja monet yritykset. Sen joustavuus ja skaalautuvuus tekevät siitä houkuttelevan valinnan useimmille käyttäjille, mutta aiheuttaa myös ainutlaatuisia rikosteknisiä haasteita.
teknisten haasteiden lisäksi pilvilaskentaan liittyy juridisia ja juridisia ongelmia. Tietoja voidaan itse asiassa tallentaa ja käyttää missä tahansa, ja tutkijoille saattaa olla ongelmallista päästä käsiksi eri maiden tietoihin tai tavalla, joka säilyttää muiden pilvipalvelun käyttäjien yksityisyyden oikeudet.
lisäksi joskus on vaikeaa osoittaa tietoja ja toimia tietylle käyttäjälle. Datan talteenotto voi olla ongelmallista myös pilviympäristössä tapahtuvan tilan ylikirjoittamisen ja uudelleenkäytön vuoksi.
tutkijoiden on myös oltava tietoisia rikosteknisistä tekniikoista, työkaluista ja käytännöistä, jotka voivat tehdä rikosteknisestä analyysistä epäuskottavan erityisesti pilviympäristössä. Tietyntyyppiset haittaohjelmat ja hämäystekniikat voivat vaarantaa kerätyn todistusaineiston eheyden ja vaikeuttaa johtopäätösten esittämistä oikeudessa.
Conclusion
kuten Infosec kertoo verkkosivuillaan, ” nykypäivän yritykset tarvitsevat rikostutkinnan asiantuntijoita selvittämään hakkerihyökkäyksen perimmäisen syyn, keräämään todistusaineistoa, joka on laillisesti hyväksyttävissä oikeudessa, ja suojelemaan yritysten omaisuutta ja mainetta.”
kyberrikoksilla (ts., mikä tahansa tietokoneisiin ja verkkoihin liittyvä rikollinen teko) kasvava ja uhkaava organisaatiodata sekä väestön lisääntynyt digitaalisten laitteiden käyttö, digitaalisen todistusaineiston analysointi tulee keskeiseksi tekijäksi monilla rikospaikoilla.
rikostekninen tietojenkäsittely on nykyään jännittävä ammatti, joka painottaa inhimillistä elementtiä, mutta asettaa myös haasteita, koska digitaalisia todisteita on löydettävä alati muuttuvassa ympäristössä. Teknologian kehittyminen ja siirtyminen verkottuneisiin ja pilvisiin ympäristöihin, joissa rikostekniset menetelmät ovat helposti käytettävissä, velvoittaa alan ammattilaiset pysymään ajan tasalla ja tarkistamaan jatkuvasti vakiomuotoisia toimintatapoja.
Rebecca T. Mercuri, Notable Software, Inc., totesi tieteellisessä artikkelissa haasteita Forensic Computing, että ” jatkuva kypsyys tällä alalla poikkeuksetta tuo joitakin vakauttaminen parhaita käytäntöjä, koulutusta, sertifiointi, ja työkalusarjat, mutta uusia haasteita tulee aina esiin, koska dynaaminen luonne teknologian sen juuret.”Kuitenkin, kuten FBI toteaa nettisivuillaan,” tämän uuden rikosteknisen tieteenalan on määrä pysyä tehokkaana ja luotettavana välineenä rikosoikeusjärjestelmässä.”
Sources
Guidelines on Mobile Device Forensics
Carving out the Difference between Computer Forensics and E-Discovery
virtaviivaistaminen the Digital Forensic Workflow: Part 3
Safer Live Forensic Acquisition
Security Watch – challenges in Forensic Computing
Guide to rikostekninen tutkimus. (3.). Boston, MA
Computer Forensics Field Triage Process Model.
Innovations Blog: the Push for Live Forensics.
digitaalinen rikostutkinta ei ole vain miten vaan miksi