mivel egyre több felhasználó megy a mobil és hasznosítani összekapcsolt eszközök, számítógépek gyakran középpontjában események és vizsgálatok. A bíróságon folytatott megbeszélésekre vonatkozó bizonyítékokat gyakran a digitális igazságügyi szakértők készségeinek köszönhetően gyűjtik össze, amelyek az érintett felekhez tartozó elektronikus eszközökből kinyerhetik a kritikus adatokat. A jogi tisztviselők valamikor az e-felfedezésre szakosodott számítógépes kriminalisztikai elemzők vallomásától függenek; ezeket a szakértőket arra hívják fel, hogy közvetlenül működjenek együtt a rendőrökkel és a nyomozókkal, hogy segítsenek a digitális bizonyítékok azonosításában, megőrzésében, elemzésében és bemutatásában a bűncselekmények megoldása érdekében.

a cikk célja, hogy áttekintést nyújtson a számítógépes kriminalisztikáról és a digitális bizonyítékok számítógépes rendszerekből és mobil eszközökből történő megszerzése során alkalmazott módszerekről a bűnügyi nyomozásokban részt vevő információk elemzésére. Érinti a legújabb kriminalisztikai kihívásokat is: mobil kriminalisztika, felhő kriminalisztika és anti-kriminalisztika.

Computer forensic experts

a törvényszéki szakértők feladata, hogy “segítsenek azonosítani a bűnözőket és elemezni a velük szembeni bizonyítékokat” – mondja Hall Dillon az Egyesült Államok Munkaügyi Statisztikai Hivatalának karrier-kilátási posztjában.

képzett és képzett személyek dolgoznak az állami bűnüldözésben vagy a magánszektorban a digitális bizonyítékok gyűjtésével és elemzésével kapcsolatos feladatok elvégzésére. Ők felelősek azért is, hogy értelmes jelentéseket írjanak a nyomozati és jogi környezetben való felhasználásra. A laboratóriumokban végzett munka mellett az igazságügyi szakértők digitális nyomozási technikákat alkalmaznak a területen, feltárva a bíróságon fontos metaadatokat.

a mai számítógépes kriminalisztikai elemzők képesek helyreállítani a törölt, titkosított vagy a mobil eszközök technológiájában elrejtett adatokat; bírósági tanúvallomásra hívhatók fel, és a vizsgálatok során talált bizonyítékokat összekapcsolhatják. Részt vehetnek a kihívást jelentő ügyekben, beleértve az elkövetők alibijének ellenőrzését, az internetes visszaélések vizsgálatát, a számítástechnikai erőforrásokkal való visszaélést és a számítógépes fenyegetések során a hálózathasználatot. A törvényszéki szakértőket fel lehet hívni az adatok megsértésével járó súlyos esetek támogatására, behatolások, vagy bármilyen más típusú esemény. Technikák és szabadalmaztatott szoftveres törvényszéki alkalmazások alkalmazásával a Rendszereszközök vagy platformok vizsgálatára képesek lehetnek kulcsfontosságú felfedezéseket nyújtani annak meghatározására, hogy ki volt/volt felelős a vizsgált bűncselekményért.

a számítógépes kriminalisztika gyorsan növekvő tudományága saját tudományos szakterületévé vált, kísérő képzéssel és tanúsítással (CCFE, CHFI). A Computer Forensics World, a digitális kriminalisztikai iparban részt vevő szakemberek közössége szerint az ezen a területen tanúsított személyek felelősek a bizonyítékok büntetőeljárás céljából történő azonosításáért, gyűjtéséért, megszerzéséért, hitelesítéséért, megőrzéséért, vizsgálatáért, elemzéséért és bemutatásáért.

a számítógépes törvényszéki eljárás

a számítógépes törvényszéki vizsgálat célja a bűnügyi nyomozás során bizonyítékként lefoglalt számítógépek adatainak helyreállítása. A szakértők szisztematikus megközelítést alkalmaznak az eljárás során a bíróságon bemutatható bizonyítékok vizsgálatára. A törvényszéki szakértők bevonásának korai szakaszban kell lennie a nyomozásban, mivel segíthetnek a technikai anyagok megfelelő gyűjtésében oly módon, hogy lehetővé tegyék a tartalom helyreállítását annak integritásának károsodása nélkül.

a Törvényszéki vizsgálati erőfeszítések a következő lépések közül sokat (vagy mindet) magukban foglalhatnak:

  • adatgyűjtés-digitális bizonyítékok keresése és lefoglalása, valamint adatok megszerzése
  • vizsgálat-technikák alkalmazása az adatok azonosítására és kinyerésére
  • elemzés-adatok és források felhasználása az eset bizonyítására
  • jelentéstétel – az összegyűjtött információk bemutatása (pl. írásbeli esettanulmány)

Bill Nelson, A Guide to Computer Forensics and Investigations egyik közreműködő szerzője (harmadik Szerk.) könyv, kiemeli annak fontosságát, hogy a három a számítógépes kriminalisztika: megszerezni, hitelesíteni és elemezni. Azt mondja, hogy a számítógépes törvényszéki folyamat valójában szisztematikus megközelítést foglal magában, amely magában foglalja a kezdeti értékelést, a bizonyítékok megszerzését és elemzését, az esettanulmány kitöltését (2008, 32-33.

a Törvényszéki esetek nagyban különböznek; egyesek számítógépes behatolókkal foglalkoznak, akik adatokat lopnak; mások olyan hackereket érintenek, amelyek weboldalakat törnek be és DDoS támadásokat indítanak, vagy csalárd szándékkal próbálnak hozzáférni felhasználónevekhez és jelszavakhoz személyazonosság-lopás céljából, mondja az FBI. Egyes esetekben a tiltott webhelyeket (pl. gyermekpornográfiát tartalmazó webhelyeket) látogató cyber-követőket vagy jogsértőket érint. A törvényszéki vizsgáló felfedezheti az elkövető által hagyott számítógépes nyomot.

bármi is legyen a vizsgálat oka, az elemzők lépésről lépésre követik az eljárásokat, hogy megbizonyosodjanak arról, hogy a megállapítások megalapozottak. A büntetőügy megnyitását követően a számítógépeket és más digitális médiaeszközöket és szoftvereket lefoglalják és/vagy bizonyítékokat vizsgálnak ki. A visszakeresési folyamat során minden lényeges elemet összegyűjtenek annak érdekében, hogy a törvényszéki elemzőnek megadják azt, amire szüksége van a bírósági vallomáshoz.

akkor itt az ideje az adatok kinyerésének és elemzésének. A számítógépes törvényszéki nyomozó figyelembe veszi az 5Ws-t (ki, mi, mikor, hol, miért) és hogyan történt számítógépes bűncselekmény vagy esemény. A szabványos értékelési kritériumok segítségével a vizsgáztató azonosíthatja a biztonsággal kapcsolatos hiányosságokat egy hálózati környezetben, gyanús forgalmat és bármilyen behatolást keresve, vagy összegyűjtheti az üzeneteket, adatokat, képeket és egyéb információkat, amelyek egyedileg hozzárendelhetők egy adott ügyben érintett felhasználóhoz.

a kriminalisztikai folyamat magában foglalja a jelentésírást is. A számítógépes törvényszéki vizsgáztatóknak ilyen jelentéseket kell készíteniük az ügyvéd számára a rendelkezésre álló ténybeli bizonyítékok megvitatására. Fontos, hogy készítsen törvényszéki bizonyítékok tanúvallomást, különösen akkor, ha az esetek megy a tárgyalás és a vizsgáztató hívják, mint a műszaki/tudományos tanú vagy szakértő tanú.

a bizonyítékok kriminalisztikai megszerzésének módjai

hagyományosan számítógépes kriminalisztikai vizsgálatokat végeztek nyugalmi adatokon, például a merevlemezek tartalmának feltárásával. Amikor egy törvényszéki tudós további elemzést igényelt (például képalkotás elvégzéséhez—merevlemezek, flash meghajtók, lemezek stb.), általában ellenőrzött laboratóriumi környezetben végezték. Halott elemzés (más néven halott törvényszéki akvizíció vagy csak statikus akvizíció) az adatok birtoklása, amelyet kikapcsolt számítógépeken hajtanak végre. Más szavakkal, ez magában foglalja a rendszer (és annak részei) nyugalmi (halott) vizsgálatát. Az élő elemzési technika ehelyett magában foglalja az adatok gyűjtését a rendszerből, mielőtt leállítaná. A halott elemzést szükségesnek tartják ahhoz, hogy elegendő idő álljon rendelkezésre a fizikai bizonyítékok, például a DNS (ujjlenyomatok a berendezésen); azonban jelenleg az igazságügyi szakértők figyelmének középpontjában az élő beszerzés áll.

az “élő elemzés” végrehajtása a helyszínen gyors és előzetes bizonyítékot szolgáltat; az analitikai eszközöknek köszönhetően elvégezhető, amelyek ma már hordozhatók, és a bűncselekmény helyszínén az elemzők azonnal megkezdhetik a nyomozást.

annak ellenére, hogy a törvényszéki vizsgáztatónak szüksége lehet a bűnügyi laboratóriumra további elemzéshez vagy ismétlődő folyamat végrehajtásához (ami ÉLŐ felvásárlásokkal nem lehetséges), nem minden esetben szükséges. Ennek ellenére fontos, hogy a törvényszéki vizsgáztató csak annyi információt gyűjtsön, hogy meghatározza a vizsgálat következő megfelelő lépését. Ez a megközelítés biztosítja a digitális bizonyítékok elvesztését vagy károsodását, az illékony adatok elvesztését vagy a berendezés lefoglalására vonatkozó parancs szükségességét.

élő vizsgálatokat már évek óta végeznek. A mai digitális korban és a számítógépes bűnözés növekedésében nem meglepő, hogy szükség van igazságügyi elemzők alkalmazására a digitális bizonyítékok (pl. számítógépes rendszerek, adathordozók és eszközök) elemzéséhez és értelmezéséhez-magyarázza Marcus K. Rogers, a Purdue Egyetem Számítógépes és Informatikai Tanszéke. A Cyber Forensic Field Triage Process Model (CFFTPM) 2006-os cikkében megjegyezte, hogy “a CFFTPM helyszíni vagy terepi megközelítést javasol a digitális bizonyítékok rövid időn belüli azonosításának, elemzésének és értelmezésének biztosítására, anélkül, hogy a rendszer(ek) et/adathordozókat vissza kellene vinni a laboratóriumba mélyreható vizsgálat vagy teljes igazságügyi kép(ek) megszerzése céljából.”

néhány számítógép törvényszéki eszközök

átfogó törvényszéki szoftvereszközök (például Encase Forensic Edition, X-Ways törvényszéki kiegészítés, Paraben, törvényszéki eszköztár (FTK), Linux DD stb.) a bűnügyi helyszínelők használják gyűjtésük, indexelésük és részletes elemzésük biztosítására.

a törvényszéki vizsgálat számítógépes törvényszéki információk gyűjtéséből áll; a folyamat a hálózati forgalom elemzésével kezdődhet egy csomagelemzővel vagy egy olyan szippantó eszközzel, mint a Wireshark, amely képes a forgalom elfogására és naplózására további elemzés céljából. NetworkMiner, egy másik hálózati törvényszéki elemző eszköz (NFAT), a Wireshark alternatívája az összes fájl kibontásához vagy helyreállításához. A Snort ehelyett értékes eszköz a hálózati behatolók valós idejű nyomon követésében.

az NFAT szoftver törvényszéki képességeket is tartalmaz a tárolt hálózati forgalom elemzésével, amint a neve is sugallja. Ami az incidensre adott választ és az azonosítást illeti, egy törvényszéki eszköztár vagy FTK használható a törölt fájlok azonosítására és helyreállítására; mivel az EnCase alkalmas törvényszéki, kiberbiztonsági és e-felfedezési használatra.

az új törvényszéki eszközök szükségessége

az új technológiák bevezetése és gyors növekedése jó néhány problémát okozott a törvényszéki elemzők számára, akik most szembesülnek azzal a feladattal, hogy nemcsak személyi számítógépeken és laptopokon, hanem (és gyakrabban) táblagépeken és okostelefonokon is információt kell keresniük.

“a mobileszköz-kriminalisztika a digitális bizonyítékok mobileszközről történő helyreállításának tudománya kriminalisztikailag megfelelő körülmények között elfogadott módszerekkel” – állítja a NIST a “mobileszköz-kriminalisztika irányelveiben”.”Az útmutató rávilágít arra, hogy a törvényszéki elemzőknek ma határozottan meg kell érteniük a mobil világ egyediségét, és meg kell érteniük a legtöbb olyan technológiai funkciót, amely bármely modell és eszköztípus mögött megtalálható a bűncselekmény helyszínén.

a Nokia, a Samsung, az LG, a Huawei, az Apple és más okostelefon-vállalatok által kifejlesztett saját operációs rendszerek, titkosítási technológiák és védelmi eszközök elterjedése arra kötelezi az elemzőket, hogy minden eddiginél gyorsabban lépést tartsanak a legújabb fejlesztésekkel. Napjaink új, fejlett eszközeit nagyobb sebességgel gyártják, és az információk kinyerése belőlük, még akkor is, ha megkerülik az őket védő nyilvánvaló biztonsági funkciókat, egyedi kihívásokat jelentenek.

önálló számítógépekkel dolgozva egy elemző tudta, hol kell adatokat keresni (RAM, BIOS, HHD…). A mobileszköz-tárolóban ez nem olyan egyértelmű, és a releváns információk több helyen is megtalálhatók, például a NAND – tól a flash memóriáig vagy a SIM-kártya RAM-jáig.

fontos, hogy olyan módon dolgozzunk, amely megőrzi az adatokat, figyelembe véve például az áramelvezetésnek az eszköz Illékony memóriájára gyakorolt hatásait, amelyek fontos információkat tárhatnak fel az eszközön végrehajtott programvégrehajtásokról. Ezenkívül” a zárt operációs rendszerek megnehezítik a hozzájuk tartozó fájlrendszer és struktúra értelmezését. Számos, ugyanazzal az operációs rendszerrel rendelkező mobileszköz is nagymértékben eltérhet a megvalósításukban, ami számtalan fájlrendszer és struktúra permutációt eredményez. Ezek a permutációk jelentős kihívásokat jelentenek a mobil kriminalisztikai eszközgyártók és vizsgáztatók számára.”(NIST Special Publication 800-101, Revision 1)

mint a National Institute of Standards And Technology (NIST) magyarázza, sok a technikák, hogy az elemzők is alkalmazhat annak érdekében, hogy összegyűjtse a törvényszéki adatokat a mobil eszközök, a kevésbé tolakodó kézi kitermelés az invazív, kifinomult és drága mikro olvasni. A kézi kinyerés azt jelenti, hogy egyszerűen az eszköz felhasználói felületének és kijelzőjének használatával szerez információt. A második lépés még mindig alapvető, és magában foglalja a logikai extrakciót. A harmadik szint magában foglalja Hex dömping / JTAG extrakciós módszerek; nehezebb adatgyűjtési megközelítést igényel-az eszköz memóriájának fizikai megszerzése révén. A negyedik szint a chip-off módszer, amely magában foglalja a memória tényleges eltávolítását, az ötödik, a legnehezebb és legkifinomultabb módszer a Mikroolvasási technika, amelyben az elemzők kifinomult mikroszkópot használnak az összes kapu fizikai állapotának megtekintésére.

a NIST nemcsak a mobil kriminalisztika közös megközelítésén dolgozik, hanem fórumot is biztosít a felhő kriminalisztikával kapcsolatos ötletek összegyűjtésére. A Cloud computing egy gyorsan növekvő technológia, amelyet a legtöbb mobileszköz-felhasználó és sok vállalat használ. Rugalmassága és méretezhetősége vonzó választássá teszi a legtöbb felhasználó számára, de egyedi kriminalisztikai kihívásokat is jelent.

a technikai kihívások mellett a felhőalapú számítástechnika valójában joghatósági és jogi problémákat vet fel. Az adatok valójában bárhol tárolhatók és hozzáférhetők, és problémás lehet A nyomozók számára, hogy különböző országokban vagy más felhőfelhasználók adatvédelmi jogait megőrző módon férjenek hozzá az adatokhoz.

ezenkívül néha nehéz adatokat és műveleteket hozzárendelni egy adott felhasználóhoz. Az adatok helyreállítása szintén problémás lehet A felhőkörnyezetben lévő hely felülírása és újrafelhasználása miatt.

a nyomozóknak tisztában kell lenniük az anti-kriminalisztikai technikákkal, eszközökkel és gyakorlatokkal is, amelyek a kriminalisztikai elemzést meggyőzővé tehetik, különösen felhő környezetben. Bizonyos típusú rosszindulatú programok és ködösítési technikák veszélyeztethetik az összegyűjtött bizonyítékok integritását, és megnehezíthetik a következtetések bíróság elé állítását.

következtetés

amint azt az Infosec honlapján kifejti, “a mai vállalatoknak számítógépes kriminalisztikai szakemberekre van szükségük a hackertámadás kiváltó okának meghatározásához, a bíróságon jogilag elfogadható bizonyítékok összegyűjtéséhez, valamint a vállalati vagyon és hírnév védelméhez.”

kiberbűnözésekkel (pl., bármilyen bűncselekmény foglalkozó számítógépek és hálózatok) a növekvő és fenyegető szervezeti adatok, valamint a fokozott használata a digitális eszközök a lakosság, az elemzés a digitális bizonyítékok válik kulcsfontosságú eleme a sok tetthelyeken.

a Törvényszéki Számítástechnika ma izgalmas szakma, amely hangsúlyt fektet az emberi elemre, de kihívásokat is jelent a digitális bizonyítékok feltárásának szükségessége miatt egy folyamatosan változó környezetben. A technológiai fejlődés és a hálózati és felhőalapú környezetekre való áttérés, ahol az igazságügyi módszerek könnyen jöhetnek szóba, arra kötelezi a szakterületek szakembereit, hogy naprakészen tartsák és folyamatosan felülvizsgálják a szabványos működési eljárásokat.

Rebecca T. Mercuri, a Notable Software, Inc.alapítója., a kriminalisztikai Számítástechnika kihívásairól szóló tudományos cikkben megjegyezte ,hogy ” ennek a területnek a folyamatos érettsége mindig stabilizálja a legjobb gyakorlatokat, a képzést, a tanúsítást és az eszközkészleteket, de a technológia dinamikus jellege miatt mindig új kihívások merülnek fel.”Mindazonáltal, amint azt az FBI a honlapján kijelenti,” ez a feltörekvő törvényszéki fegyelem hatékony és megbízható eszköz marad a büntető igazságszolgáltatási rendszerben.”

források

iránymutatások a mobil eszköz kriminalisztika

faragás ki a különbség a számítógép kriminalisztika és az E-Discovery

ésszerűsítése a digitális kriminalisztikai munkafolyamat: 3.rész

biztonságosabb élő törvényszéki megszerzése

biztonsági Watch – kihívások törvényszéki Számítástechnika

útmutató a számítógépes kriminalisztika és nyomozás. (3. kiadás.). Boston, MA

számítógépes kriminalisztika terepi osztályozási folyamat modellje.

Innovations Blog: az élő kriminalisztika ösztönzése.

digitális kriminalisztika nem csak hogyan, de miért

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.