Etter hvert som flere og flere brukere går mobil og bruker sammenkoblede enheter, er datamaskiner ofte i sentrum av hendelser og undersøkelser. Bevis for diskusjon i en domstol er ofte samlet takket være ferdighetene til digitale rettsmedisinske eksperter som kan trekke ut viktige data fra elektroniske enheter som tilhører de berørte partene. Law tjenestemenn en gang avhenge av vitnesbyrd datamaskinen rettsmedisinske analytikere spesialisert på e-discovery; disse ekspertene er kalt til å jobbe direkte med politifolk og detektiver for å hjelpe til med å identifisere, bevare, analysere og presentere digitale bevis for å bidra til å løse kriminalitetssaker.
målet med artikkelen er å gi en oversikt over dataetterforskning og metodene som brukes i anskaffelse av digitale bevis fra datasystemer og mobile enheter for analyse av informasjon involvert i etterforskning. Det berører også de nyeste etterforskning utfordringer: mobile forensics, cloud forensics, og anti-forensics.
Computer forensic experts
jobben til rettsmedisinske eksperter er å «bidra til å identifisere kriminelle og analysere bevis mot dem,» sier Hall Dillon i en karriere outlook post FOR US Bureau Of Labor Statistics.
Utdannede og dyktige personer jobber for offentlig rettshåndhevelse eller i privat sektor for å utføre oppgaver knyttet til innsamling og analyse av digitale bevis. De er også ansvarlige for å skrive meningsfulle rapporter for bruk i undersøkende og juridiske innstillinger. I tillegg til å jobbe i laboratorier, rettsmedisinske eksperter anvende digitale undersøkende teknikker i feltet avdekke metadata som har betydning i en domstol.
Dagens data rettsmedisinske analytikere er i stand til å gjenopprette data som har blitt slettet, kryptert eller er skjult i foldene av mobile enheter teknologi; De kan bli kalt til å vitne i retten og relatere bevis funnet under undersøkelser. De kan være involvert i utfordrende saker, for å inkludere verifisering av lovovertrederes alibi, undersøkelse Av internettmisbruk, misbruk av databehandlingsressurser og nettverksbruk ved å lage datamaskinrelaterte trusler. Forensic eksperter kan bli bedt om å støtte store saker som involverer data brudd, inntrenging, eller andre typer hendelser. Ved å bruke teknikker og proprietære programvare rettsmedisinske applikasjoner for å undersøke system enheter eller plattformer, kan de være i stand til å gi viktige funn til pin som var/var ansvarlig for en etterforsket kriminalitet.
den raskt voksende disiplin av dataetterforskning har blitt sitt eget område av vitenskapelig kompetanse, med tilhørende opplæring og sertifiseringer (CCFE, CHFI). Ifølge Computer Forensics World, et fellesskap av fagfolk som er involvert i digital etterforskning industrien, de sertifiserte personer i dette feltet er ansvarlig for identifisering, innsamling, anskaffelse, autentisering, bevaring, undersøkelse, analyse, og presentasjon av bevis for påtale formål.
datamaskinen rettsmedisinske prosessen
formålet med en datamaskin rettsmedisinsk undersøkelse er å gjenopprette data fra datamaskiner beslaglagt som bevis i etterforskning. Eksperter bruker en systematisk tilnærming til å undersøke bevis som kan presenteres i retten under saken. Involvering av rettsmedisinske eksperter må være tidlig i en undersøkelse som de kan hjelpe i riktig samle teknisk materiale på en måte som gjør det mulig å gjenopprette innholdet uten skade på integriteten.
Forensic investigation innsats kan innebære mange (eller alle) av følgende trinn:
- Innsamling-søk og beslaglegging av digitale bevis, og innhenting av data
- Undersøkelse-bruk av teknikker for å identifisere og trekke ut data
- Analyse – bruk av data og ressurser for å bevise en sak
- Rapportering-presentere informasjonen samlet – f. eks. skriftlig saksrapport)
Bill Nelson, en av de medvirkende forfatterne Av Guide To Computer Forensics and Investigations (tredje utg.) bok, fremhever betydningen av de tre A ‘ s av Dataetterforskning: Erverve, Godkjenne og Analysere. Han sier at den rettsmedisinske prosessen faktisk innebærer å ta en systematisk tilnærming, som inkluderer en innledende vurdering, skaffe bevis og analysere den, for å fullføre en saksrapport (2008, s.32-33).
Rettsmedisinske tilfeller varierer sterkt; noen håndterer datamaskininntrengere som stjeler data; andre involverer hackere som bryter inn på nettsteder og starter DDoS-angrep, eller forsøker å få tilgang til brukernavn og passord for identitetstyveri med falske intensjoner, sier FBI. Noen tilfeller involverer cyber-stalking eller urettferdige som besøker forbudte nettsteder(f. eks. En rettsmedisinsk sensor kan utforske cyber-trail igjen av lovbryteren.
uansett årsak til undersøkelsen følger analytikerne trinnvise prosedyrer for å sikre at funnene er gode. Når en straffesak er åpen, vil datamaskiner og annet digitalt medieutstyr og programvare bli beslaglagt og / eller undersøkt for bevis. Under gjenfinningsprosessen samles alle viktige elementer for å gi den rettsmedisinske analytikeren hva han/hun trenger for å gi vitnesbyrd i retten.
da er det på tide å trekke ut og analysere data. En datamaskin rettsmedisinsk etterforsker tar hensyn til 5Ws (Hvem, Hva, Når, Hvor, Hvorfor) og Hvordan en datakriminalitet eller hendelse skjedde. Ved hjelp av standard evalueringskriterier kan undersøkeren identifisere sikkerhetsrelaterte bortfall i et nettverksmiljø som ser etter mistenkelig trafikk og enhver form for inntrenging, eller de kan samle meldinger, data, bilder og annen informasjon som unikt tilskrives en bestemt bruker som er involvert i en sak.
forensics prosessen omfatter også rapportskriving. Datamaskinen rettsmedisinske sensorer er pålagt å lage slike rapporter for advokat å diskutere tilgjengelige saklig bevis. Det er viktig å forberede rettsmedisinske bevis for vitnesbyrd, spesielt når saker går til rettssak og sensor kalles som en teknisk / vitenskapelig vitne eller sakkyndig.
Måter å skaffe bevis forensically
Tradisjonelt ble datamaskinen rettsmedisinske undersøkelser utført på data i ro, for eksempel ved å utforske innholdet på harddisker. Når en rettsmedisinsk forsker krevde videre analyse (for eksempel å utføre bildebehandling-kopiering av harddisker,flash-stasjoner, disker, etc.), ble det vanligvis gjort i et kontrollert laboratoriemiljø. Død analyse (også kjent som død forensic acquisition eller bare statisk acquisition) er data besittelse som utføres på datamaskiner som er slått av. Med andre ord innebærer det undersøkelser av systemet (og deler av det) i ro (død). Live-analyseteknikken innebærer i stedet å samle data fra et system før du slår det av. En død analyse anses nødvendig for å ha tid til å hente fysiske bevis som DNA (fingeravtrykk på utstyr); det er imidlertid levende oppkjøp i feltet som for tiden er fokus for rettsmedisinske eksperters oppmerksomhet.
Utføre en «live analyse» i feltet gir rask og up-front bevis; det kan utføres takket være analytiske verktøy som nå bærbare og kan bæres av analytikere på åstedet for å begynne å undersøke umiddelbart.
Selv om en rettsmedisinsk sensor kan trenge crime lab for videre analyse, eller for å utføre en repeterende prosess (noe som ikke er mulig med live oppkjøp), ikke alle tilfeller krever det. Likevel er det viktig for rettsmedisinske sensor å samle akkurat nok informasjon til å bestemme neste passende trinn i etterforskningen. Denne tilnærmingen sikrer ingen tap eller skade av digitale bevis, tap av flyktige data eller trenger en garanti for beslagleggelse av utstyret.
live undersøkelser har allerede blitt utført i årevis. I dagens digitale tidsalder og økning i datakriminalitet er det ingen overraskelse at det er behov for å ansette rettsmedisinske analytikere for analyse og tolkning av digitale bevis (f.eks. datasystemer, lagringsmedier og enheter), Forklarer Marcus K. Rogers, Computer and Information Technology Department Ved Purdue University. I En artikkel Om Cyber Forensic Field Triage Process Model(CFFTPM) i 2006, bemerket HAN at «CFFTPM foreslår en stedet eller feltet tilnærming for å gi identifisering, analyse og tolkning av digitale bevis i en kort tidsramme, uten krav om å måtte ta systemet(e)/media tilbake til laboratoriet for en grundig undersøkelse eller anskaffe en komplett rettsmedisinske bilde (r).»
noen datamaskiner rettsmedisinske verktøy
Omfattende rettsmedisinske programvareverktøy (For eksempel Encase Rettsmedisinske Utgave, X-Ways Rettsmedisinske Tillegg, Paraben, Rettsmedisinske Verktøykasse (FTK), Linux DD, etc.) brukes av crime scene etterforskere for å gi sin samling, indeksering og detaljert analyse.
en rettsmedisinsk undersøkelse består av å samle data rettsmedisinsk informasjon; prosessen kan begynne med å analysere nettverkstrafikk med en pakkeanalysator eller et sniffer verktøy som Wireshark som er i stand til å fange opp trafikk og logge den for videre analyse. NetworkMiner, et Annet Network Forensic Analysis Tool (NFAT), er et alternativ Til Wireshark for å trekke ut eller gjenopprette alle filer. Snort er i stedet et verdifullt verktøy for å spore nettverksinntrengere i sanntid.
NFAT programvare inneholder også rettsmedisinske evner ved å utføre analyse på lagret nettverkstrafikk, som navnet antyder. Når Det gjelder Hendelsesrespons og Identifikasjon, Kan En Rettsmedisinsk Verktøykasse, ELLER FTK, brukes til å identifisere slettede filer og gjenopprette dem; Mens EnCase er egnet for rettsmedisinsk, cybersikkerhet og e-oppdagelsesbruk.
behovet for nye rettsmedisinske verktøy
implementering og rask vekst av ny teknologi har skapt ganske mange problemer til rettsmedisinske analytikere som nå står overfor oppgavene til å måtte lete etter informasjon, ikke bare på personlige datamaskiner og bærbare datamaskiner, men også (og oftere) på tabletter og smarttelefoner.
» mobile device forensics er vitenskapen om å gjenopprette digitale bevis fra en mobil enhet under forensisk lydforhold ved hjelp av aksepterte metoder, «sier NIST i Sin» Retningslinjer For Mobile Device Forensics.»Guiden fremhever hvordan rettsmedisinske analytikere må ha en fast forståelse, i dag, av det unike i den mobile verden og forstå det meste av teknologien har bak enhver modell og type enhet som kan bli funnet på et åsted.
spredning av proprietære operativsystemer, krypteringsteknologier og beskyttelsesverktøy utviklet av smarttelefonfirmaer som Nokia, Samsung, LG, Huawei, Apple og flere forplikter analytikere til å holde tritt med de siste utviklingene raskere enn noen gang før. Dagens nye avanserte enheter produseres til høyere priser og trekker ut informasjon fra dem, selv etter å ha omgått de åpenbare sikkerhetsfunksjonene som beskytter dem, tilbyr unike utfordringer.
En analytiker visste hvor han skulle lete etter data (RAM, BIOS, HHD…). I en mobil enhet lagring, er det ikke så entydig, og relevant informasjon kan bli funnet på flere steder, FRA NAND TIL nor flash-minne TIL RAM PÅ ET SIM-kort, for eksempel.
Det er viktig å arbeide på måter som bevarer data vurderer, for eksempel, problemer som effekten av strøm drenering på flyktige minnet på enheten som kan avsløre viktig informasjon om program kjøringer på enheten. I Tillegg, » Lukkede operativsystemer gjør det vanskelig å tolke deres tilknyttede filsystem og struktur. Mange mobile enheter med samme operativsystem kan også variere mye i implementeringen, noe som resulterer i en myriade av filsystem og struktur permutasjoner. Disse permutasjonene skaper betydelige utfordringer for mobile rettsmedisinske verktøyprodusenter og sensorer.»(NIST Special Publication 800-101, Revisjon 1)
Som National Institute Of Standards And Technology (NIST) forklarer, er mange teknikker som analytikere kan bruke for å samle rettsmedisinske data fra mobile enheter, fra mindre påtrengende manuell utvinning til invasiv, sofistikert og dyr mikro lese. Manuell utvinning betyr å skaffe informasjon ved å bruke enhetens brukergrensesnitt og skjerm. Det andre trinnet er fortsatt grunnleggende og innebærer logisk utvinning. Det tredje nivået innebærer Hex Dumping / JTAG Utvinning metoder; det krever en vanskeligere datainnsamling tilnærming-utført om den fysiske oppkjøpet av enhetens minne. Det fjerde nivået er chip-off-metoden som innebærer den faktiske fjerningen av minnet og den femte, den vanskeligste og mest sofistikerte metoden Er Mikroleseteknikken der analytikere bruker et sofistikert mikroskop for å se den fysiske tilstanden til alle portene.
NIST jobber ikke bare med en felles tilnærming til mobile forensics, men også i å gi et forum for å samle ideer om cloud forensics. Cloud computing er en raskt voksende teknologi som nå brukes av de fleste mobile enheter og mange selskaper. Fleksibiliteten og skalerbarheten gjør det til et attraktivt valg for de fleste brukere, men gir også unike rettsmedisinske utfordringer.
i tillegg til tekniske utfordringer, faktisk, cloud computing utgjør jurisdiksjon og juridiske problemer. Data kan faktisk lagres og nås hvor som helst, og det kan være problematisk for etterforskere å få tilgang til data i forskjellige land eller på måter som bevarer personvernrettighetene til andre skybrukere.
i tillegg er det vanskelig noen ganger å tilordne data og handlinger til en bestemt bruker. Gjenoppretting av data kan også være problematisk på grunn av overskriving og gjenbruk av plass i et skymiljø.
Etterforskere må også være klar over anti-etterforskning teknikker, verktøy og praksis som kan gjøre rettsmedisinske analyser mangelfulle spesielt i en sky miljø. Visse typer malware og obfuscation teknikker kan kompromittere integriteten til samlet bevis og kan gjøre konklusjoner vanskelig å presentere i retten.
Konklusjon
Som Infosec forklarer på sin hjemmeside, » Dataetterforskning Spesialister er nødvendig av dagens selskaper for å finne årsaken til et hackerangrep, samle bevis lovlig tillatelig i retten, og beskytte bedriftens eiendeler og omdømme.»
med nettkriminalitet (dvs. og nettverk) på vei oppover og truende organisatoriske data, samt økt bruk av digitale devises av befolkningen generelt, analyse av digitale bevis blir et avgjørende element på mange åsteder.
Forensic computing er nå et spennende yrke som legger vekt på det menneskelige element, men også utgjør utfordringer på grunn av behovet for å avdekke digitale bevis i et stadig skiftende miljø. Teknologiske fremskritt og overgangen til nettverks-og skymiljøer der anti-rettsmedisinske metoder lett kan komme inn i spill, forplikter fagfolk på feltene til å holde seg oppdatert og revidere kontinuerlig standard driftsprosedyrer.
Rebecca T. Mercuri, grunnlegger Av Notable Software, Inc.»den fortsatte modenheten til dette feltet vil alltid gi noen stabilisering i beste praksis, opplæring, sertifisering og verktøysett, men nye utfordringer vil alltid dukke opp på grunn av teknologiens dynamiske natur ved roten.»IKKE DESTO MINDRE, SOM FBI sier på sitt nettsted,» vil denne fremvoksende rettsmedisinske disiplinen forbli et effektivt og pålitelig verktøy i straffesystemet.»
Kilder
Retningslinjer For Mobile Device Forensics
Carving Ut Forskjellen Mellom Computer Forensics og E-Discovery
Effektivisering Av Digital Rettsmedisinske Arbeidsflyten: Del 3
Tryggere Leve Rettsmedisinske Oppkjøpet
Security Watch – Utfordringer I Rettsmedisinske Databehandling
Guide Til dataetterforskning og etterforskning. (3.utg.). Boston, MA
Dataetterforskning Feltet Triage Prosess Modell.
Innovasjoner Blogg: Push For Live Etterforskning.
Digital Etterforskning er ikke BARE HVORDAN, MEN HVORFOR