ponieważ coraz więcej użytkowników korzysta z urządzeń mobilnych i korzysta z połączonych ze sobą urządzeń, Komputery często znajdują się w centrum incydentów i dochodzeń. Dowody do dyskusji w sądzie są często gromadzone dzięki umiejętnościom cyfrowych ekspertów kryminalistycznych, którzy potrafią wydobyć kluczowe dane z urządzeń elektronicznych należących do zainteresowanych stron. Urzędnicy czasami zależą od zeznań analityków kryminalistycznych komputerowych specjalizujących się w e-discovery; eksperci ci są powołani do współpracy bezpośrednio z funkcjonariuszami policji i detektywami, aby pomóc w identyfikowaniu, przechowywaniu, analizowaniu i prezentowaniu dowodów cyfrowych, aby pomóc w rozwiązywaniu spraw kryminalnych.
celem artykułu jest omówienie informatyki śledczej i metod stosowanych w pozyskiwaniu dowodów cyfrowych z systemów komputerowych i urządzeń mobilnych do analizy informacji związanych z dochodzeniami kryminalnymi. Dotyka również najnowszych wyzwań kryminalistyki: mobile forensics, Cloud forensics i anti-forensics.
Computer forensic experts
zadaniem ekspertów kryminalistycznych jest „pomoc w identyfikacji przestępców i analizowaniu dowodów przeciwko nim”, mówi Hall Dillon w poście o perspektywach kariery dla amerykańskiego Biura statystyk pracy.
wyszkolone i wykwalifikowane osoby pracują dla publicznych organów ścigania lub w sektorze prywatnym w celu realizacji zadań związanych z gromadzeniem i analizą dowodów cyfrowych. Są one również odpowiedzialne za pisanie znaczących raportów do wykorzystania w Ustawieniach śledczych i prawnych. Oprócz pracy w laboratoriach, eksperci kryminalistyczni stosują cyfrowe techniki śledcze w dziedzinie odkrywania metadanych, które mają znaczenie w sądzie.
dzisiejsi analitycy komputerowi są w stanie odzyskać dane, które zostały usunięte, zaszyfrowane lub są ukryte w fałdach technologii urządzeń mobilnych; mogą być wezwani do złożenia zeznań w sądzie i odnoszą się do dowodów znalezionych podczas dochodzeń. Mogą być zaangażowani w TRUDNE SPRAWY, obejmujące weryfikację alibi przestępców, badanie nadużyć w Internecie, niewłaściwego wykorzystania zasobów komputerowych i wykorzystania sieci w tworzeniu zagrożeń związanych z komputerami. Eksperci kryminalistyczni mogą zostać wezwani do wsparcia poważnych przypadków dotyczących naruszeń danych, włamań lub innych incydentów. Stosując techniki i autorskie aplikacje kryminalistyczne do badania urządzeń systemowych lub platform, mogą być w stanie dostarczyć kluczowych odkryć, aby ustalić, kto był/był odpowiedzialny za badane przestępstwo.
szybko rozwijająca się dyscyplina informatyki śledczej stała się własnym obszarem wiedzy naukowej, z towarzyszącymi szkoleniami i certyfikatami (CCFE, CHFI). Według Computer Forensics World, społeczności profesjonalistów zaangażowanych w branżę kryminalistyki cyfrowej, certyfikowane osoby w tej dziedzinie są odpowiedzialne za identyfikację, gromadzenie, pozyskiwanie, uwierzytelnianie, przechowywanie, badanie, analizę i prezentację dowodów do celów ścigania.
komputerowy proces kryminalistyczny
celem komputerowego badania Kryminalistycznego jest odzyskanie danych z komputerów zajętych jako dowód w śledztwach kryminalnych. Eksperci stosują systematyczne podejście do badania dowodów, które mogą być przedstawione w sądzie w trakcie postępowania. Zaangażowanie biegłych sądowych musi być na wczesnym etapie dochodzenia, ponieważ mogą one pomóc w prawidłowym gromadzeniu materiałów technicznych w sposób umożliwiający przywrócenie treści bez szkody dla jej integralności.
działania śledcze mogą obejmować wiele (lub wszystkie) z następujących kroków:
- gromadzenie-wyszukiwanie i przechwytywanie dowodów cyfrowych oraz pozyskiwanie danych
- badanie – stosowanie technik identyfikacji i wyodrębniania danych
- Analiza – wykorzystanie danych i zasobów do udowodnienia przypadku
- raportowanie – prezentowanie zebranych informacji (np. pisemnego raportu przypadku)
Bill Nelson, jeden z autorów przewodnika po informatyce śledczej i dochodzeniach (third ed.) książka, podkreśla znaczenie trzech A z informatyki śledczej: nabyć, uwierzytelnić i analizować. Mówi, że komputerowy proces kryminalistyczny polega w rzeczywistości na systematycznym podejściu, które obejmuje wstępną ocenę, uzyskanie dowodów i ich analizę, aż do ukończenia raportu przypadku (2008, s. 32-33).
przypadki Kryminalistyczne różnią się znacznie; niektóre mają do czynienia z intruzami komputerowymi kradnącymi dane; inne dotyczą hakerów, którzy włamują się do witryn internetowych i uruchamiają ataki DDoS lub próbują uzyskać dostęp do nazw użytkowników i haseł w celu kradzieży tożsamości w oszukańczych intencjach, mówi FBI. Niektóre przypadki dotyczą Cyber-stalkingu lub przestępców, którzy odwiedzają zakazane strony (np. strony z pornografią dziecięcą). Biegły sądowy może zbadać cyber-ślad pozostawiony przez sprawcę.
bez względu na powód dochodzenia, analitycy postępują krok po kroku, aby upewnić się, że wyniki są prawidłowe. Gdy sprawa karna zostanie otwarta, Komputery i inny sprzęt i oprogramowanie mediów cyfrowych zostaną zajęte i / lub zbadane w celu uzyskania dowodów. Podczas procesu odzyskiwania zbierane są wszystkie niezbędne przedmioty, aby dać analitykowi sądowemu to, czego potrzebuje do złożenia zeznań w sądzie.
następnie nadszedł czas, aby wyodrębnić i przeanalizować dane. Komputer śledczy śledczy bierze pod uwagę 5WS (kto, co, kiedy, gdzie, dlaczego) i jak doszło do przestępstwa komputerowego lub incydentu. Korzystając ze standardowych kryteriów oceny, egzaminator może zidentyfikować luki związane z bezpieczeństwem w środowisku sieciowym, szukając podejrzanego ruchu i wszelkiego rodzaju włamań, lub może zbierać wiadomości, dane, Zdjęcia i inne informacje, które można jednoznacznie przypisać konkretnemu użytkownikowi zaangażowanemu w sprawę.
proces kryminalistyczny obejmuje również pisanie raportów. Computer forensic egzaminatorzy są zobowiązani do tworzenia takich raportów dla adwokata w celu omówienia dostępnych dowodów rzeczowych. Ważne jest przygotowanie dowodów sądowych do zeznań, zwłaszcza gdy sprawy trafiają do sądu, a egzaminator jest powoływany jako świadek techniczny / naukowy lub biegły sądowy.
sposoby uzyskiwania dowodów śledczych
tradycyjnie, komputerowe badania śledcze były wykonywane na danych w spoczynku, na przykład poprzez badanie zawartości dysków twardych. Gdy naukowiec sądowy wymagał dalszej analizy (np. do wykonywania obrazowania-kopiowania dysków twardych, pendrive’ ów, dysków itp.), Zwykle odbywało się to w kontrolowanym środowisku laboratoryjnym. Dead analysis (znany również jako dead forensic acquisition lub just static acquisition) to posiadanie danych, które jest wykonywane na komputerach, które zostały wyłączone. Innymi słowy, polega na badaniu układu (i jego części) w stanie spoczynku (martwym). Technika analizy na żywo polega na zbieraniu danych z systemu przed jego zamknięciem. Martwa analiza jest uważana za niezbędną, aby mieć czas również na odzyskanie dowodów fizycznych, takich jak DNA (odciski palców na sprzęcie); jednak to właśnie żywe pozyskanie w terenie jest obecnie przedmiotem uwagi ekspertów kryminalistycznych.
przeprowadzanie „analizy na żywo” w terenie zapewnia szybkie i wstępne dowody; można je przeprowadzić dzięki narzędziom analitycznym, które są teraz przenośne i mogą być przenoszone przez analityków na miejscu zbrodni, aby natychmiast rozpocząć dochodzenie.
chociaż biegły sądowy może potrzebować Laboratorium Kryminalistycznego do dalszej analizy lub do wykonania powtarzalnego procesu (coś, co nie jest możliwe w przypadku żywych nabytków), nie wszystkie sprawy tego wymagają. Niemniej jednak ważne jest, aby biegły sądowy zebrał wystarczającą ilość informacji, aby określić następny odpowiedni krok w dochodzeniu. Takie podejście nie gwarantuje utraty lub uszkodzenia dowodów cyfrowych, utraty niestabilnych danych lub konieczności uzyskania nakazu zajęcia sprzętu.
W dzisiejszej erze cyfrowej i wzrost przestępczości komputerowej, nie jest zaskoczeniem, dlaczego istnieje potrzeba zatrudniania analityków śledczych do analizy i interpretacji dowodów cyfrowych (np. systemy komputerowe, Nośniki pamięci masowej i urządzenia), wyjaśnia Marcus K. Rogers, Computer and Information Technology Department na Purdue University. W artykule na temat Cyber Forensic Field Triage Process Model (Cfftpm) w 2006 r.zauważył, że „CFFTPM proponuje podejście na miejscu lub w terenie w celu zapewnienia identyfikacji, analizy i interpretacji dowodów cyfrowych w krótkim czasie, bez konieczności przenoszenia systemu(systemów)/mediów z powrotem do laboratorium w celu dogłębnego zbadania lub uzyskania kompletnego obrazu(obrazów) Kryminalistycznego.”
kilka komputerów forensic tools
kompleksowe narzędzia kryminalistyczne (takie jak Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD itp.) są wykorzystywane przez śledczych w celu ich zbierania, indeksowania i szczegółowej analizy.
dochodzenie kryminalistyczne polega na gromadzeniu informacji kryminalistycznych z komputera; proces można rozpocząć od analizy ruchu sieciowego za pomocą analizatora pakietów lub narzędzia sniffer, takiego jak Wireshark, które jest w stanie przechwycić ruch i zarejestrować go do dalszej analizy. NetworkMiner, inne narzędzie do analizy kryminalistycznej sieci (Nfat), jest alternatywą dla Wireshark do wyodrębniania lub odzyskiwania wszystkich plików. Snort, zamiast tego, jest cennym narzędziem w śledzeniu intruzów sieci w czasie rzeczywistym.
oprogramowanie NFAT zawiera również funkcje kryminalistyczne, wykonując analizę przechowywanego ruchu sieciowego, jak sama nazwa wskazuje. Jeśli chodzi o reakcję i identyfikację incydentów, Forensic Toolkit lub FTK, może być używany do identyfikacji usuniętych plików i ich odzyskiwania; natomiast EnCase jest odpowiedni do kryminalistyki, cyberbezpieczeństwa i e-discovery.
potrzeba nowych narzędzi kryminalistycznych
wdrożenie i szybki rozwój nowych technologii stworzyło sporo problemów dla analityków kryminalistycznych, którzy teraz muszą szukać informacji nie tylko na komputerach osobistych i laptopach, ale także (i częściej) na tabletach i smartfonach.
„mobile device forensics to nauka o odzyskiwaniu dowodów cyfrowych z urządzenia mobilnego w Warunkach kryminalistycznych przy użyciu akceptowanych metod”, stwierdza NIST w „Guidelines on Mobile Device Forensics.”Przewodnik podkreśla, w jaki sposób analitycy kryminalistyczni muszą dziś dobrze zrozumieć wyjątkowość świata mobilnego i zrozumieć większość funkcji technologicznych stojących za każdym modelem i typem urządzenia, które można znaleźć na miejscu zbrodni.
rozpowszechnienie zastrzeżonych systemów operacyjnych, technologii szyfrowania i narzędzi ochrony opracowanych przez firmy smartfonowe, takie jak Nokia, Samsung, LG, Huawei, Apple i inne, zobowiązuje analityków do nadążania za najnowszymi osiągnięciami w szybszym tempie niż kiedykolwiek wcześniej. Dzisiejsze nowe zaawansowane urządzenia są produkowane w wyższych cenach i wydobywanie z nich informacji, nawet po ominięciu oczywistych zabezpieczeń, które je chronią, oferuje wyjątkowe wyzwania.
pracując z samodzielnymi komputerami, analityk wiedział, gdzie szukać danych (RAM, BIOS, HHD…). W pamięci masowej urządzenia mobilnego nie jest to tak jednoznaczne, a istotne informacje można znaleźć w kilku miejscach, od NAND do pamięci flash nor do pamięci RAM karty SIM, na przykład.
ważne jest, aby pracować w sposób, który zachowuje dane, biorąc pod uwagę na przykład problemy, takie jak wpływ drenażu mocy na pamięć ulotną urządzenia, który może ujawnić ważne informacje na temat wykonywania programów na urządzeniu. Ponadto ” zamknięte systemy operacyjne utrudniają interpretację powiązanego z nimi systemu plików i struktury. Wiele urządzeń mobilnych z tym samym systemem operacyjnym może również znacznie różnić się w ich implementacji, co skutkuje niezliczoną ilością permutacji systemu plików i struktury. Te permutacje stwarzają poważne wyzwania dla producentów mobilnych narzędzi kryminalistycznych i egzaminatorów.”(NIST Special Publication 800-101, Revision 1)
jak wyjaśnia National Institute of Standards and Technology (NIST), wiele jest technik, które analitycy mogą stosować w celu gromadzenia danych kryminalistycznych z urządzeń mobilnych, od mniej inwazyjnej ręcznej ekstrakcji do inwazyjnego, wyrafinowanego i kosztownego odczytu mikro. Ręczna ekstrakcja oznacza uzyskiwanie informacji po prostu za pomocą interfejsu użytkownika urządzenia i wyświetlacza. Drugi krok jest nadal podstawowy i obejmuje logiczną ekstrakcję. Trzeci poziom obejmuje metody ekstrakcji hex Dumping / JTAG; wymaga trudniejszego podejścia do gromadzenia danych-wykonywanego poprzez fizyczne pozyskiwanie pamięci urządzenia. Czwarty poziom to metoda chip-off, która polega na faktycznym usunięciu pamięci, a piąty, najtrudniejszy i najbardziej wyrafinowany sposób to technika mikro odczytu, w której analitycy używają wyrafinowanego mikroskopu do oglądania stanu fizycznego Wszystkich bramek.
NIST nie tylko pracuje nad wspólnym podejściem do kryminalistyki mobilnej, ale także zapewnia forum do zbierania pomysłów na kryminalistykę w chmurze. Cloud computing to szybko rozwijająca się technologia używana obecnie przez większość użytkowników urządzeń mobilnych i wiele firm. Jego elastyczność i skalowalność sprawiają, że jest to atrakcyjny wybór dla większości użytkowników, ale również stwarza wyjątkowe wyzwania kryminalistyczne.
oprócz wyzwań technicznych, w rzeczywistości przetwarzanie w chmurze stwarza problemy jurysdykcyjne i prawne. Dane w rzeczywistości mogą być przechowywane i dostępne w dowolnym miejscu, a śledczy mogą mieć problem z dostępem do danych w różnych krajach lub w sposób, który chroni prawa do prywatności innych użytkowników chmury.
ponadto czasami trudno jest przypisać Dane i działania konkretnemu użytkownikowi. Odzyskiwanie danych może być również problematyczne z powodu nadpisywania i ponownego wykorzystywania przestrzeni w środowisku chmury.
badacze muszą być również świadomi technik, narzędzi i praktyk anty-śledczych, które mogą sprawić, że analiza kryminalistyczna będzie niejednoznaczna, zwłaszcza w środowisku chmury. Niektóre rodzaje złośliwego oprogramowania i techniki zaciemniania mogą zagrozić integralności zebranych dowodów i utrudnić przedstawienie wniosków w sądzie.
wniosek
jak wyjaśnia Infosec na swojej stronie internetowej, ” specjaliści od Informatyki Śledczej są potrzebni dzisiejszym firmom do ustalenia przyczyny ataku hakerskiego, zebrania dowodów prawnie dopuszczalnych w sądzie oraz ochrony aktywów i reputacji firmy.”
z cyberprzestępczością (tj., każdy czyn przestępczy czynienia z komputerami i sieciami) na wzrost i zagrażających danych organizacyjnych, jak również zwiększenie wykorzystania urządzeń cyfrowych przez ogół społeczeństwa, analiza dowodów cyfrowych staje się kluczowym elementem w wielu miejscach zbrodni.
Informatyka kryminalistyczna jest teraz ekscytującym zawodem, który kładzie nacisk na element ludzki, ale także stawia wyzwania ze względu na potrzebę odkrywania dowodów cyfrowych w ciągle zmieniającym się środowisku. Postęp technologiczny i przejście do środowisk sieciowych i chmurowych, w których metody anty-kryminalistyczne mogą łatwo wejść w grę, zobowiązuje specjalistów w tej dziedzinie do aktualizowania i ciągłego poprawiania standardowych procedur operacyjnych.
Rebecca T. Mercuri, założyciel firmy Notable Software, Inc., zauważył w artykule naukowym na temat wyzwań w informatyce kryminalistycznej, że ” ciągła dojrzałość tej dziedziny niezmiennie przyniesie pewną stabilizację w najlepszych praktykach, szkoleniach, certyfikacji i zestawach narzędzi, ale nowe wyzwania zawsze pojawią się ze względu na dynamiczną naturę technologii u jej korzeni.”Niemniej jednak, jak stwierdza FBI na swojej stronie internetowej, Ta wyłaniająca się dyscyplina kryminalistyczna ma pozostać skutecznym i niezawodnym narzędziem w systemie wymiaru sprawiedliwości.”
Źródła
wytyczne dotyczące kryminalistyki urządzeń mobilnych
wyrzeźbienie różnicy między Kryminalistyką komputerową A E-Discovery
usprawnienie cyfrowego przepływu pracy w kryminalistyce: Część 3
bezpieczniejsze korzystanie z kryminalistyki na żywo
Security Watch – Challenges in Forensic Computing
Przewodnik po computer forensics and investigations. (3rd ed.). Boston, MA
Computer Forensics Field Triage Process Model.
blog o innowacjach: impuls dla żywych śledczych.
kryminalistyka cyfrowa to nie tylko jak, ale dlaczego