ca tot mai mulți utilizatori merg mobil și să utilizeze dispozitive interconectate, computerele sunt adesea în centrul incidentelor și investigațiilor. Dovezile pentru discuții într-o instanță de judecată sunt adesea adunate datorită abilităților experților medico-legali digitali care pot extrage date cruciale de pe dispozitivele electronice aparținând părților afectate. Oficialii legii depind uneori de mărturia analiștilor criminalistici specializați în descoperirea electronică; acești experți sunt chemați să lucreze direct cu ofițerii de poliție și detectivii pentru a ajuta la identificarea, păstrarea, analizarea și prezentarea dovezilor digitale pentru a ajuta la rezolvarea cazurilor de crimă.
scopul articolului este de a oferi o imagine de ansamblu a criminalisticii informatice și a metodelor aplicate în achiziționarea de probe digitale de la sisteme informatice și dispozitive mobile pentru analiza informațiilor implicate în investigațiile penale. De asemenea, atinge cele mai recente provocări criminalistice: criminalistica mobilă, criminalistica cloud și anti-criminalistica.
Computer forensic experts
sarcina experților medico-legali este de a „ajuta la identificarea infractorilor și analiza probelor împotriva lor”, spune Hall Dillon într-un post de perspectivă a carierei pentru biroul de Statistică a muncii din SUA.
persoane instruite și calificate lucrează pentru aplicarea legii publice sau în sectorul privat pentru a îndeplini sarcini legate de colectarea și analiza probelor digitale. Ei sunt, de asemenea, responsabili pentru scrierea de rapoarte semnificative pentru utilizare în medii de investigație și juridice. Pe lângă lucrul în laboratoare, experții medico-legali aplică tehnici de investigație digitală în domeniu descoperind metadate care au importanță într-o instanță de judecată.
analiștii criminalistici de astăzi sunt capabili să recupereze date care au fost șterse, criptate sau sunt ascunse în faldurile tehnologiei dispozitivelor mobile; pot fi chemați să depună mărturie în instanță și să raporteze dovezile găsite în timpul investigațiilor. Acestea pot fi implicate în cazuri dificile, pentru a include verificarea alibiurilor infractorilor, examinarea abuzului pe Internet, utilizarea abuzivă a resurselor de calcul și utilizarea rețelei pentru a face amenințări legate de computer. Experții medico-legali pot fi chemați să sprijine cazurile majore care implică încălcări ale datelor, intruziuni sau orice alt tip de incidente. Prin aplicarea tehnicilor și a aplicațiilor medico-legale software proprietare pentru a examina dispozitivele sau platformele de sistem, acestea ar putea oferi descoperiri cheie pentru a identifica cine a fost/au fost responsabili pentru o infracțiune investigată.
disciplina în creștere rapidă a criminalisticii informatice a devenit propriul său domeniu de expertiză științifică, cu instruire și certificări însoțitoare (CCFE, CHFI). Potrivit Computer Forensics World, o comunitate de profesioniști implicați în industria criminalistică digitală, persoanele certificate în acest domeniu sunt responsabile pentru identificarea, colectarea, achiziționarea, autentificarea, conservarea, examinarea, analiza și prezentarea probelor în scopuri de urmărire penală.
procesul criminalistic computerizat
scopul unei examinări criminalistice computerizate este de a recupera datele de pe computerele confiscate ca probe în anchetele penale. Experții folosesc o abordare sistematică pentru a examina dovezile care ar putea fi prezentate în instanță în timpul procedurilor. Implicarea experților medico-legali trebuie să fie timpurie într-o investigație, deoarece aceștia pot ajuta la colectarea corectă a materialelor tehnice într-un mod care să permită restabilirea conținutului fără a afecta integritatea acestuia.
eforturile de investigare criminalistică pot implica multe (sau toate) dintre următoarele etape:
- colectare-căutarea și confiscarea probelor digitale și achiziționarea de date
- examinare-aplicarea tehnicilor de identificare și extragere a datelor
- analiză-utilizarea datelor și a resurselor pentru a dovedi un caz
- raportare – prezentarea informațiilor colectate (de exemplu, raport de caz scris)
Bill Nelson, unul dintre autorii care contribuie la Ghidul pentru criminalistică și investigații informatice (a treia ed.) carte, subliniază importanța celor trei A de criminalistica calculator: dobândi, autentifica și analiza. El spune că procesul criminalistic computerizat implică, de fapt, o abordare sistematică, care include o evaluare inițială, obținerea probelor și analizarea acestora, până la completarea unui raport de caz (2008, pp.32-33).
cazurile criminalistice variază foarte mult; unii se ocupă de intrușii de computer care fură date; alții implică hackeri care pătrund pe site-uri web și lansează atacuri DDoS sau încearcă să obțină acces la nume de utilizator și parole pentru furtul de identitate cu intenții frauduloase, spune FBI. Unele cazuri implică urmărirea cibernetică sau infractorii care vizitează site-uri interzise (de exemplu, site-uri de pornografie infantilă). Un examinator medico-legal poate explora cyber-traseu lăsat de infractor.
oricare ar fi motivul investigației, analiștii urmează proceduri pas cu pas pentru a se asigura că constatările sunt solide. Odată ce un dosar penal este deschis, computerele și alte echipamente și software media digitale vor fi confiscate și/sau cercetate pentru probe. În timpul procesului de recuperare, toate elementele esențiale sunt colectate pentru a oferi analistului medico-legal ceea ce are nevoie pentru a depune mărturie în instanță.
atunci este timpul să extragem și să analizăm datele. Un investigator criminalistic computerizat ia în considerare 5WS (cine, ce, când, unde, de ce) și cum a avut loc o infracțiune sau un incident informatic. Folosind criterii standard de evaluare, examinatorul poate identifica lacunele legate de securitate într-un mediu de rețea care caută trafic suspect și orice fel de intruziuni sau poate aduna mesaje, date, imagini și alte informații pentru a fi atribuite în mod unic unui anumit utilizator implicat într-un caz.
procesul criminalistic include, de asemenea, scrierea rapoartelor. Examinatorii criminalistici computerizați sunt obligați să creeze astfel de rapoarte pentru ca avocatul să discute dovezile factuale disponibile. Este important să se pregătească dovezi medico-legale pentru mărturie, mai ales atunci când cazurile merg la proces și examinatorul este chemat ca martor tehnic/științific sau martor expert.
modalități de obținere a probelor criminalistic
în mod tradițional, investigațiile criminalistice computerizate au fost efectuate pe date în repaus, de exemplu, prin explorarea conținutului hard disk-urilor. Ori de câte ori un om de știință medico—legale necesare analize suplimentare (cum ar fi pentru a efectua imagistica-copierea hard disk-uri, memorii flash, discuri, etc.), se făcea în mod normal într-un mediu de laborator controlat. Analiza moartă (cunoscută și sub numele de achiziție criminalistică moartă sau doar achiziție statică) este posesia de date care se efectuează pe computerele care au fost oprite. Cu alte cuvinte, implică examinări ale sistemului (și părți ale acestuia) în repaus (mort). În schimb, tehnica de analiză live implică colectarea de date dintr-un sistem înainte de a-l închide. O analiză Moartă este considerată necesară pentru a avea timp și pentru a prelua dovezi fizice, cum ar fi ADN-ul (amprentele digitale pe echipamente); cu toate acestea, achiziția în direct în domeniu este în prezent în centrul atenției experților criminalistici.
efectuarea unei „analize live” în domeniu oferă dovezi rapide și avansate; poate fi efectuată datorită instrumentelor analitice care sunt acum portabile și pot fi transportate de analiștii de la locul crimei pentru a începe imediat investigarea.
chiar dacă un examinator criminalist poate avea nevoie de laboratorul criminalistic pentru analize suplimentare sau pentru a efectua un proces repetitiv (ceva care nu este posibil cu achizițiile live), nu toate cazurile o cer. Cu toate acestea, este important ca examinatorul medico-legal să colecteze suficiente informații pentru a determina următorul pas adecvat în anchetă. Această abordare nu asigură pierderea sau deteriorarea dovezilor digitale, pierderea datelor volatile sau necesitatea unui mandat pentru confiscarea echipamentului.
investigațiile Live au fost deja efectuate de ani de zile. În epoca digitală de astăzi și creșterea criminalității informatice, nu este de mirare de ce este nevoie să se angajeze analiști criminalistici pentru analiza și interpretarea dovezilor digitale (de exemplu, sisteme informatice, suporturi de stocare și dispozitive), explică Marcus K. Rogers, Departamentul de calculatoare și tehnologia informației de la Universitatea Purdue. Într-un articol despre Cyber Forensic Field Triage Process Model (CFFTPM) în 2006, el a menționat că „CFFTPM propune o abordare la fața locului sau pe teren pentru furnizarea identificării, analizei și interpretării dovezilor digitale într-un interval de timp scurt, fără cerința de a lua sistemul(sistemele)/mass-media înapoi la laborator pentru o examinare aprofundată sau pentru obținerea unei imagini criminalistice complete.”
câteva calculatoare instrumente medico-legale
instrumente software medico-legale complete (cum ar fi Encase Forensic Edition, X-Ways Plus medico-legale, Paraben, set de instrumente medico-legale (FTK), Linux DD, etc.) sunt utilizate de anchetatorii de la locul crimei pentru a furniza colectarea, indexarea și analiza detaliată a acestora.
o investigație criminalistică constă în colectarea de informații criminalistice computerizate; procesul poate începe prin analizarea traficului de rețea cu un analizor de pachete sau un instrument sniffer precum Wireshark care este capabil să intercepteze traficul și să îl înregistreze pentru analize suplimentare. NetworkMiner, un alt instrument de analiză criminalistică a rețelei (Nfat), este o alternativă la Wireshark pentru a extrage sau recupera toate fișierele. Snort, în schimb, este un instrument valoros în urmărirea intrușilor de rețea în timp real.
software-ul NFAT conține, de asemenea, capabilități medico-legale prin efectuarea de analize asupra traficului de rețea stocat, așa cum sugerează și numele său. În ceea ce privește răspunsul la incidente și identificarea, un set de instrumente criminalistice sau FTK poate fi utilizat pentru a identifica fișierele șterse și a le recupera; întrucât, EnCase este apt pentru utilizarea criminalistică, de securitate cibernetică și de descoperire electronică.
nevoia de noi instrumente criminalistice
implementarea și creșterea rapidă a noilor tehnologii au creat destul de multe probleme analiștilor criminalistici care se confruntă acum cu sarcinile de a căuta informații nu numai pe computerele personale și laptopurile, ci și (și mai des) pe tablete și smartphone-uri.
„criminalistica dispozitivelor Mobile este știința recuperării dovezilor digitale de pe un dispozitiv mobil în condiții de sunet criminalistic folosind metode acceptate”, afirmă NIST în „liniile directoare privind criminalistica dispozitivelor Mobile.”Ghidul evidențiază modul în care analiștii medico-legali trebuie să aibă o înțelegere fermă, astăzi, a unicității lumii mobile și să înțeleagă majoritatea caracteristicilor tehnologice din spatele oricărui model și tip de dispozitiv care poate fi găsit la locul crimei.
proliferarea sistemelor de operare proprietare, a tehnologiilor de criptare și a instrumentelor de protecție dezvoltate de companii de smartphone-uri precum Nokia, Samsung, LG, Huawei, Apple și altele obligă analiștii să țină pasul cu ultimele evoluții într-un ritm mai rapid decât oricând. Noile dispozitive avansate de astăzi sunt produse la rate mai mari și extragerea informațiilor de la acestea, chiar și după ocolirea caracteristicilor evidente de securitate care le protejează, oferă provocări unice.
lucrând cu computere independente, un analist știa unde să caute date (RAM, BIOS, HHD…). Într-un dispozitiv de stocare mobil, nu este la fel de clar tăiat, iar informațiile relevante ar putea fi găsite în mai multe locații, de la NAND la memorie flash NOR la memoria RAM a unei cartele SIM, de exemplu.
este important să lucrați în moduri care să păstreze datele luând în considerare, de exemplu, probleme precum efectele drenajului de energie asupra memoriei volatile a dispozitivului care ar putea dezvălui informații importante despre execuțiile programului pe dispozitiv. În plus, ” sistemele de operare închise îngreunează interpretarea sistemului și structurii de fișiere asociate. Multe dispozitive mobile cu același sistem de operare pot varia, de asemenea, foarte mult în implementarea lor, rezultând o multitudine de permutări ale sistemului de fișiere și ale structurii. Aceste permutări creează provocări semnificative pentru producătorii și examinatorii de instrumente medico-legale mobile.”(Publicația specială NIST 800-101, revizuirea 1)
după cum explică Institutul Național de standarde și Tehnologie (NIST), multe sunt tehnicile pe care analiștii le pot folosi pentru a aduna date medico-legale de pe dispozitive mobile, de la extracția manuală mai puțin intruzivă la micro-citirea invazivă, sofisticată și scumpă. Extragerea manuală înseamnă obținerea de informații prin simpla utilizare a interfeței de utilizator a dispozitivului și a afișajului. Al doilea pas este încă de bază și implică extragerea logică. Al treilea nivel implică metode de extracție Hex Dumping/JTAG; necesită o abordare mai dificilă de colectare a datelor – efectuată prin achiziția fizică a memoriei dispozitivului. Al patrulea nivel este metoda chip-off care implică eliminarea efectivă a memoriei și a cincea, metoda cea mai dificilă și mai sofisticată este tehnica Micro Read în care analiștii folosesc un microscop sofisticat pentru a vizualiza starea fizică a tuturor porților.
NIST nu lucrează doar la o abordare comună a criminalisticii mobile, ci și la furnizarea unui forum pentru a aduna idei despre criminalistica cloud. Cloud computing este o tehnologie în creștere rapidă utilizată acum de majoritatea utilizatorilor de dispozitive mobile și de multe companii. Flexibilitatea și scalabilitatea îl fac o alegere atrăgătoare pentru majoritatea utilizatorilor, dar prezintă și provocări criminalistice unice.
în plus față de provocările tehnice, de fapt, cloud computing pune probleme de jurisdicție și juridice. Datele, de fapt, pot fi stocate și accesate oriunde și ar putea fi problematic pentru anchetatori să acceseze date din diferite țări sau în moduri care păstrează drepturile de confidențialitate ale altor utilizatori cloud.
în plus, uneori este greu să atribuiți date și acțiuni unui anumit utilizator. Recuperarea datelor ar putea fi, de asemenea, problematică din cauza suprascrierii și reutilizării spațiului într-un mediu cloud.
anchetatorii trebuie, de asemenea, să fie conștienți de tehnicile, instrumentele și practicile anti-criminalistice care pot face analiza criminalistică neconcludentă, în special într-un mediu cloud. Anumite tipuri de malware și tehnici de ascundere pot compromite integritatea probelor colectate și pot face concluzii greu de prezentat în instanță.
concluzie
după cum explică Infosec pe site-ul său web, „specialiștii în criminalistică Informatică sunt necesari de companiile de astăzi pentru a determina cauza principală a unui atac de hacker, pentru a colecta dovezi admisibile legal în instanță și pentru a proteja activele și reputația corporativă.”
cu infracțiuni informatice (adică., orice act criminal care se ocupă de computere și rețele) în creștere și amenințătoare a datelor organizaționale, precum și utilizarea sporită a dispozitivelor digitale de către populația generală, analiza dovezilor digitale devine un element crucial la multe scene ale crimei.
calculul criminalistic este acum o profesie interesantă care pune accentul pe elementul uman, dar ridică și provocări datorită nevoii de a descoperi dovezi digitale într-un mediu în continuă schimbare. Progresele tehnologice și trecerea la medii de rețea și cloud în care metodele anti-medico-legale pot intra cu ușurință în joc, obligă profesioniștii din domeniu să fie la curent și să revizuiască continuu procedurile de operare standard.
Rebecca T. Mercuri, fondator al Notable Software, Inc., a remarcat într-un articol științific despre provocări în calculul criminalistic că „maturitatea continuă a acestui domeniu va aduce invariabil o oarecare stabilizare în cele mai bune practici, instruire, certificare și seturi de instrumente, dar noi provocări vor apărea întotdeauna din cauza naturii dinamice a tehnologiei la rădăcină.”Cu toate acestea, după cum afirmă FBI pe site-ul său web,” această disciplină criminalistică emergentă trebuie să rămână un instrument eficient și fiabil în sistemul de justiție penală.”
surse
linii directoare privind criminalistica dispozitivelor Mobile
sculptarea diferenței dintre criminalistica computerizată și descoperirea Electronică
eficientizarea fluxului de lucru criminalistic Digital: Partea 3
achiziție criminalistică LIVE mai sigură
ceas de securitate-provocări în calculul criminalistic
ghid pentru criminalistica informatică și investigații. (Ediția a 3-a.). Boston, MA
Computer criminalistica domeniu Triaj proces Model.
inovații Blog: Push pentru criminalistica vii.
criminalistica digitală nu este doar cum, ci de ce