eftersom fler och fler användare går mobila och använder sammankopplade enheter är datorer ofta i centrum för incidenter och utredningar. Bevis för diskussion i en domstol samlas ofta tack vare kompetensen hos digitala rättsmedicinska experter som kan extrahera viktiga data från elektroniska enheter som tillhör de berörda parterna. Lag tjänstemän någon gång beror på vittnesmål från dator kriminaltekniska analytiker som specialiserat sig på e-discovery; dessa experter kallas att arbeta direkt med poliser och detektiver för att hjälpa till att identifiera, bevara, analysera och presentera digitala bevis för att lösa brottmål.

syftet med artikeln är att ge en översikt över datorforensik och de metoder som används vid förvärv av digitala bevis från datorsystem och mobila enheter för analys av information som är involverad i brottsutredningar. Det berör också de senaste kriminaltekniska utmaningarna: mobile forensics, cloud forensics och anti-forensics.

Computer forensic experts

de rättsmedicinska experternas uppgift är att ”hjälpa till att identifiera brottslingar och analysera bevis mot dem”, säger Hall Dillon i en karriärutsiktspost för US Bureau of Labor Statistics.

utbildade och skickliga individer arbetar för offentlig brottsbekämpning eller inom den privata sektorn för att utföra uppgifter relaterade till insamling och analys av digitala bevis. De är också ansvariga för att skriva meningsfulla rapporter för användning i undersökande och juridiska miljöer. Förutom att arbeta i laboratorier tillämpar rättsmedicinska experter digitala utredningstekniker inom området som avslöjar metadata som har betydelse i en domstol.

dagens dator rättsmedicinska analytiker kan återställa data som har raderats, krypterats eller är dolda i veck av mobila enheter teknik; de kan kallas för att vittna i domstol och relatera de bevis som hittades under utredningar. De kan vara inblandade i utmanande fall, för att inkludera verifiering av brottslingars alibis, undersökning av internetmissbruk, missbruk av datorresurser och nätverksanvändning för att göra datorrelaterade hot. Rättsmedicinska experter kan uppmanas att stödja större fall som rör dataintrång, intrång eller någon annan typ av incidenter. Genom att tillämpa tekniker och proprietära program för kriminaltekniska applikationer för att undersöka systemenheter eller plattformar kan de kanske ge viktiga upptäckter för att fastställa vem som var/var ansvarig för ett undersökt brott.

den snabbt växande disciplinen för datorforensik har blivit sitt eget område av vetenskaplig expertis, med tillhörande utbildning och certifieringar (CCFE, CHFI). Enligt Computer Forensics World, en gemenskap av yrkesverksamma inom den digitala kriminaltekniska industrin, är de certifierade individerna inom detta område ansvariga för identifiering, insamling, förvärv, autentisering, bevarande, undersökning, analys och presentation av bevis för åtal.

den rättsmedicinska processen för datorer

syftet med en rättsmedicinsk undersökning är att återställa data från datorer som beslagtagits som bevis i brottsutredningar. Experter använder ett systematiskt tillvägagångssätt för att undersöka bevis som kan presenteras i domstol under förfarandet. Medverkan av rättsmedicinska experter måste vara tidigt i en utredning eftersom de kan hjälpa till att korrekt samla in tekniskt material på ett sätt som gör det möjligt att återställa innehållet utan att skada dess integritet.

rättsmedicinska utredningsinsatser kan innebära många (eller alla) av följande steg:

• insamling-sökning och beslag av digitala bevis och förvärv av data
• undersökning-tillämpa tekniker för att identifiera och extrahera data
• analys-använda data och resurser för att bevisa ett fall
• rapportering-presentera den information som samlats in (t. ex. skriftlig fallrapport)

Bill Nelson, en av de bidragande författarna till Guide to Computer Forensics and Investigations (tredje upplagan.) bok, belyser vikten av de tre A: S dator kriminalteknik: förvärva, autentisera och analysera. Han säger att den rättsmedicinska processen i själva verket innebär att man tar ett systematiskt tillvägagångssätt, som inkluderar en första bedömning, erhåller bevis och analyserar det, för att slutföra en fallrapport (2008, s.32-33).

rättsmedicinska fall varierar mycket; vissa handlar om datorintrångare som stjäl data; andra involverar hackare som bryter sig in på webbplatser och startar DDoS-attacker, eller försöker få tillgång till användarnamn och lösenord för identitetsstöld med bedrägliga avsikter, säger FBI. Vissa fall involverar cyber-stalking eller förövare som besöker förbjudna webbplatser (t.ex. barnpornografiska webbplatser). En rättsmedicinsk examinator kan utforska cyberspåret som lämnas av gärningsmannen.

oavsett orsaken till undersökningen följer analytikerna steg-för-steg-procedurer för att se till att resultaten är sunda. När ett brottmål är öppet kommer datorer och annan digital medieutrustning och programvara att beslagtas och/eller undersökas för bevis. Under hämtningsprocessen samlas alla väsentliga föremål för att ge den rättsmedicinska analytikern vad han/hon behöver för att vittna i domstol.

då är det dags att extrahera och analysera data. En kriminalteknisk utredare tar hänsyn till 5Ws (Vem, Vad, när, var, varför) och hur ett datorbrott eller en incident inträffade. Med hjälp av standard utvärderingskriterier kan granskaren identifiera säkerhetsrelaterade bortfall i en nätverksmiljö som letar efter misstänkt trafik och alla typer av intrång, eller de kan samla meddelanden, data, bilder och annan information som unikt kan hänföras till en specifik användare som är involverad i ett ärende.

kriminalteknikprocessen inkluderar också rapportskrivning. Dator rättsmedicinska examinatorer är skyldiga att skapa sådana rapporter för advokaten att diskutera tillgängliga faktiska bevis. Det är viktigt att förbereda rättsmedicinska bevis för vittnesmål, särskilt när fall går till rättegång och examinator kallas som ett tekniskt/vetenskapligt vittne eller expertvittne.

sätt att få bevis forensically

traditionellt utfördes dator kriminaltekniska undersökningar på data i vila, till exempel genom att utforska innehållet i hårddiskar. När en rättsmedicinsk forskare krävs ytterligare analys (t.ex. för att utföra avbildning—kopiering av hårddiskar, flash-enheter, diskar, etc.), gjordes det normalt i en kontrollerad laboratoriemiljö. Dödanalys (även känd som död rättsmedicinsk förvärv eller bara statisk förvärv) är datainnehav som utförs på datorer som har stängts av. Med andra ord innebär det undersökningar av systemet (och delar av det) i vila (död). Live-analystekniken innebär istället att samla in data från ett system innan det stängs av. En död analys anses nödvändig för att också ha tid att hämta fysiska bevis som DNA (fingeravtryck på utrustning); det är dock levande förvärv inom området som för närvarande är i fokus för rättsmedicinska experters uppmärksamhet.

att utföra en ”live-analys” i fältet ger snabba och främre bevis; det kan utföras tack vare analytiska verktyg som nu är bärbara och kan bäras av analytikerna på brottsplatsen för att börja undersöka omedelbart.

även om en rättsmedicinsk examinator kan behöva brottslaboratoriet för vidare analys eller för att utföra en repetitiv process (något som inte är möjligt med levande förvärv), kräver inte alla fall det. Det är dock viktigt för den rättsmedicinska granskaren att samla in tillräckligt med information för att bestämma nästa lämpliga steg i utredningen. Detta tillvägagångssätt garanterar ingen förlust eller skada av digitala bevis, förlust av flyktiga data eller behov av en garanti för beslag av utrustningen.

levande undersökningar har redan utförts i flera år. I dagens digitala tidsålder och ökning av databrott är det ingen överraskning varför det finns ett behov av att anställa rättsmedicinska analytiker för analys och tolkning av digitala bevis (t.ex. datorsystem, lagringsmedia och enheter), förklarar Marcus K. Rogers, Dator-och Informationsteknologiavdelningen vid Purdue University. I en artikel om Cyber Forensic Field Triage Process Model (CFFTPM) 2006 noterade han att ”cfftpm föreslår en plats eller fältmetod för att tillhandahålla identifiering, analys och tolkning av digitala bevis på kort tid, utan kravet på att behöva ta systemet/medierna tillbaka till labbet för en djupgående undersökning eller förvärva en fullständig rättsmedicinsk bild(er).”

några datorer forensic tools

omfattande forensic software tools (såsom Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD, etc.) används av brottsplatsutredare för att tillhandahålla sin samling, indexering och detaljerad analys.

en rättsmedicinsk undersökning består av att samla in rättsmedicinsk information; processen kan börja med att analysera nätverkstrafik med en paketanalysator eller ett snifferverktyg som Wireshark som kan fånga upp trafik och logga den för vidare analys. NetworkMiner, ett annat nätverk Forensic Analysis Tool (NFAT), är ett alternativ till Wireshark för att extrahera eller återställa alla filer. Snort är istället ett värdefullt verktyg för att spåra nätverksinbjudare i realtid.

nfat-programvara innehåller också rättsmedicinska funktioner genom att utföra analys av lagrad nätverkstrafik, som namnet antyder. När det gäller incidenthantering och identifiering kan en rättsmedicinsk verktygslåda eller FTK användas för att identifiera raderade filer och återställa dem.EnCase är lämplig för rättsmedicinsk, cybersäkerhet och e-upptäckt.

behovet av nya rättsmedicinska verktyg

implementeringen och den snabba tillväxten av ny teknik har skapat en hel del problem för rättsmedicinska analytiker som nu står inför uppgifterna att behöva leta efter information inte bara på persondatorer och bärbara datorer utan också (och oftare) på surfplattor och smartphones.

”Mobile device forensics är vetenskapen om att återställa digitala bevis från en mobil enhet under forensically sunda förhållanden med hjälp av accepterade metoder”, säger NIST i sina ”riktlinjer för Mobile Device Forensics.”Guiden belyser hur rättsmedicinska analytiker idag måste ha en fast förståelse för mobilvärldens unika egenskaper och förstå de flesta tekniska funktionerna bakom alla modeller och typer av enheter som finns på en brottsplats.

spridningen av proprietära operativsystem, krypteringsteknik och skyddsverktyg som utvecklats av smarttelefonföretag som Nokia, Samsung, LG, Huawei, Apple och mer förpliktar analytiker att hålla jämna steg med den senaste utvecklingen snabbare än någonsin tidigare. Dagens nya avancerade enheter produceras i högre takt och extraherar information från dem, även efter att ha kringgått de uppenbara säkerhetsfunktionerna som skyddar dem, erbjuder unika utmaningar.

arbeta med fristående datorer visste en analytiker var man skulle leta efter data (RAM, BIOS, HHD…). I en mobil enhet lagring, det är inte så entydig, och relevant information kunde hittas på flera platser, från NAND till NOR flashminne till RAM-minne på ett SIM-kort, till exempel.

det är viktigt att arbeta på sätt som bevarar data med tanke på till exempel problem som effekterna av kraftdränering på enhetens flyktiga minne som kan avslöja viktig information om programkörningar på enheten. Dessutom, ” stängda operativsystem gör det svårt att tolka deras associerade filsystem och struktur. Många mobila enheter med samma operativsystem kan också variera kraftigt i genomförandet, vilket resulterar i en myriad av filsystem och struktur permutationer. Dessa permutationer skapar betydande utmaningar för mobila rättsmedicinska verktygstillverkare och examinatorer.”(NIST Special Publication 800-101, Revision 1)

som National Institute of Standards and Technology (NIST) förklarar är många de tekniker som analytiker kan använda för att samla rättsmedicinska data från mobila enheter, från den mindre påträngande manuella extraktionen till den invasiva, sofistikerade och dyra mikroläsningen. Manuell extraktion innebär att man får information genom att helt enkelt använda enhetens användargränssnitt och display. Det andra steget är fortfarande grundläggande och innebär logisk extraktion. Den tredje nivån innebär Hex dumpning / JTAG extraktionsmetoder; det kräver en svårare datainsamling tillvägagångssätt-utförs även om den fysiska förvärvet av enhetens minne. Den fjärde nivån är chip-off-metoden som involverar det faktiska avlägsnandet av minnet och den femte, den svåraste och sofistikerade metoden är Mikroläsningstekniken där analytiker använder ett sofistikerat mikroskop för att se det fysiska tillståndet för alla grindar.

NIST arbetar inte bara med en gemensam strategi för Mobil kriminalteknik, utan också för att tillhandahålla ett forum för att samla ideer om molnforensik. Cloud computing är en snabbt växande teknik som nu används av de flesta användare av mobila enheter och många företag. Dess flexibilitet och skalbarhet gör det till ett tilltalande val för de flesta användare, men innebär också unika rättsmedicinska utmaningar.

förutom tekniska utmaningar utgör cloud computing faktiskt jurisdiktion och juridiska problem. Data kan faktiskt lagras och nås var som helst och det kan vara problematiskt för utredare att få tillgång till data i olika länder eller på sätt som bevarar andra molnanvändares integritetsrättigheter.

dessutom är det svårt ibland att tillskriva data och åtgärder till en viss användare. Återställningen av data kan också vara problematisk på grund av överskrivning och återanvändning av utrymme i en molnmiljö.

utredare måste också vara medvetna om anti-forensics tekniker, verktyg och metoder som kan göra rättsmedicinsk analys ofullständig, särskilt i en molnmiljö. Vissa typer av skadlig kod och obfuscation tekniker kan äventyra integriteten hos insamlade bevis och kan göra slutsatser svåra att presentera i domstol.

slutsats

som Infosec förklarar på sin webbplats, ”Datorforensikspecialister behövs av dagens företag för att fastställa orsaken till en hackerattack, samla in bevis som är lagligt tillåtna i domstol och skydda företagets tillgångar och rykte.”

med cyberbrott (dvs. och nätverk) på uppgång och hotande organisationsdata, liksom den ökade användningen av digitala apparater av den allmänna befolkningen, blir analysen av digitala bevis ett avgörande element på många brottsplatser.

Forensic computing är nu ett spännande yrke som lägger tonvikt på det mänskliga elementet men också ställer utmaningar på grund av behovet av att avslöja digitala bevis i en ständigt föränderlig miljö. Tekniska framsteg och övergången till Nätverks-och molnmiljöer där anti-rättsmedicinska metoder lätt kan komma till spel, förpliktar yrkesverksamma inom områdena att hålla sig uppdaterade och revidera kontinuerligt standardrutiner.

Rebecca T. Mercuri, grundare av noterbar Software, Inc., noterade i en vetenskaplig artikel om utmaningar inom rättsmedicinsk databehandling att ” den fortsatta mognaden inom detta område alltid kommer att ge viss stabilisering i bästa praxis, utbildning, certifiering och verktygsuppsättningar, men nya utmaningar kommer alltid att uppstå på grund av teknikens dynamiska natur vid dess rot.”Icke desto mindre, som FBI säger på sin webbplats,” är denna framväxande rättsmedicinska disciplin att förbli ett effektivt och pålitligt verktyg i det straffrättsliga systemet.”

källor

riktlinjer för Mobila enheter Forensics

Carving ut skillnaden mellan dator Forensics och E-Discovery

effektivisera den digitala Forensic arbetsflöde: del 3

Safer Live Forensic Acquisition

Security Watch – utmaningar i Forensic Computing

Guide till dator kriminalteknik och utredningar. (3: e upplagan.). Boston, MA

dator kriminalteknik fält Triage processmodell.

innovationer blogg: Push för levande Forensics.

Digital Forensics är inte bara hur men varför