Wprowadzenie
Kryminalistyka komputerowa to gromadzenie, analiza i raportowanie informacji cyfrowych w prawnie dopuszczalny sposób. Może być wykorzystywany do wykrywania przestępstw i zapobiegania im, a także w sporach, w których dowody są przechowywane cyfrowo. Kryminalistyka komputerowa ma porównywalne fazy testowe z innymi dyscyplinami kryminalistycznymi i napotyka podobne problemy.
O tym przewodniku
W niniejszej instrukcji opisano kryminalistykę komputerową z neutralnej perspektywy. Nie jest związany żadnymi szczególnymi przepisami prawa lub ma na celu promocję konkretnej firmy lub produktu i nie jest przeznaczony do egzekwowania prawa ani do komercyjnych kryminalistycznych komputerów. Jest skierowany do nietechnicznych odbiorców i oferuje kompleksowy przegląd kryminalistyki komputerowej. W niniejszym podręczniku używany jest termin „komputer”. Jednak te koncepcje dotyczą wszystkich urządzeń, które mogą przechowywać informacje cyfrowe. Gdy wspomniano o metodach, podano je jedynie jako przykłady i nie stanowią one zaleceń ani porad. Cały lub część tego artykułu można kopiować i publikować wyłącznie na warunkach licencji Creative Commons - Uznanie autorstwa, Użycie niekomercyjne 3.0
Wykorzystanie kryminalistyki komputerowej
Istnieje kilka obszarów przestępczości lub sporów, w których nie można korzystać z kryminalistyki komputerowej. Egzekwowanie prawa było jednym z pierwszych i najtrudniejszych użytkowników kryminalistyki komputerowej, dlatego też często przodowało w rozwoju tej dziedziny. Komputery mogą reprezentować „miejsce zbrodni”, na przykład podczas hakowania [1] lub ataki typu „odmowa usługi” [2] lub mogą zawierać dowody w postaci wiadomości e-mail, historii internetowej, dokumentów lub innych plików związanych z przestępstwami, takimi jak morderstwo, porwanie, oszustwo i handel narkotykami. Nie tylko treść e-maili, dokumentów i innych plików może być interesująca dla śledczych, ale także & # 39; Metadane & # 39; [3] powiązane z tymi plikami. Komputerowe badanie sądowe może ujawnić, kiedy dokument został po raz pierwszy wyświetlony na komputerze, kiedy był ostatnio edytowany, kiedy był ostatnio zapisywany lub drukowany, i który użytkownik wykonał te czynności.
Niedawno organizacje komercyjne korzystały z kryminalistyki komputerowej na różne sposoby, takie jak:
- Kradzież własności intelektualnej
- Szpiegostwo przemysłowe
- Spory pracownicze
- Dochodzenie w sprawie nadużyć finansowych
- Podróbki
- Problemy małżeńskie
- Dochodzenia w sprawie upadłości
- Niewłaściwe korzystanie z poczty elektronicznej i Internetu w pracy
- Zgodność z przepisami prawa
Wytyczne
Aby dowody były dopuszczalne, muszą być wiarygodne i nie mogą być niekorzystne. Oznacza to, że dopuszczalność powinna być na pierwszym miejscu w myśleniu eksperta komputerowego medycyny sądowej na wszystkich etapach tego procesu. Wiele wytycznych, które zostały powszechnie zaakceptowane w celu poparcia tego, to przewodnik najlepszych praktyk Stowarzyszenia Komendantów Policji ds. Skomputeryzowanego Dowodu Elektronicznego, w skrócie ACPO. Chociaż Przewodnik ACPO ma na celu egzekwowanie prawa w Wielkiej Brytanii, jego główne zasady mają zastosowanie do wszystkich kryminalistycznych systemów komputerowych w każdym ustawodawstwie. Cztery główne zasady tego przewodnika przedstawiono poniżej (z usuniętymi odniesieniami do organów ścigania):
- Żadne działanie nie powinno zmieniać danych przechowywanych na komputerze lub nośniku pamięci, które mogą być później wykorzystane w sądzie.
- W przypadkach, w których dana osoba uważa, że dostęp do oryginalnych danych na komputerze lub nośniku danych jest niezbędny, osoba ta musi zostać upoważniona i być w stanie wyjaśnić znaczenie i skutki swoich działań.
- Ścieżka audytu lub inny zapis wszystkich procesów mających zastosowanie do skomputeryzowanych dowodów elektronicznych powinien zostać utworzony i przechowywany. Niezależna strona trzecia powinna być w stanie zbadać te procesy i osiągnąć ten sam wynik.
- Osoba odpowiedzialna za dochodzenie ponosi ogólną odpowiedzialność za zgodność z prawem i tymi zasadami.
Podsumowując, nie należy wprowadzać żadnych zmian w oryginale. Jeśli jednak wymagany jest dostęp / zmiany, recenzent musi wiedzieć, co robi i rejestrować swoje działania.
Przechwytywanie na żywo
Zasada 2 może postawić pytanie: w jakiej sytuacji inspektor komputerowy wymagałby zmian w komputerze podejrzanego? Tradycyjnie rzeczoznawca komputerowy kopiuje (lub przechwytuje) informacje z wyłączonego urządzenia. Blok pisarza [4] zostanie użyty do utworzenia dokładnego bitu do kopiowania bitów [5] oryginalny nośnik pamięci. Egzaminator pracowałby następnie nad tym egzemplarzem i wyraźnie pozostawił oryginał niezmieniony.
Jednak czasami wyłączenie lub wyłączenie komputera jest niemożliwe. Wyłączenie komputera może nie być możliwe, jeśli spowodowałoby to znaczną stratę finansową lub inną dla właściciela. Wyłączenie komputera może nie być pożądane, jeśli spowoduje to utratę cennych cennych dowodów. W tych dwóch okolicznościach osoba przeprowadzająca badanie sądowe musiałaby wykonać „przechwytywanie na żywo”. Wymagałoby to uruchomienia małego programu na podejrzanym komputerze w celu skopiowania (lub przechwycenia) danych na dysk twardy recenzenta.
Wykonując taki program i dołączając dysk docelowy do podejrzanego komputera, recenzent wprowadza zmiany i / lub uzupełnienia stanu komputera, które nie były obecne przed jego działaniami. Takie działania są dopuszczalne, o ile biegły rewident rejestruje swoje działania, jest świadomy ich skutków i może wyjaśnić swoje działania.
Fazy egzaminu
Na potrzeby tego artykułu proces komputerowego dochodzenia został podzielony na sześć etapów. Chociaż są prezentowane w zwykłej kolejności chronologicznej, konieczne jest zachowanie elastyczności podczas egzaminu. Na przykład podczas fazy analizy egzaminator może znaleźć nową notatkę, która uzasadnia badanie dodatkowych komputerów i oznacza powrót do fazy oceny.
Gotowość
Gotowość sądowa jest ważnym i często pomijanym etapem procesu egzaminacyjnego. W komputerowej medycynie sądowej może to obejmować edukację klientów na temat przygotowania systemu. Na przykład dochodzenia kryminalistyczne dostarczają silniejszych dowodów, gdy włączone są wbudowane systemy monitorowania i rejestrowania serwera lub komputera. Istnieje wiele obszarów dla audytorów, w których wcześniejsza organizacja może pomóc, w tym szkolenia, okresowe testy i przeglądy oprogramowania i sprzętu, znajomość prawa, radzenie sobie z nieoczekiwanymi problemami (np. Co zrobić, jeśli pornografia dziecięca występuje podczas reklamy Oferty pracy są dostępne) i zapewnienie kompletności i funkcjonalności zestawu do pozyskiwania na miejscu.
Ocena
Faza oceny obejmuje otrzymanie jasnych instrukcji, analizę ryzyka oraz przydział ról i zasobów. Analiza ryzyka dla organów ścigania może obejmować ocenę i najlepsze zarządzanie prawdopodobieństwem fizycznego zagrożenia wejścia na teren nieruchomości podejrzanego. Organizacje komercyjne muszą również zdawać sobie sprawę z problemów związanych ze zdrowiem i bezpieczeństwem, a ich ocena obejmowałaby również ryzyko utraty reputacji i ryzyko finansowe przy przyjęciu konkretnego projektu.
Kolekcja
Główna część fazy zbierania, przejęcie, została wprowadzona powyżej. Jeśli akwizycja ma się odbyć na miejscu, a nie w komputerowym laboratorium kryminalistycznym, faza ta obejmuje identyfikację, zabezpieczenie i dokumentację miejsca zdarzenia. Na tym etapie zwykle przeprowadza się wywiady lub spotkania z pracownikami, którzy mogą zawierać informacje, które mogą być istotne dla badania (w tym użytkownicy końcowi komputera, a także kierownik i osoba odpowiedzialna za świadczenie usług komputerowych). The & # 39; Zginanie i znakowanie & # 39; Ścieżka audytu zaczynałaby się tutaj od uszczelnienia wszystkich materiałów w unikalnych torbach z zabezpieczeniem przed manipulacją. Należy również wziąć pod uwagę bezpieczny i bezpieczny transport materiału do laboratorium egzaminatora.
Analiza
Analiza zależy od specyfiki każdego zamówienia. Recenzent zwykle przekazuje opinie klientów podczas analizy. W tym oknie dialogowym analiza może obrać inną trasę lub być ograniczona do niektórych obszarów. Analiza musi być dokładna, dokładna, bezstronna, zarejestrowana, powtarzalna i zakończona w dostępnych ramach czasowych i zasobach. Niezliczone narzędzia są dostępne do komputerowej analizy kryminalistycznej. Uważamy, że egzaminator powinien korzystać z dowolnego narzędzia, na którym jest mu wygodnie, o ile może to uzasadnić swój wybór. Główne wymagania stawiane komputerowemu narzędziu kryminalistycznemu polega na tym, że robi to, co musi, a testerzy mogą być pewni tylko, jeśli regularnie testują i kalibrują narzędzia, których używają przed ich analizą. Przegląd za pomocą dwóch narzędzi może potwierdzić integralność wyników podczas analizy (jeśli recenzent znajdzie artefakt „X” w lokalizacji „Y” za pomocą narzędzia „A”, a następnie za pomocą narzędzia „; B” powinien powtórzyć te wyniki. )
Prezentacja
Na tym etapie recenzent zazwyczaj tworzy ustrukturyzowany raport swoich wyników, obejmujący punkty w pierwszych instrukcjach i wszystkich kolejnych instrukcjach. Obejmowałby również wszelkie inne informacje, które egzaminator uważa za istotne dla dochodzenia. Raport musi być napisany z myślą o czytelniku końcowym. W wielu przypadkach czytelnik raportu nie ma charakteru technicznego, dlatego terminologia powinna to rozpoznać. Egzaminator powinien również chętnie uczestniczyć w spotkaniach lub połączeniach konferencyjnych w celu omówienia i przygotowania raportu.
Recenzja
Wraz z fazą gotowości faza przeglądu jest często pomijana lub ignorowana. Może to być spowodowane postrzeganym kosztem pracy niepodlegającej rozliczeniu lub potrzebą przejścia do następnej pracy. Jednak faza przeglądu wbudowana w każdy egzamin może pomóc zaoszczędzić pieniądze i poprawić jakość, czyniąc przyszłe egzaminy bardziej wydajnymi i czasochłonnymi. Przegląd egzaminu można rozpocząć łatwo, szybko i w dowolnej z powyższych faz. Może to być podstawowy & # 39; co poszło nie tak i jak można to poprawić & # 39; i a & # 39; co poszło dobrze i jak można to uwzględnić w przyszłych testach & # 39; Należy również uzyskać informacje zwrotne od strony instruktorskiej. Cała wiedza uzyskana z tej fazy powinna zostać przeniesiona do następnego egzaminu i wprowadzona do fazy gotowości.
Problemy z kryminalistyką komputerową
Problemy, przed którymi stają audytorzy komputerowi, dzielą się na trzy szerokie kategorie: techniczne, prawne i administracyjne.
Szyfrowanie - Śledczy mogą nie być w stanie wyświetlić zaszyfrowanych plików lub dysków twardych bez prawidłowego klucza lub hasła. Śledczy powinni wiedzieć, że klucz lub hasło mogą być przechowywane w innym miejscu na komputerze lub na innym komputerze, do którego podejrzany miał dostęp. Może również znajdować się w nietrwałej pamięci komputera (znanej jako RAM) [6] który zwykle jest tracony po wyłączeniu komputera; Kolejny powód do rozważenia opisanych powyżej technik przechwytywania na żywo.
Zwiększ przestrzeń dyskową - Nośniki danych zawierają coraz większe ilości danych, co oznacza dla egzaminatora, że jego komputery analityczne muszą mieć wystarczającą moc obliczeniową i dostępną pamięć, aby móc skutecznie wyszukiwać i analizować ogromne ilości danych.
Nowe technologie - Komputery to stale zmieniający się obszar, w którym stale produkowany jest nowy sprzęt, oprogramowanie i systemy operacyjne. Żaden pojedynczy egzaminator komputerowy nie może być ekspertem we wszystkich obszarach, chociaż często można oczekiwać, że przeanalizuje coś, z czym wcześniej się nie zajmował. Aby poradzić sobie z tą sytuacją, egzaminator powinien być przygotowany do testowania i eksperymentowania z zachowaniem nowych technologii. Sieć i dzielenie się wiedzą z innymi śledczymi komputerowymi ekspertami jest również bardzo przydatne w tym względzie, ponieważ ktoś inny prawdopodobnie już napotkał ten sam problem.
Środki zapobiegające kryminalistyce - Anty-kryminalistyka to praktyka polegająca na próbach udaremnienia analizy komputerowej kryminalistyki. Może to obejmować szyfrowanie, nadpisywanie danych, aby uniemożliwić ich odzyskanie, zmianę plików & # 39; Metadane i ukrywanie plików (obejmujące pliki). Podobnie jak w przypadku powyższego szyfrowania, dowody, że zastosowano takie metody, można przechowywać w innym miejscu na komputerze lub na innym komputerze, do którego podejrzany miał dostęp. Z naszego doświadczenia wynika, że bardzo rzadkie jest stosowanie narzędzi zapobiegających kryminalistyce i wystarczająco często, aby całkowicie ukryć ich obecność lub obecność dowodów, których użyli, aby je ukryć.
Kwestie prawne
Argumenty prawne mogą mylić lub rozpraszać wyniki egzaminatora komputerowego. Przykładem może być „Trojan Defense”. Trojan to kawałek kodu komputerowego, który jest przebrany za łagodny, ale ma ukryty i złośliwy cel. Trojany mają wiele zastosowań i obejmują rejestrowanie kluczy [7], Przesyłanie i pobieranie plików oraz instalowanie wirusów. Prawnik może być w stanie argumentować, że działania na komputerze nie zostały wykonane przez użytkownika, ale zostały zautomatyzowane przez trojana bez wiedzy użytkownika. Taka ochrona przed trojanami była również skutecznie stosowana, jeśli na komputerze podejrzanego nie znaleziono śladu trojana lub innego złośliwego kodu. W takich przypadkach właściwy prawnik przeciwny, który otrzymał dowody od kompetentnego kryminalistyki komputerowej, powinien móc odrzucić taki argument.
Zaakceptowane standardy - Istnieje wiele standardów i wytycznych w kryminalistyce komputerowej, z których tylko kilka wydaje się ogólnie uznanych. Wynika to z wielu powodów, w tym z tego, że organy normalizacyjne są związane szczególnymi przepisami, normami ukierunkowanymi na organy ścigania lub kryminalistykę komercyjną, ale nie na oba, autorzy takich norm nie są akceptowani przez ich rówieśników, ani wysokie opłaty za wstęp dla praktyków od uczestnictwa przytrzymaj
Sprawność do ćwiczeń - W wielu krajach nie ma wykwalifikowanego organu, który sprawdza kompetencje i rzetelność ekspertów w dziedzinie kryminalistyki komputerowej. W takich przypadkach każdy może zaprezentować się jako informatyk kryminalistyczny, co może prowadzić do komputerowych badań kryminalistycznych o wątpliwej jakości i negatywnym spojrzeniu na cały zawód.
Zasoby i dalsza literatura
Wydaje się, że nie ma zbyt wielu materiałów kryminalistycznych skierowanych do nietechnicznych czytelników. Jednak poniższe linki poniżej linków na dole tej strony mogą okazać się interesujące:
Glosariusz
1. Hack: Zmodyfikuj komputer w sposób, który pierwotnie nie był przeznaczony do osiągnięcia celów hakera.
2. Atak typu „odmowa usługi”: próba uniemożliwienia legalnym użytkownikom systemu komputerowego dostępu do informacji lub usług tego systemu.
3. Metadane: Na poziomie podstawowym metadane to dane o danych. Może być osadzony w plikach lub zapisany zewnętrznie w osobnym pliku i zawierać informacje o autorze, formacie, dacie utworzenia itp. Pliku.
4. Blokowanie zapisu: urządzenie sprzętowe lub aplikacja, która zapobiega zmianie lub dodaniu danych do badanego nośnika pamięci.
5. Kopia bitów: bit jest skrótem wyrażenia & # 39; Cyfra binarna & # 39; i jest podstawową jednostką arytmetyczną. Kopia bitowa odnosi się do sekwencyjnej kopii każdego bitu na nośniku pamięci, który zawiera obszary nośnika „niewidocznie”. do użytkownika.
6. RAM: RAM. RAM jest tymczasowym obszarem roboczym komputera i jest niestabilny. Oznacza to, że zawartość zostaje utracona po wyłączeniu komputera.
7. Rejestrowanie kluczy: Nagrywanie naciśnięć klawiszy umożliwia odczytanie wprowadzonych haseł, wiadomości e-mail i innych poufnych informacji użytkownika.
