Компьютерная криминалистика

Типы носителей, используемых для компьютерно-криминалистического анализа: цифровая камера Fujifilm FinePix , две карты флэш-памяти , USB-флеш-накопитель , iPod емкостью 5 ГБ , записываемый CD-R или DVD и Mini CD .

Компьютерная криминалистика (также известная как компьютерная криминалистика ) ^[1] — это раздел цифровой криминалистики , относящийся к доказательствам, обнаруженным в компьютерах и цифровых носителях . Целью компьютерной криминалистики является изучение цифровых носителей криминалистически обоснованным способом с целью идентификации, сохранения, восстановления, анализа и представления фактов и мнений о цифровой информации.

Хотя это чаще всего связано с расследованием широкого спектра компьютерных преступлений , компьютерная криминалистика может также использоваться в гражданских разбирательствах. Дисциплина включает в себя схожие методы и принципы восстановления данных , но с дополнительными рекомендациями и практиками, предназначенными для создания юридического аудиторского следа .

Доказательства, полученные в ходе компьютерной криминалистики, обычно подчиняются тем же принципам и практикам, что и другие цифровые доказательства. Они использовались в ряде громких дел и считаются надежными в судебных системах США и Европы.

Обзор

В начале 1980-х годов персональные компьютеры стали более доступными для потребителей, что привело к их более широкому использованию в преступной деятельности (например, для совершения мошенничества ). В то же время было признано несколько новых «компьютерных преступлений» (таких как взлом ). Дисциплина компьютерной криминалистики возникла в это время как метод восстановления и расследования цифровых доказательств для использования в суде. С тех пор компьютерные преступления и преступления, связанные с компьютерами, выросли: ФБР сообщило о предполагаемых 791 790 интернет-преступлениях в 2020 году, что на 69% больше, чем количество, зарегистрированное в 2019 году. ^[2]^[3] Сегодня компьютерная криминалистика используется для расследования самых разных преступлений, включая детскую порнографию , мошенничество, шпионаж , киберпреследование , убийство и изнасилование. Дисциплина также фигурирует в гражданских разбирательствах как форма сбора информации (например, электронное раскрытие информации ).

Криминалистические методы и экспертные знания используются для объяснения текущего состояния цифрового артефакта , такого как компьютерная система, носитель информации (например, жесткий диск или CD-ROM ) или электронный документ (например, сообщение электронной почты или изображение JPEG). ^[4] Область судебного анализа может варьироваться от простого извлечения информации до реконструкции серии событий. В книге 2002 года «Компьютерная криминалистика » авторы Круз и Хейзер определяют компьютерную криминалистику как включающую «сохранение, идентификацию, извлечение, документирование и интерпретацию компьютерных данных». ^[5] Они описывают дисциплину как «больше искусство, чем науку», указывая на то, что судебно-медицинская методология подкреплена гибкостью и обширными знаниями предметной области . Однако, хотя для извлечения доказательств из данного компьютера можно использовать несколько методов, стратегии, используемые правоохранительными органами, довольно жесткие и лишены гибкости, присущей гражданскому миру. ^[6]

Кибербезопасность

Компьютерная криминалистика часто путают с кибербезопасностью . Кибербезопасность фокусируется на профилактике и защите, в то время как компьютерная криминалистика более реакционна и активна, включая такие действия, как отслеживание и разоблачение. Безопасность системы обычно охватывает две команды: кибербезопасность и компьютерную криминалистику, которые работают вместе. Команда кибербезопасности создает системы и программы для защиты данных; если они выходят из строя, команда компьютерной криминалистики восстанавливает данные и расследует вторжение и кражу. Обе области требуют знаний в области компьютерных наук. ^[7]

Преступления, связанные с использованием компьютеров

Компьютерная криминалистика используется для осуждения лиц, причастных к физическим и цифровым преступлениям. Некоторые из этих компьютерных преступлений включают прерывание, перехват, нарушение авторских прав и фальсификацию. Прерывание относится к уничтожению и краже компьютерных деталей и цифровых файлов. Перехват — это несанкционированный доступ к файлам и информации, хранящейся на технологических устройствах. ^[8] Нарушение авторских прав относится к использованию, воспроизведению и распространению информации, защищенной авторским правом, включая пиратство программного обеспечения. Фабрикация включает обвинение кого-либо в использовании ложных данных и информации, введенных в систему через несанкционированный источник. Примерами перехватов являются дело Bank NSP, дело Sony.Sambandh.com и мошенничество с компрометацией деловой электронной почты. ^[9]

Использовать в качестве доказательства

В суде компьютерные судебные доказательства подчиняются обычным требованиям к цифровым доказательствам . Это требует, чтобы информация была подлинной, надежно полученной и допустимой. ^[10] В разных странах существуют особые руководящие принципы и практики для восстановления доказательств. В Соединенном Королевстве эксперты часто следуют руководящим принципам Ассоциации начальников полиции , которые помогают обеспечить подлинность и целостность доказательств. Хотя эти руководящие принципы являются добровольными, они широко приняты в британских судах.

Компьютерная криминалистика используется в качестве доказательства в уголовном праве с середины 1980-х годов. Некоторые известные примеры включают: ^[11]

Убийца BTK : Деннис Рейдер был осужден за серию серийных убийств в течение шестнадцати лет. К концу этого периода Рейдер отправлял письма в полицию на дискете. ^[12] Метаданные в документах указывали на автора по имени «Деннис» из «Лютеранской церкви Христа», что помогло арестовать Рейдера. ^[13]
Джозеф Эдвард Дункан : Электронная таблица, извлеченная из компьютера Дункана, содержала доказательства, показывающие, что он планировал свои преступления. Прокуроры использовали это, чтобы продемонстрировать преднамеренность и добиться смертной казни . ^[14]
Шэрон Лопатка : Сотни писем на компьютере Лопатки привели следователей к ее убийце, Роберту Глассу. ^[11]
Corcoran Group : В этом случае компьютерная криминалистика подтвердила обязанности сторон сохранять цифровые доказательства , когда судебный процесс уже начался или был обоснованно ожидаемым. Жесткие диски были проанализированы, хотя эксперт не нашел никаких доказательств удаления, а доказательства показали, что ответчики намеренно уничтожали электронные письма. ^[11]
Доктор Конрад Мюррей : Доктор Конрад Мюррей, врач Майкла Джексона , был признан виновным частично на основании цифровых доказательств, включая медицинскую документацию, подтверждающую смертельную дозу пропофола .

Судебно-медицинский процесс

Компьютерные криминалистические расследования обычно следуют стандартному процессу цифровой криминалистики, состоящему из четырех фаз: получение, исследование, анализ и отчет. Расследования обычно проводятся на статических данных (т. е. полученных изображениях ), а не на «живых» системах. Это отличается от ранних криминалистических практик, когда отсутствие специализированных инструментов часто требовало от следователей работы с живыми данными.

Лаборатория компьютерной криминалистики

Лаборатория компьютерной криминалистики — это безопасная среда, в которой электронные данные могут храниться, управляться и получать доступ к ним в контролируемых условиях, что сводит к минимуму риск повреждения или изменения доказательств. Экспертам-криминалистам предоставляются ресурсы, необходимые для извлечения значимых данных из исследуемых ими устройств. ^[15]

Методы

В компьютерно-криминалистических расследованиях используются различные методы, в том числе:

Анализ перекрестных приводов: Этот метод сопоставляет информацию, найденную на нескольких жестких дисках , и может использоваться для идентификации социальных сетей или обнаружения аномалий. ^[16]^[17]

Анализ в реальном времени: Исследование компьютеров изнутри операционной системы с использованием криминалистических или существующих инструментов системного администратора для извлечения доказательств. Этот метод особенно полезен для работы с шифрованными файловыми системами , где можно извлечь ключи шифрования, или для создания образа логического тома жесткого диска (живое получение) перед выключением компьютера. Живой анализ также полезен при исследовании сетевых систем или облачных устройств, к которым невозможно получить физический доступ. ^[18]

Удаленные файлы: Распространенный метод судебной экспертизы включает восстановление удаленных файлов. Большинство операционных систем и файловых систем не стирают физические данные файла, что позволяет следователям реконструировать их из секторов физического диска . Судебное программное обеспечение может «вырезать» файлы, выполняя поиск известных заголовков файлов и реконструируя удаленные данные.

Стохастическая криминалистика: Этот метод использует стохастические свойства системы для расследования действий без традиционных цифровых артефактов, что часто полезно в случаях кражи данных .

Стеганография: Стеганография подразумевает сокрытие данных внутри другого файла, например, сокрытие незаконного контента внутри изображения. Криминалисты обнаруживают стеганографию, сравнивая хэши файлов, поскольку любые скрытые данные изменят значение хэша файла.

Криминалистическая экспертиза мобильных устройств

Журналы телефонных разговоров: Телефонные компании обычно сохраняют журналы принятых звонков, которые могут помочь создать временные рамки и установить местонахождение подозреваемых во время совершения преступления. ^[19]

Контакты: Списки контактов полезны для сужения круга подозреваемых на основе их связей с жертвой. ^[19]

Текстовые сообщения: Текстовые сообщения содержат временные метки и остаются на серверах компании, часто неопределенно долго, даже если они удалены с устройства. Эти записи являются ценными доказательствами для реконструкции общения между людьми. ^[19]

Фото: Фотографии могут предоставить важные доказательства, подтверждающие или опровергающие алиби, показывая место и время, когда они были сделаны. ^[19]

Аудиозаписи: Некоторые жертвы могли записать ключевые моменты, запечатлев такие детали, как голос нападавшего, которые могут предоставить решающие доказательства. ^[19]

Нестабильные данные

Нестабильные данные хранятся в памяти или при передаче и теряются при выключении компьютера. Они находятся в таких местах, как реестры, кэш и оперативная память. Исследование нестабильных данных называется «живой судебной экспертизой».

При изъятии доказательств, если машина все еще активна, энергозависимые данные, хранящиеся исключительно в оперативной памяти, могут быть утеряны, если их не восстановить до выключения системы. «Анализ в реальном времени» может использоваться для восстановления данных оперативной памяти (например, с помощью инструмента Microsoft COFEE , WinDD, WindowsSCOPE ) перед удалением машины. Такие инструменты, как CaptureGUARD Gateway, позволяют получить доступ к физической памяти заблокированного компьютера. ^{[ необходима цитата ]}

Данные RAM иногда можно восстановить после потери питания, поскольку электрический заряд в ячейках памяти рассеивается медленно. Такие методы, как атака холодной загрузки, используют это свойство. Более низкие температуры и более высокие напряжения увеличивают вероятность восстановления, но часто нецелесообразно применять эти методы в полевых исследованиях.

Инструменты, которые извлекают изменчивые данные, часто требуют, чтобы компьютер находился в судебной лаборатории для поддержания цепочки доказательств. В некоторых случаях рабочий стол можно транспортировать с помощью таких инструментов, как джойстер для мыши , чтобы предотвратить спящий режим, и источник бесперебойного питания (ИБП) для поддержания питания.

Файлы подкачки из файловых систем с функциями журналирования, таких как NTFS и ReiserFS , также можно собрать заново для восстановления данных оперативной памяти, сохраненных во время работы системы.

Инструменты анализа

Для компьютерной криминалистики существует множество инструментов с открытым исходным кодом и коммерческих. Обычный криминалистический анализ включает в себя ручные обзоры носителей, анализ реестра Windows, взлом паролей, поиск по ключевым словам и извлечение писем и изображений. Такие инструменты, как Autopsy (программное обеспечение) , Belkasoft Evidence Center, Forensic Toolkit (FTK) и EnCase , широко используются в цифровой криминалистике.

Профессиональное образование и карьера

Аналитик цифровой криминалистики

Аналитик цифровой криминалистики отвечает за сохранение цифровых доказательств, каталогизацию собранных доказательств, анализ доказательств, относящихся к текущему делу, реагирование на кибер-взломы (часто в корпоративном контексте), написание отчетов, содержащих выводы, и дачу показаний в суде. ^[20] Аналитик цифровой криминалистики может также называться компьютерным криминалистом, цифровым судебным экспертом, киберкриминалистом, судебным техником или иметь другие схожие названия, хотя эти роли выполняют схожие обязанности. ^[21]

Сертификаты

Доступно несколько сертификатов компьютерной криминалистики, например ISFCE Certified Computer Examiner, Digital Forensics Investigation Professional (DFIP) и IACRB Certified Computer Forensics Examiner. Самая популярная сертификация, независимая от поставщика, особенно в ЕС, — Certified Cyber Forensics Professional (CCFP). ^[22]^[23]

Многие компании, занимающиеся разработкой коммерческого программного обеспечения для судебной экспертизы, также предлагают собственные сертификаты. ^[24]

Смотрите также

Ссылки

^ Майкл Г. Ноблетт; Марк М. Поллитт; Лоуренс А. Пресли (октябрь 2000 г.). «Восстановление и исследование компьютерных криминалистических доказательств» . Получено 26 июля 2010 г.
^ «Отчет об интернет-преступности за 2020 год» (PDF) . IC3.gov .
^ "IC3 публикует отчет об интернет-преступности за 2020 год". Федеральное бюро расследований .
^ Ясинсак, А.; Эрбахер, Р. Ф.; Маркс, Д. Г.; Поллитт, М. М.; Зоммер, П. М. (июль 2003 г.). «Образование в области компьютерной криминалистики». IEEE Security & Privacy . 1 (4): 15–23. doi :10.1109/MSECP.2003.1219052.
^ Уоррен Г. Круз; Джей Г. Хейзер (2002). Компьютерная криминалистика: основы реагирования на инциденты . Addison-Wesley. стр. 392. ISBN 978-0-201-70719-9. Получено 6 декабря 2010 г.
^ Гунш, Г. (август 2002 г.). «Исследование цифровых криминалистических моделей» (PDF) .
^ «Что такое компьютерная криминалистика?». Университет Вестерн-Говернорс .
^ Круз II, Уоррен Г.; Хейзер, Джей Г. (2001). Компьютерная криминалистика: основы реагирования на инциденты . Pearson Education. ISBN 978-0-672-33408-5.
^ Сабри, Фуад (2022). Цифровая криминалистика: Как цифровая криминалистика помогает перенести работу по расследованию преступлений в реальный мир . Один миллиард знающих. ISBN 978-1-792-30942-6. {{cite book}}: Контрольное |isbn=значение: контрольная сумма ( помощь )
^ Адамс, Р. (2012). «Расширенная модель сбора данных (ADAM): модель процесса для цифровой судебной экспертизы».
^ abc Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание. Elsevier. ISBN 978-0-12-163104-8.
^ «Поимка серийного убийцы Денниса Рейдера, BTK». Психология сегодня .
^ Дули, Шон. «Дочь серийного убийцы БТК: «Мы жили обычной жизнью... А потом все перевернулось с ног на голову». ABC News .
^ Различные (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованию. Academic Press . стр. 567. ISBN 978-0-12-374267-4. Получено 27 августа 2010 г.
^ "Глава 3: Основы компьютерной криминалистики - Следственная компьютерная криминалистика: практическое руководство для юристов, бухгалтеров, следователей и руководителей предприятий [Книга]". www.oreilly.com . Получено 04.03.2022 .
^ Гарфинкель, Симсон Л. (2006-09-01). «Извлечение криминалистических признаков и анализ перекрестных приводов». Цифровое расследование . Труды 6-го ежегодного семинара по цифровым криминалистическим исследованиям (DFRWS '06). 3 : 71–81. doi : 10.1016/j.diin.2006.06.007 . ISSN 1742-2876.
^ Дэвид, Энн; Моррис, Сара; Эпплби-Томас, Гарет (2020-08-20). «Двухэтапная модель для расследований социальных сетей в цифровой криминалистике» (PDF) . Журнал цифровой криминалистики, безопасности и права . 15 (2). doi : 10.15394/jdfsl.2020.1667 . ISSN 1558-7223. S2CID 221692362.
^ https://espace.curtin.edu.au/bitstream/handle/20.500.11937/93974/Adams%20RB%202023%20Public.pdf?sequence=1&isAllowed=y
^ abcde Поллард, Кэрол (2008). Компьютерная криминалистика для чайников . John Wiley & Sons, Incorporated. С. 219–230. ISBN 9780470434956.
^ «Что такое цифровой криминалистический аналитик?». Совет ЕС . 2022-12-28. Архивировано из оригинала 2022-11-28 . Получено 2022-12-28 .
^ "CISA Cyber Defense Forensics Analyst". Агентство по кибербезопасности и безопасности инфраструктуры (CISA) . 2022-12-28. Архивировано из оригинала 2022-11-05 . Получено 2022-12-28 .
^ "Сертификация по кибербезопасности". isc2.org . Получено 2022-11-18 .
^ "Опросы зарплат CCFP". ITJobsWatch. Архивировано из оригинала 2017-01-19 . Получено 2017-06-15 .
^ "Программа сертификации X-PERT". X-pert.eu . Получено 2015-11-26 .

Дальнейшее чтение

Практическое руководство по компьютерной криминалистике, первое издание (мягкая обложка) Дэвида Бентона (автора), Фрэнка Гриндстаффа (автора)
Кейси, Эоган; Стеллатос, Герасимос Дж. (2008). «Влияние полного шифрования диска на цифровую криминалистику». Обзор операционных систем . 42 (3): 93–98. CiteSeerX 10.1.1.178.3917 . doi :10.1145/1368506.1368519. S2CID 5793873.
YiZhen Huang; YangJing Long (2008). "Распознавание демозаики с приложениями в цифровой аутентификации фотографий на основе модели квадратичной корреляции пикселей" (PDF) . Proc. IEEE Conference on Computer Vision and Pattern Recognition : 1–8. Архивировано из оригинала (PDF) 2010-06-17 . Получено 2009-12-18 .
Реагирование на инциденты и компьютерная криминалистика, второе издание (мягкая обложка) Криса Просайза (автор), Кевина Мандиа (автор), Мэтта Пепе (автор) «Правда страннее вымысла...» (подробнее)
Росс, С.; Гоу, А. (1999). Цифровая археология? Спасение забытых или поврежденных ресурсов данных (PDF) . Бристоль и Лондон: Британская библиотека и Объединенный комитет по информационным системам. ISBN 978-1-900508-51-3.
Джордж М. Мохей (2003). Компьютерная и криминалистическая экспертиза вторжений. Artech House. стр. 395. ISBN 978-1-58053-369-0.
Чак Исттом (2013). Системная криминалистика, расследование и реагирование. Джонс и Бартлетт. стр. 318. ISBN 978-1284031058. Архивировано из оригинала 2013-06-14 . Получено 2013-09-23 .