Введення в комп’ютерну криміналістику

Введення в комп’ютерну криміналістику 2018-03-18T15:38:46+00:00

Комп’ютерна криміналістична практика — це практика збору, аналізу та звітування про цифрові дані у спосіб, який є юридично прийнятним. Він може бути використаний для виявлення та запобігання злочинності та у будь-якому спорі, де докази зберігаються в цифровому вигляді. Комп’ютерна криміналістика слідує за аналогічним процесом з іншими судово-медичними дисциплінами, і стикається з подібними проблемами.

Зміст

1. Про це керівництво

Це керівництво обговорює комп’ютерну криміналістику з нейтральної точки зору. Він не пов’язаний з конкретним законодавством або призначений для просування конкретної компанії чи продукту, і не є записаним упереджено як правоохоронними органами, так і комерційними комп’ютерними судовими експертами.

Посібник спрямований на нетехнічну аудиторію та забезпечує високий рівень перегляду комп’ютерної судово-медичної експертизи. Хоча термін «комп’ютер» використовується, поняття застосовується до будь-якого пристрою, здатного зберігати цифрову інформацію.

Там, де згадані методології, вони наведені лише як приклади та не є рекомендаціями та порадами.

2. Використання комп’ютерної судово-медичної експертизи

Є декілька сфер злочинів або суперечок, де комп’ютерна криміналістика не може бути застосована. Правоохоронні органи були одними з перших і найважчих користувачів комп’ютерної криміналістики, і тому часто були на передньому краї розвитку події.

Комп’ютери можуть являти собою «місце злочину», наприклад, хакерство  або атака для відмови в обслуговуванні , або вони можуть мати докази у формі електронних листів, історії Інтернету, документів або інших файлів, пов’язаних із злочинами, такими як вбивство , викрадення, шахрайство та торгівля наркотиками.

Це не лише вміст електронних листів, документів та інших файлів, які можуть зацікавити слідчих, а також метадані пов’язані з цими файлами. Комп’ютерна судова експертиза може виявитись, коли документ з’являвся на комп’ютері, коли востаннє редагувався, коли востаннє його зберігали або друкували, і який користувач здійснив ці дії.

Зовсім нещодавно комерційні організації використовували комп’ютерну судово-медичну експертизу на свою користь у різних випадках, таких як;

  • Крадіжка інтелектуальної власності
  • Промисловий шпигунство
  • Трудові спори
  • Розслідування шахрайства
  • Підробка
  • Розслідування банкрутства
  • Неналежне використання електронної пошти та Інтернету на робочому місці
  • Регулювання відповідності

3. Керівні принципи

Для того, щоб докази були прийнятними, це має бути надійним, а не шкідливим, а це означає, що на всіх етапах комп’ютерної судової експертизи прийнятність повинна бути першочерговою на розгляді експерта.

Чотири основні принципи:

  1.  Ніякі дії не повинні змінювати дані, що зберігаються на комп’ютері або носії інформації, які можуть бути використані в суді.
  2.  У тих випадках, коли особа вважає за необхідне доступ до оригінальних даних, що знаходяться на комп’ютері або на носіях, така особа має бути компетентною зробити це і мати можливість давати свідчення, що пояснюють відповідність і наслідки їх дій.
  3.  Слід створити та зберегти сліди аудиту або іншу інформацію про всі процеси, що застосовуються до комп’ютерних електронних доказів. Незалежна сторона повинна мати можливість вивчати ці процеси та досягти такого ж результату.
  4. Особа, відповідальна за розслідування, несе повну відповідальність за дотримання закону та цих принципів.

4. Придбання

Які дані можуть змінитися на комп’ютері підозрюваного комп’ютерним судово-медичним експертом?

Традиційно комп’ютерний судово-медичний експерт буде робити копію інформацію з пристрою. Екзаменатор буде працювати з цієї копії, залишаючи оригінал без змін.

Однак іноді неможливо вимкнути комп’ютер. Це може виявитися неможливим, якщо це, наприклад, призведе до значних фінансових чи інших втрат для власника. Експерт може також хотіти уникнути ситуації, коли вимикання пристрою може призвести до втрати цінних даних. В обох випадках комп’ютерний  експерт повинен буде здійснити «реальне придбання», яке передбачатиме запуск невеликої програми на комп’ютері підозрюваного для копіювання (або придбання) даних на жорсткий диск екзаменатора.

Запустивши таку програму та підключивши диск призначення до комп’ютера підозрюваного, екзаменатор внесе зміни та / або доповнення до стану комп’ютера, які не були присутні перед його діями. Проте доведені докази, як і раніше, зазвичай вважатимуться прийнятними, якщо експерт зможе показати, чому такі дії вважаються необхідними, що вони зафіксували ці дії та що вони повинні пояснити суду наслідки цих дій.

5. Етапи тестування

Ми розділили комп’ютерний процес судово-медичної експертизи на шість етапів, представлених у їхньому звичайному хронологічному порядку.

Готовність

У комерційній комп’ютерній криміналістиці це може включати навчання клієнтів про готовність системи; наприклад, судово-медичні експертизи дадуть більш достовірне свідчення, якщо функції аудиту пристрою були активізовані до будь-якого інциденту.

Для судово-медичного експерта, готовність буде включати належне навчання, регулярне тестування та перевірку їх програмного забезпечення та обладнання, знайомство з законодавством, вирішення непередбачених питань, і гарантуючи, що комплект поставки (вилучення даних) на місці є завершеним та в робочому стані.

Оцінка

Стадія оцінки включає отримання інструкцій, роз’яснення цих інструкцій, якщо це нечітко або неоднозначно, аналіз ризиків та розподіл ролей та ресурсів.

Комерційні організації також повинні бути в курсі проблем охорони здоров’я та безпеки, питань конфлікту інтересів та можливих ризиків — фінансових та їх репутації — на прийняття конкретного проекту.

Колекція

Основна частина етапу збору, була представлена ​​вище.

Якщо збір здійснюється на місці, а не в комп’ютерній судово-медичній лабораторії, на цьому етапі передбачається виявлення та закріплення пристроїв, які можуть зберігати докази та документувати сцену. Інтерв’ю або зустрічі з персоналом, який може зберігати інформацію, яка має відношення до іспиту (яка може включати кінцевих користувачів комп’ютера, а також менеджера та особи, яка відповідає за надання комп’ютерних послуг, наприклад, ІТ-адміністратора), як правило, проводиться на цьому етапі.

Стадія збору також передбачає маркування та розміщення доказових предметів із сайту, які будуть запечатані у пронумерованих маркувальних пакетах. Необхідно враховувати надійне та безпечне транспортування матеріалу в лабораторію експерта.

Аналіз

Аналіз залежить від специфіки кожної роботи. Екзаменатор, як правило, надає зворотній зв’язок з клієнтом під час аналізу, і з цього діалогу аналіз може пройти інший шлях або звузитись до певних областей. Аналіз повинен бути точним, ретельним, неупередженим, записаним, повторюваним і завершеним у доступних термінах та виділених ресурсах.

Існує безліч інструментів для аналізу комп’ютерних криміналістичних даних. На нашу думку, експерт повинен використовувати будь-який інструмент,  якщо вони можуть виправдати свій вибір. Основними вимогами комп’ютерного криміналістичного інструменту є те, що він робить те, що має робити, і єдиний спосіб, щоб екзаменатори могли переконатись у цьому, щоб вони регулярно перевіряли та калібрували інструменти, на які вони покладаються, перед аналізом.

Двостороння перевірка може підтвердити цілісність результатів під час аналізу (якщо за допомогою інструмента «А» екзаменатор знаходить факт «X» у місці «Y», тоді інструмент «B» повинен відтворити ці результати).

Презентація

Цей етап зазвичай передбачає експерта, який виробляє структурований звіт про свої висновки, звертаючись до пунктів в початкових інструкціях разом із будь-якими подальшими інструкціями. Це також охоплюватиме будь-яку іншу інформацію, яку експерт вважає актуальною для розслідування.

Звіт повинен бути написаний з урахуванням кінцевого читача; у багатьох випадках читач буде нетехнічним, і тому слід використовувати термінологію, яка підходить для читачів. Екзаменатор також повинен бути готовим брати участь у нарадах або телефонних конференціях для обговорення та розробки звіту.

Огляд

Як і в стадії готовності, етап огляду часто залишається поза увагою або ігноруватися. Це може бути пов’язано із сприйнятними витратами на здійснення роботи, яка не підлягає оплаті, або про необхідність «перейти до наступної роботи».

Проте етап огляду, включений в кожне дослідження, може допомогти заощадити гроші та підвищити якість, зробивши майбутні іспити ефективнішими.

Огляд іспиту може бути простим, швидким і може розпочатися під час будь-якої з перерахованих вище стадій. Це може включати в себе базовий аналіз того, що пішло не так, що добре, і як навчання з цього може бути включено в майбутні іспити «. Також слід шукати зворотній зв’язок з інструкторською стороною.

Будь-які уроки, отримані на цьому етапі, повинні бути застосовані до наступного іспиту і потрапляють на етап готовності

6. Проблеми, пов’язані з комп’ютерною криміналістикою

Питання, що стоять перед експертами з комп’ютерної криміналістики, можна розбити на три основні категорії: технічні, юридичні та адміністративні.

Технічні питання

Шифрування — Зашифровані дані можуть бути неможливо переглянути без правильної клавіші або пароля. Екзаменатори повинні враховувати, що ключ або пароль можуть зберігатися в іншому місці на комп’ютері або на іншому комп’ютері, до якого підозрюваний має доступ. Він може також знаходитися у оператівній пам’яті комп’ютера, яка зазвичай втрачається при вимкненні комп’ютера; ще одна причина, щоб розглянути можливість використання методів живого збору, як зазначено вище.

Збільшення простору зберігання даних — носії зберігають все більшу кількість даних, що для експерта означає, що для їх аналізу комп’ютери повинні мати достатню потужність обробки та доступну ємність для зберігання даних, щоб ефективно працювати з пошуком та аналізом великої кількості даних.

Нові технології — Обчислювальна техніка — це постійно розвивається напрям, де постійно з’являються нові апаратні засоби, програмне забезпечення та операційні системи. Жоден комп’ютерний експертно-криміналістичний експерт не може бути експертом у всіх областях, хоча з них часто можна очікувати аналізу того, що вони раніше не зустрічали. Для того, щоб впоратися з цією ситуацією, експерт повинен бути готовим і здатним випробувати і експериментувати з поведінкою нових технологій. Мережа та обмін знаннями з іншими комп’ютерними судово-медичними експертами є дуже корисними в цьому відношенні, оскільки, ймовірно, хтось інший вже стикається з тією ж проблемою.

Адміністративні питання

Прийняті стандарти. В комп’ютерній криміналістиці є безліч стандартів і правил, деякі з яких, здається, є загальноприйнятими. Причини цього включають: установи, що встановлюють стандарти, прив’язані до окремих законодавчих актів; стандарти спрямовані як на правоохоронну, так і на комерційну криміналістику, але не на обох.

Придатний для практики. У багатьох юрисдикціях немає кваліфікаційного органу для перевірки компетенції та цілісності професійних комп’ютерних судових експертів. У таких випадках кожен може представити себе як комп’ютерний судово-медичний експерт, який може призвести до комп’ютерної криміналістичної експертизи сумнівної якості та негативного уявлення про професію в цілому.