Компьютерная криминалистика (также известная как компьютерная криминалистика [1] ) - это отрасль цифровой криминалистики, имеющая отношение к доказательствам, обнаруженным в компьютерах и цифровых носителях . Целью компьютерной криминалистики является исследование цифровых носителей с точки зрения судебной экспертизы с целью выявления, сохранения, восстановления, анализа и представления фактов и мнений о цифровой информации.
Хотя это чаще всего связано с расследованием самых разнообразных компьютерных преступлений , компьютерная криминалистика также может использоваться в гражданском судопроизводстве. Дисциплина включает в себя методы и принципы, аналогичные восстановлению данных , но с дополнительными рекомендациями и методами, предназначенными для создания журнала аудита .
Доказательства компьютерной криминалистики обычно подчиняются тем же правилам и методам, что и другие цифровые доказательства. Он использовался в ряде громких дел и становится широко признанным надежным в судебных системах США и Европы.
Обзор
В начале 1980-х годов персональные компьютеры стали более доступными для потребителей, что привело к их более широкому использованию в преступной деятельности (например, для совершения мошенничества ). В то же время было обнаружено несколько новых «компьютерных преступлений» (например, взлом ). Дисциплина компьютерной криминалистики возникла в это время как метод восстановления и исследования цифровых доказательств для использования в суде. С тех пор компьютерная преступность и преступность, связанная с компьютерами, выросли и с 2002 по 2003 год увеличились на 67%. [2] Сегодня они используются для расследования широкого спектра преступлений, включая детскую порнографию , мошенничество, шпионаж , киберпреследование , убийства и изнасилования. Дисциплина также используется в гражданском судопроизводстве как форма сбора информации (например, Электронное раскрытие ).
Криминалистические методы и экспертные знания используются для объяснения текущего состояния цифрового артефакта , такого как компьютерная система, носитель данных (например, жесткий диск или CD-ROM ) или электронный документ (например, сообщение электронной почты или изображение в формате JPEG). [3] Объем судебно-медицинской экспертизы может варьироваться от простого поиска информации до реконструкции серии событий. В книге 2002 года « Компьютерная криминалистика» авторы Круз и Хайзер определяют компьютерную криминалистику как «сохранение, идентификацию, извлечение, документирование и интерпретацию компьютерных данных». [4] Далее они описывают дисциплину как «скорее искусство, чем науку», указывая на то, что методология судебной экспертизы опирается на гибкость и обширные знания в предметной области. Однако, хотя для извлечения доказательств с данного компьютера можно использовать несколько методов, стратегии, используемые правоохранительными органами, довольно жесткие и им не хватает гибкости, характерной для гражданского мира. [5]
Использовать как доказательство
В суде к доказательствам компьютерной криминалистики применяются обычные требования для цифровых доказательств . Это требует, чтобы информация была достоверной, надежно полученной и допустимой. [6] В разных странах есть определенные руководящие принципы и методы восстановления доказательств. В Соединенном Королевстве экзаменаторы часто следуют рекомендациям Ассоциации старших офицеров полиции, которые помогают обеспечить подлинность и целостность доказательств. Хотя эти правила являются добровольными, они широко применяются в британских судах.
Компьютерная криминалистика использовалась в качестве доказательства в уголовном праве с середины 1980-х годов, некоторые известные примеры включают: [7]
- BTK Killer: Деннис Рейдер был осужден за серию серийных убийств, произошедших в течение шестнадцати лет. Ближе к концу этого периода Рейдер отправил письма в полицию на дискете. Метаданные в документах указывают на причастность автора по имени «Деннис» из «Лютеранской церкви Христа»; эти доказательства помогли привести к аресту Рейдера.
- Джозеф Эдвард Дункан : электронная таблица, извлеченная из компьютера Дункана, содержала доказательства, показывающие, что он планировал свои преступления. Прокуратура использовала это, чтобы продемонстрировать преднамеренность и добиться смертной казни . [8]
- Шэрон Лопатка : Сотни электронных писем на компьютере Лопатки приводят следователей к ее убийце, Роберту Глассу. [7]
- Corcoran Group : Это дело подтвердило обязанности сторон по сохранению цифровых доказательств, когда судебное разбирательство началось или разумно ожидается. Жесткие диски были проанализированы экспертом по компьютерной криминалистике, который не смог найти соответствующие электронные письма, которые должны были быть у Ответчиков. Хотя эксперт не обнаружил доказательств удаления на жестких дисках, выяснилось, что ответчики были признаны умышленно уничтожающими электронные письма, вводили в заблуждение и не раскрывали существенные факты истцам и суду.
- Доктор Конрад Мюррей : Доктор Конрад Мюррей, врач покойного Майкла Джексона , был частично признан виновным по цифровым уликам на своем компьютере. Эти доказательства включали медицинскую документацию, показывающую смертельное количество пропофола .
Судебно-медицинский процесс
Компьютерные судебные расследования обычно следуют стандартному процессу или этапам цифровой судебной экспертизы, которые включают сбор данных, экспертизу, анализ и составление отчетов. Исследования проводятся на статических данных (т.е. полученных изображениях ), а не на «живых» системах. Это изменение по сравнению с ранней судебной практикой, когда из-за отсутствия специальных инструментов следователи обычно работали с оперативными данными.
Методы
Во время компьютерных криминалистических расследований используется ряд методов, и много написано о многих методах, используемых, в частности, правоохранительными органами.
- Кросс-драйв анализ
- Криминалистический метод, который сопоставляет информацию, найденную на нескольких жестких дисках . Процесс, который все еще исследуется, может быть использован для идентификации социальных сетей и обнаружения аномалий . [9] [10]
- Живой анализ
- Осмотр компьютеров изнутри операционной системы с использованием специальной криминалистики или существующих инструментов системного администратора для извлечения улик. Эта практика полезна при работе с шифрованными файловыми системами , например, когда ключи шифрования могут быть собраны, а в некоторых случаях логический том жесткого диска может быть создан (известный как оперативное получение) до выключения компьютера.
- Удаленные файлы
- Распространенным методом, используемым в компьютерной криминалистике, является восстановление удаленных файлов. Современное программное обеспечение для криминалистики имеет свои собственные инструменты для восстановления или удаления удаленных данных. [11] Большинство операционных систем и файловых систем не всегда стирают данные физических файлов, что позволяет исследователям восстанавливать их из секторов физического диска . Вырезание файлов включает в себя поиск известных заголовков файлов в образе диска и восстановление удаленных материалов.
- Стохастическая криминалистика
- Метод, использующий стохастические свойства компьютерной системы для исследования действий, в которых отсутствуют цифровые артефакты. Его основное использование - расследование кражи данных .
- Стеганография
- Один из методов, используемых для сокрытия данных, - это стеганография, процесс сокрытия данных внутри изображения или цифрового изображения. Примером может служить сокрытие порнографических изображений детей или другой информации, которую преступник не хочет раскрывать. Специалисты по компьютерной криминалистике могут бороться с этим, просматривая хэш файла и сравнивая его с исходным изображением (если доступно). Хотя изображения кажутся идентичными при визуальном осмотре, хеш изменяется по мере изменения данных. [12]
Неустойчивые данные
Энергозависимые данные - это любые данные, которые хранятся в памяти или существуют в пути, которые будут потеряны при отключении питания или выключении компьютера. Изменчивые данные находятся в реестрах, кеш-памяти и оперативной памяти (RAM). Исследование этих непостоянных данных называется «криминалистикой в реальном времени».
При изъятии улик, если машина все еще активна, любая информация, хранящаяся исключительно в ОЗУ, которая не была восстановлена до отключения питания, может быть потеряна. [8] Одним из применений «живого анализа» является восстановление данных RAM (например, с помощью инструмента Microsoft COFEE , WinDD, WindowsSCOPE ) перед удалением экспоната. CaptureGUARD Gateway обходит вход в Windows для заблокированных компьютеров, позволяя анализировать и собирать данные о физической памяти заблокированного компьютера. [ необходима цитата ]
ОЗУ можно проанализировать на предмет предшествующего содержимого после потери питания, потому что электрическому заряду, хранящемуся в ячейках памяти, требуется время, чтобы рассеяться - эффект, используемый при атаке с холодной перезагрузкой . Время восстановления данных увеличивается из-за низких температур и более высоких напряжений ячеек. Хранение ОЗУ без питания при температуре ниже -60 ° C помогает на порядок сохранить остаточные данные, повышая шансы на успешное восстановление. Однако это может оказаться непрактичным во время полевого обследования. [13]
Однако некоторые инструменты, необходимые для извлечения изменчивых данных, требуют, чтобы компьютер находился в лаборатории судебной экспертизы, как для поддержания законной цепочки доказательств, так и для облегчения работы на машине. При необходимости правоохранительные органы применяют методы для перемещения работающего настольного компьютера. К ним относятся манипулятор мыши , который быстро перемещает мышь небольшими движениями и предотвращает случайное переключение компьютера в спящий режим. Обычно источник бесперебойного питания (ИБП) обеспечивает питание во время транспортировки.
Однако один из самых простых способов сбора данных - это фактическое сохранение данных RAM на диск. Различные файловые системы, которые имеют функции журналирования, такие как NTFS и ReiserFS, хранят большую часть данных RAM на основном носителе во время работы, и эти файлы подкачки могут быть повторно собраны для восстановления того, что было в RAM в то время. [14]
Инструменты анализа
Для компьютерной криминалистики существует ряд инструментов с открытым исходным кодом и коммерческих инструментов. Типичный судебно-медицинский анализ включает в себя ручную проверку материалов на носителе, проверку реестра Windows на предмет подозрительной информации, обнаружение и взлом паролей, поиск по ключевым словам по темам, связанным с преступлением, и извлечение сообщений электронной почты и изображений для проверки. [7] Autopsy (программное обеспечение) , Belkasoft Evidence Center , COFEE , EnCase - вот некоторые из инструментов, используемых в цифровой криминалистике.
Сертификаты
Доступно несколько сертификатов компьютерной криминалистики, например, ISFCE Certified Computer Examiner, Digital Forensics Investigation Professional (DFIP) и IACRB Certified Computer Forensics Examiner.
Независимая сертификация ведущих поставщиков (особенно в ЕС) считается [ CCFP - Certified Cyber Forensics Professional [1] ]. [15]
Другие, о которых стоит упомянуть для США или Азиатско-Тихоокеанского региона: Международная ассоциация специалистов по компьютерным расследованиям предлагает программу « Сертифицированный компьютерный экзаменатор ».
Международное общество судебных компьютерных экспертов предлагает программу « Сертифицированный компьютерный эксперт ».
Многие компании, занимающиеся разработкой коммерческого программного обеспечения для криминалистической экспертизы, теперь также предлагают собственные сертификаты на свои продукты. Например, Guidance Software предлагает сертификацию (EnCE) для своего инструмента EnCase, сертификацию предложения AccessData (ACE) для своего инструмента FTK, PassMark Software, предлагающую сертификацию своего инструмента OSForensics, и сертификацию X-Ways Software Technology (X-PERT) для их программное обеспечение, X-Ways Forensics. [16]
Смотрите также
- Сертифицированный компьютерный экзаменатор
- Сертифицированный судебный компьютерный эксперт
- Счетчик криминалистики
- Криптоанализ
- Остаточная информация
- Шифрование диска
- Шифрование
- Скрытый файл и скрытый каталог
- Аудит информационных технологий
- MAC раз
- Стеганализ
- Соединенные Штаты против Арнольда
Рекомендации
- ^ Майкл Г. Ноблетт; Марк М. Поллитт; Лоуренс А. Пресли (октябрь 2000 г.). «Восстановление и исследование улик компьютерной криминалистики» . Проверено 26 июля 2010 года .
- ^ Лейгланд, Р. (сентябрь 2004 г.). «Формализация цифровой криминалистики» (PDF) .
- ^ Ясинзак; РФ Эрбахер; DG Marks; М. М. Поллитт (2003). «Обучение компьютерной криминалистике». Безопасность и конфиденциальность IEEE. CiteSeerX 10.1.1.1.95 10 . Отсутствует или пусто
|url=
( справка ) - ^ Уоррен Г. Круз; Джей Г. Хейзер (2002). Компьютерная криминалистика: основы реагирования на инциденты . Эддисон-Уэсли. п. 392 . ISBN 978-0-201-70719-9. Проверено 6 декабря 2010 года .
- ^ Gunsch, G (август 2002 г.). «Исследование цифровых криминалистических моделей» (PDF) .
- ^ Адамс, Р. (2012). « ' Усовершенствованная модель Data Acquisition (ADAM): модель процесса для цифровой судебной практики» .
- ^ а б в Кейси, Иоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 978-0-12-163104-8.
- ^ а б Разное (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованиям . Академическая пресса . п. 567. ISBN. 978-0-12-374267-4. Проверено 27 августа 2010 года .
- ^ Гарфинкель, С. (август 2006 г.). «Криминалистическое извлечение признаков и анализ кросс-драйва» .
- ^ «EXP-SA: Прогнозирование и обнаружение членства в сети с помощью автоматизированного анализа жесткого диска» .
- ^ Аарон Филлип; Дэвид Коуэн; Крис Дэвис (2009). Разоблачение взлома: компьютерная криминалистика . McGraw Hill Professional. п. 544. ISBN 978-0-07-162677-4. Проверено 27 августа 2010 года .
- ^ Данбар, Б. (январь 2001 г.). «Подробный взгляд на стеганографические методы и их использование в среде открытых систем» .
- ^ Дж. Алекс Халдерман , Сет Д. Шон , Надя Хенингер , Уильям Кларксон, Уильям Пол, Джозеф А. Каландрино, Ариэль Дж. Фельдман, Джейкоб Аппельбаум и Эдвард В. Фелтен (21 февраля 2008 г. ). «Чтобы мы не помнили: атаки холодного запуска на ключи шифрования» . Принстонский университет . Проверено 20 ноября 2009 . Цитировать журнал требует
|journal=
( помощь )CS1 maint: несколько имен: список авторов ( ссылка ) - ^ Гейгер, М. (март 2005 г.). «Оценка коммерческих средств противодействия судебной экспертизе» (PDF) . Архивировано из оригинального (PDF) 30 декабря 2014 года . Проверено 2 апреля 2012 .
- ^ «Обзоры заработной платы CCFP» . ITJobsWatch. Архивировано из оригинала на 2017-01-19 . Проверено 15 июня 2017 .
- ^ «Программа сертификации X-PERT» . X-pert.eu . Проверено 26 ноября 2015 .
дальнейшее чтение
- Практическое руководство по компьютерной криминалистике, первое издание (в мягкой обложке) Дэвида Бентона (автора), Фрэнка Гриндстаффа (автора)
- Кейси, Эоган; Стеллатос, Герасимос Дж. (2008). «Влияние полного шифрования диска на цифровую криминалистику». Обзор операционных систем . 42 (3): 93–98. CiteSeerX 10.1.1.178.3917 . DOI : 10.1145 / 1368506.1368519 .
- Ичжэнь Хуан; Янцзин Лун (2008). «Распознавание демозаики с приложениями для аутентификации цифровых фотографий на основе модели квадратичной корреляции пикселей» (PDF) . Proc. Конференция IEEE по компьютерному зрению и распознаванию образов : 1–8. Архивировано из оригинального (PDF) 17 июня 2010 года . Проверено 18 декабря 2009 .
- Реагирование на инциденты и компьютерная криминалистика, второе издание (в мягкой обложке) Криса Просиза (автор), Кевина Мандиа (автор), Мэтта Пепе (автор) «Правда страннее вымысла ...» (подробнее)
- Ross, S .; Гоу, А. (1999). Цифровая археология? Спасение забытых или поврежденных ресурсов данных (PDF) . Бристоль и Лондон: Британская библиотека и Объединенный комитет информационных систем. ISBN 978-1-900508-51-3.
- Джордж М. Мохай (2003). Компьютерная экспертиза и криминалистика вторжений . Артек Хаус. п. 395. ISBN 978-1-58053-369-0.
- Чак Исттом (2013). Системная криминалистика, расследование и реагирование . Джонс и Бартлетт. п. 318. ISBN 978-1284031058. Архивировано из оригинала на 2013-06-14 . Проверено 23 сентября 2013 .
Связанные журналы
- IEEE Transactions по информационной криминалистике и безопасности
- Журнал цифровой криминалистики, безопасности и права
- Международный журнал цифровой преступности и криминалистики
- Журнал цифровых исследований
- Международный журнал цифровых доказательств
- Международный журнал судебной компьютерной науки
- Журнал цифровой судебной экспертизы
- Криптология
- Судебно-медицинский журнал малых цифровых устройств