Это хорошая статья. Для получения дополнительной информации нажмите здесь.
Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Часть серии по
Криминалистика
Жесткий диск.jpg
Физиологический
Социальное
Криминалистика
Цифровая криминалистика
Связанные дисциплины
  • Электротехника
  • Инженерное дело
  • Расследование пожара
  • Обнаружение пожарного ускорителя
  • Фрактография
  • Лингвистика
  • Материаловедение
  • Полимерная инженерия
  • Статистика
  • Реконструкция дорожно-транспортного происшествия
Статьи по Теме
  • Место преступления
  • Эффект CSI
  • Синдром Перри Мейсона
  • Календарь пыльцы
  • Знак заноса
  • Следы доказательств
  • Использование ДНК в судебной энтомологии
  • Контур
  • Категория
  • v
  • т
  • е
Аэрофотоснимок FLETC , где в 1980-х и 90-х годах были разработаны американские стандарты цифровой криминалистики.

Цифровая криминалистика (иногда известная как цифровая криминалистика ) - это отрасль судебной экспертизы, охватывающая восстановление и исследование материалов, обнаруженных на цифровых устройствах, часто в связи с компьютерными преступлениями . [1] [2] Термин «цифровая криминалистика» первоначально использовался как синоним компьютерной криминалистики, но теперь он расширился, чтобы охватить исследование всех устройств, способных хранить цифровые данные . [1] У истоков революции персональных компьютеров В конце 1970-х - начале 1980-х дисциплина развивалась случайным образом в течение 1990-х, и только в начале 21 века появилась национальная политика.

Цифровые судебные расследования имеют множество применений. Наиболее распространенным является подтверждение или опровержение гипотезы в уголовном или гражданском суде. Уголовные дела связаны с предполагаемым нарушением установленных законодательством законов, которые преследуются полицией и преследуются государством, например, убийства, кражи и нападения на человека. С другой стороны, гражданские дела касаются защиты прав и собственности физических лиц (часто связанных с семейными спорами), но могут также касаться договорных споров между коммерческими организациями, в которых может быть задействована форма цифровой криминалистики, называемая электронным обнаружением (ediscovery). .

Криминалистика может также применяться в частном секторе; например, во время внутренних корпоративных расследований или расследования вторжений (специальное расследование характера и масштабов несанкционированного сетевого вторжения ).

Технический аспект исследования разделен на несколько подразделов, связанных с типом задействованных цифровых устройств; компьютерная криминалистика, сетевая криминалистика , криминалистический анализ данных и криминалистика мобильных устройств . Типичный процесс судебной экспертизы включает в себя изъятие, визуализацию (получение) и анализ цифровых носителей, а также составление отчета о собранных доказательствах.

Помимо выявления прямых доказательств преступления, цифровая криминалистика может использоваться для приписывания доказательств конкретным подозреваемым, подтверждения алиби или заявлений, определения намерений , идентификации источников (например, в делах об авторском праве) или аутентификации документов. [3] Расследования намного шире, чем другие области судебно-медицинской экспертизы (где обычная цель состоит в том, чтобы дать ответы на ряд более простых вопросов), часто включающих сложные временные рамки или гипотезы. [4]

История [ править ]

До 1970-х годов преступления с использованием компьютеров рассматривались в соответствии с существующими законами. Первые компьютерные преступления были признаны в Законе о компьютерных преступлениях Флориды 1978 года, который включал законодательство против несанкционированного изменения или удаления данных в компьютерной системе. [5] [6] В течение следующих нескольких лет количество совершаемых компьютерных преступлений увеличилось, и были приняты законы, регулирующие вопросы авторского права , конфиденциальности / домогательств (например, кибер-издевательства , удачные пощечины , кибер-преследование и онлайн-хищники ) и детская порнография . [7] [8]Только в 1980-х годах федеральные законы начали включать компьютерные преступления. Канада была первой страной, принявшей закон в 1983 году. [6] За ним последовал Федеральный закон США о компьютерном мошенничестве и злоупотреблениях в 1986 году, поправки Австралии к их законам о преступлениях в 1989 году и Британский Закон о неправомерном использовании компьютеров в 1990 году. [6] [ 8]

1980–1990 годы: рост отрасли [ править ]

Рост компьютерной преступности в 1980-х и 1990-х годах заставил правоохранительные органы начать создавать специализированные группы, обычно на национальном уровне, для решения технических аспектов расследований. Например, в 1984 году ФБР начал анализ компьютера и группы реагирования и в следующем году отдел компьютерной преступности был создан в британской столичной полиции отряд мошенничества. Помимо того, что они были профессионалами в правоохранительных органах, многие из первых членов этих групп были также любителями компьютеров и стали ответственными за первоначальные исследования и руководство в этой области. [9] [10]

Одним из первых практических (или, по крайней мере, обнародованных) примеров цифровой криминалистики было преследование Клиффом Столлом хакера Маркуса Хесса в 1986 году. Столл, в расследовании которого использовались компьютерные и сетевые методы судебной экспертизы, не был специализированным экспертом. [11] Многие из самых ранних судебно-медицинских экспертиз следовали тому же профилю. [12]

На протяжении 1990-х годов был большой спрос на эти новые базовые ресурсы для расследований. Нагрузка на центральные блоки приводит к созданию групп регионального и даже местного уровня, которые помогают справиться с нагрузкой. Например, Британский национальный отдел по борьбе с преступлениями в сфере высоких технологий был создан в 2001 году для обеспечения национальной инфраструктуры компьютерной преступности; с персоналом, расположенным как в центре Лондона, так и с различными региональными полицейскими силами ( в 2006 году это подразделение было преобразовано в Агентство по борьбе с серьезной организованной преступностью (SOCA) ). [10]

В этот период наука о цифровой криминалистике выросла из специальных инструментов и методов, разработанных этими любителями-практиками. Это контрастирует с другими дисциплинами судебной медицины, которые были разработаны научным сообществом. [1] [13] Только в 1992 году термин «компьютерная криминалистика» использовался в академической литературе (хотя до этого он использовался неофициально); статья Коллиера и Спола попыталась оправдать эту новую дисциплину перед миром криминалистики. [14] [15] Это быстрое развитие привело к отсутствию стандартизации и обучения. В своей книге 1995 года « Преступления с использованием высоких технологий: расследование дел с участием компьютеров » К. Розенблатт писал:

Изъятие, сохранение и анализ доказательств, хранящихся на компьютере, - это величайшая судебно-медицинская проблема, с которой столкнулись правоохранительные органы в 1990-х годах. Хотя большинство судебно-медицинских экспертиз, таких как снятие отпечатков пальцев и тестирование ДНК, выполняются специально обученными экспертами, задача сбора и анализа компьютерных доказательств часто поручается патрульным и детективам. [16]

2000-е: Разработка стандартов [ править ]

С 2000 года, в ответ на потребность в стандартизации, различные органы и агентства опубликовали руководящие принципы по цифровой криминалистике. Рабочая группа Научно на цифровых доказательств (SWGDE) подготовила документ 2002 года, « Лучшая практика для компьютерной криминалистике », за этим последовало, в 2005 году публикацией в ISO стандарта ( ISO 17025 , Общие требования к компетентности испытательных и калибровочных лаборатории ). [6] [17] [18] Ведущий европейский международный договор - Конвенция о киберпреступности., вступил в силу в 2004 году с целью согласования национальных законов о компьютерных преступлениях, методов расследования и международного сотрудничества. Договор подписали 43 страны (включая США, Канаду, Японию, Южную Африку, Великобританию и другие европейские страны) и ратифицировали 16.

Не обошлось и без обучения. Коммерческие компании (часто разработчики программного обеспечения для криминалистической экспертизы) начали предлагать программы сертификации, и цифровой криминалистический анализ был включен в число тем в британском центре подготовки следователей Centrex . [6] [10]

С конца 1990-х годов мобильные устройства стали более доступными, превзойдя простые устройства связи, и оказались богатыми формами информации даже в отношении преступлений, традиционно не связанных с цифровой криминалистикой. [19] Несмотря на это, цифровой анализ телефонов отставал от традиционных компьютерных носителей, в основном из-за проблем, связанных с проприетарным характером устройств. [20]

Акцент также сместился на преступность в Интернете, особенно на риск кибервойны и кибертерроризма . В отчете Командования объединенных сил США за февраль 2010 г. делается вывод:

Через киберпространство враги будут нацелены на промышленность, научные круги, правительство, а также на вооруженные силы в воздухе, на суше, на море и в космосе. Во многом так же, как авиация изменила поле битвы Второй мировой войны, киберпространство разрушило физические барьеры, которые защищают страну от атак на ее торговлю и коммуникации. [21]

В области цифровой криминалистики все еще существуют нерешенные проблемы. В статье Петерсона и Шеноя «Цифровые криминалистические исследования: хорошее, плохое и безрезультатное» 2009 года выявлено предвзятое отношение к операционным системам Windows в исследованиях цифровой криминалистики. [22] В 2010 году Симсон Гарфинкель выявил проблемы, с которыми предстоит столкнуться цифровым расследованиям в будущем, включая увеличение размера цифровых носителей, широкую доступность шифрования для потребителей, растущее разнообразие операционных систем и форматов файлов, увеличение числа людей, владеющих несколькими устройствами , а также правовые ограничения для следователей. В документе также указаны проблемы с непрерывным обучением, а также непомерно высокая стоимость выхода в поле. [11]

Разработка инструментов судебной экспертизы [ править ]

Основная статья: Список инструментов цифровой криминалистики

В течение 1980-х годов существовало очень мало специализированных инструментов цифровой криминалистики, и, следовательно, следователи часто проводили анализ мультимедиа в реальном времени , исследуя компьютеры изнутри операционной системы, используя существующие инструменты системного администратора для извлечения улик. Такая практика сопряжена с риском случайного или иного изменения данных на диске, что приводит к заявлениям о подделке улик. В начале 1990-х годов был создан ряд инструментов для решения этой проблемы.

Потребность в таком программном обеспечении впервые была признана в 1989 году в Федеральном учебном центре правоохранительных органов , в результате чего были созданы IMDUMP [23] (Майкл Уайт) и в 1990 году SafeBack [24] (разработанные Sydex). Аналогичное программное обеспечение было разработано в других странах; DIBS (аппаратное и программное решение) было коммерчески выпущено в Великобритании в 1991 году, а Роб МакКеммиш бесплатно выпустил фиксированный образ диска для австралийских правоохранительных органов. [9] Эти инструменты позволили экспертам создать точную копию цифрового носителя для работы, оставив оригинальный диск нетронутым для проверки. К концу 1990-х годов по мере роста спроса на цифровые доказательства более совершенные коммерческие инструменты, такие как EnCase иБыли разработаны FTK , позволяющие аналитикам проверять копии носителей без использования какой-либо оперативной криминалистики. [6] В последнее время выросла тенденция к «криминалистике оперативной памяти», что привело к появлению таких инструментов, как WindowsSCOPE .

Совсем недавно такой же прогресс в разработке инструментов произошел и для мобильных устройств ; Первоначально исследователи получали доступ к данным непосредственно на устройстве, но вскоре появились специальные инструменты, такие как XRY или Radio Tactics Aceso. [6]

Судебно-медицинский процесс [ править ]

Портативный блокировщик записи Tableau, подключенный к жесткому диску
Основная статья: Процесс цифровой криминалистики

Цифровое судебно-медицинское расследование обычно состоит из 3 этапов: получение или визуализация вещественных доказательств [25], анализ и составление отчетов. [6] [26] В идеале получение включает в себя захват изображения энергозависимой памяти (RAM) компьютера [27] и создание точной копии на уровне сектора (или «судебной копии») носителя, часто с использованием устройства блокировки записи для предотвращения модификации. оригинала. Однако рост размера носителей информации и такие разработки, как облачные вычисления [28] , привели к более широкому использованию «живого» сбора данных, посредством которого получается «логическая» копия данных, а не полный образ физического запоминающего устройства.И полученное изображение (или логическая копия), и исходный носитель / данные хэшируются (с использованием такого алгоритма, как SHA-1 или MD5 ), и значения сравниваются для проверки точности копии. [29]

Альтернативный (и запатентованный) подход (получивший название «гибридная судебная экспертиза» [30] или «распределенная судебная экспертиза» [31] ) сочетает в себе процессы цифровой криминалистики и электронного обнаружения. Этот подход был воплощен в коммерческом инструменте под названием ISEEK, который был представлен вместе с результатами тестирования на конференции в 2017 году [30].

На этапе анализа следователь собирает вещественные доказательства, используя ряд различных методологий и инструментов. В 2002 году в статье в Международном журнале цифровых доказательств этот шаг был назван «углубленным систематическим поиском улик, связанных с предполагаемым преступлением». [1] В 2006 году судебно-медицинский исследователь Брайан Кэрриер описал «интуитивно понятную процедуру», при которой сначала выявляются очевидные доказательства, а затем «проводятся исчерпывающие поиски, чтобы начать заполнение дыр». [4]

Фактический процесс анализа может варьироваться в зависимости от исследования, но общие методологии включают поиск по ключевым словам на цифровых носителях (в файлах, а также в нераспределенном и незаполненном пространстве ), восстановление удаленных файлов и извлечение информации из реестра (например, для составления списка учетных записей пользователей или подключенные USB-устройства).

Полученные свидетельства анализируются для реконструкции событий или действий и для вывода выводов - работы, которую часто может выполнить менее специализированный персонал. [1] Когда расследование завершено, данные представляются, обычно в форме письменного отчета, в условиях непрофессионала . [1]

Заявление [ править ]

Пример метаданных Exif изображения, которые могут использоваться для подтверждения его происхождения

Цифровая криминалистика широко используется как в уголовном праве, так и в частных расследованиях. Традиционно это было связано с уголовным правом, когда доказательства собираются для поддержки или опровержения гипотезы в суде. Как и в других областях судебной экспертизы, это часто является частью более широкого расследования, охватывающего ряд дисциплин. В некоторых случаях собранные доказательства используются как форма сбора разведывательной информации, используемая для других целей, помимо судебного разбирательства (например, для обнаружения, выявления или пресечения других преступлений). В результате сбор разведданных иногда проводится в соответствии с менее строгими стандартами судебной экспертизы.

В гражданских судебных процессах или корпоративных делах цифровая судебная экспертиза является частью процесса электронного обнаружения (или обнаружения электронных данных). Судебные процедуры аналогичны процедурам, используемым в уголовных расследованиях, часто с другими юридическими требованиями и ограничениями. Вне суда цифровая криминалистика может быть частью внутренних корпоративных расследований.

Типичным примером может быть несанкционированное вторжение в сеть . Специализированная судебно-медицинская экспертиза характера и масштабов атаки выполняется как упражнение по ограничению ущерба, как для установления степени любого вторжения, так и для попытки идентифицировать злоумышленника. [3] [4] Такие атаки обычно проводились по телефонным линиям в 1980-х годах, но в современную эпоху они обычно распространяются через Интернет. [32]

Основное внимание в расследованиях цифровой криминалистики уделяется обнаружению объективных доказательств преступной деятельности ( на юридическом языке это называется actus reus ). Однако широкий спектр данных, хранящихся в цифровых устройствах, может помочь в других областях исследования. [3]

Атрибуция
Мета-данные и другие журналы могут использоваться для атрибуции действий человеку. Например, личные документы на диске компьютера могут идентифицировать его владельца.
Алиби и заявления
Информация, предоставленная участниками, может быть перепроверена с цифровыми доказательствами. Например, в ходе расследования убийств в Сохаме алиби преступника было опровергнуто, когда записи мобильного телефона человека, с которым он утверждал, что находится с ним, показали, что в это время ее не было в городе.
Намерение
Помимо поиска объективных доказательств совершения преступления, расследования также могут использоваться для доказательства умысла (известного под юридическим термином mens rea ). Например, история признанного виновным убийцы Нила Энтвистла в Интернете содержала ссылки на сайт, посвященный теме « Как убивать людей» .
Оценка источника
Файловые артефакты и метаданные могут использоваться для идентификации источника определенного фрагмента данных; например, более старые версии Microsoft Word встраивали глобальный уникальный идентификатор в файлы, идентифицирующие компьютер, на котором он был создан. Очень важно доказать, был ли файл создан на исследуемом цифровом устройстве или получен из другого источника (например, из Интернета). [3]
Аутентификация документа
В отношении «Оценка источника» метаданные, связанные с цифровыми документами, можно легко изменить (например, изменив часы компьютера, вы можете повлиять на дату создания файла). Аутентификация документа связана с обнаружением и выявлением фальсификации таких сведений.

Ограничения [ править ]

Одним из основных ограничений судебно-медицинской экспертизы является использование шифрования; это нарушает первоначальную экспертизу, где можно найти соответствующие доказательства с помощью ключевых слов. Законы, обязывающие людей раскрывать ключи шифрования , все еще относительно новы и вызывают споры. [11], но всегда чаще встречаются решения для перебора паролей или обхода шифрования, например, в смартфонах или ПК, где с помощью методов загрузчика содержимое устройства может быть сначала получено, а затем принудительно, чтобы найти пароль или шифрование ключ.

Юридические соображения [ править ]

Проверка цифровых медиа регулируется национальным и международным законодательством. В частности, в отношении гражданских расследований законы могут ограничивать возможности аналитиков проводить экспертизы. Часто существуют ограничения на мониторинг сети или чтение личных сообщений. [33] Во время уголовного расследования национальное законодательство ограничивает объем информации, которая может быть изъята. [33] Например, в Соединенном Королевстве изъятие доказательств правоохранительными органами регулируется законом ПАСЕ . [6] В начале своего существования в этой области «Международная организация компьютерных доказательств» (IOCE) была одним из агентств, которые работали над установлением совместимых международных стандартов для изъятия улик. [34]

В Великобритании те же законы, касающиеся компьютерных преступлений, также могут затрагивать судебных следователей. Закон 1990 года о неправомерном использовании компьютеров запрещает несанкционированный доступ к компьютерным материалам; это особенно беспокоит гражданских следователей, у которых больше ограничений, чем у правоохранительных органов.

Право человека на неприкосновенность частной жизни - это одна из областей цифровой криминалистики, по которой суды все еще не решают вопрос. Закон США о конфиденциальности электронных коммуникаций налагает ограничения на способность правоохранительных органов или гражданских следователей перехватывать доказательства и получать доступ к ним. В законе проводится различие между хранимой информацией (например, архивы электронной почты) и передаваемой информацией (например, VOIP ). Последнее, поскольку считается вторжением в частную жизнь, труднее получить ордер. [6] [16] ECPA также влияет на способность компаний исследовать компьютеры и коммуникации своих сотрудников, аспект, который все еще обсуждается относительно того, в какой степени компания может проводить такой мониторинг. [6]

Статья 5 Европейской конвенции о правах человека утверждает ограничения конфиденциальности, аналогичные ECPA, и ограничивает обработку и обмен личными данными как внутри ЕС, так и с внешними странами. Возможность правоохранительных органов Великобритании проводить расследования в области цифровой криминалистики закреплена в Законе о регулировании полномочий следственных органов . [6]

Цифровые доказательства [ править ]

Цифровые доказательства могут быть разных форм
Основная статья: Цифровые доказательства

При использовании в суде цифровые доказательства подпадают под те же правовые нормы, что и другие формы доказательств; суды обычно не требуют более строгих правил. [6] [35] В Соединенных Штатах Федеральные правила доказывания используются для оценки допустимости цифровых доказательств, законы PACE и Гражданские доказательства Соединенного Королевства содержат аналогичные руководящие принципы, а во многих других странах действуют собственные законы. Федеральные законы США ограничивают изъятие предметов, имеющих только очевидную доказательную ценность. Признается, что это не всегда возможно установить с помощью цифровых носителей до экзамена. [33]

Законы, касающиеся цифровых доказательств, касаются двух вопросов: целостности и подлинности. Целостность - это гарантия того, что акт изъятия и приобретения цифровых носителей не приведет к изменению доказательств (ни оригинала, ни копии). Под подлинностью понимается возможность подтвердить целостность информации; например, что изображение на носителе соответствует оригинальному свидетельству. [33] Легкость, с которой цифровые носители могут быть изменены, означает, что документирование цепочки поставок с места преступления посредством анализа и, в конечном итоге, до суда (форма контрольного следа ) важно для установления подлинности доказательств. [6]

Адвокаты утверждали, что, поскольку цифровые доказательства теоретически можно изменить, это подрывает их надежность. Судьи США начинают отвергать эту теорию. В деле US v. Bonallo суд постановил, что «факт возможности изменения данных, содержащихся в компьютере, явно недостаточен для установления недостоверности». [6] [36] В Соединенном Королевстве соблюдаются руководящие принципы, подобные тем, которые выпущены ACPO , чтобы помочь документально подтвердить подлинность и целостность доказательств.

Цифровые следователи, особенно в уголовных расследованиях, должны гарантировать, что выводы основаны на фактических данных и их собственных экспертных знаниях. [6] В США, например, Федеральные правила доказывания гласят, что квалифицированный эксперт может давать показания «в форме заключения или иным образом» при условии, что:

(1) показания основаны на достаточных фактах или данных, (2) свидетельские показания являются продуктом надежных принципов и методов, и (3) свидетель надежно применил принципы и методы к фактам дела. [37]

Подотрасли цифровой криминалистики могут иметь свои собственные конкретные правила проведения расследований и обработки доказательств. Например, мобильные телефоны могут потребоваться помещать в щит Фарадея во время захвата или захвата, чтобы предотвратить дальнейший радиопередачу на устройство. В Великобритании судебно-медицинская экспертиза компьютеров по уголовным делам регулируется руководящими принципами ACPO . [6] Существуют также международные подходы к предоставлению руководящих указаний о том, как обращаться с электронными доказательствами. «Руководство по электронным доказательствам» Совета Европы предлагает основу для правоохранительных и судебных органов в странах, которые стремятся разработать или усовершенствовать свои собственные руководящие принципы для идентификации и обращения с электронными доказательствами.[38]

Инструменты расследования [ править ]

Допустимость цифровых доказательств зависит от инструментов, используемых для их извлечения. В США инструменты судебной экспертизы подчиняются стандарту Daubert , где судья отвечает за обеспечение приемлемости используемых процессов и программного обеспечения. В статье 2003 года Брайан Кэрриер утверждал, что руководящие принципы Даубера требуют, чтобы код инструментов судебной экспертизы был опубликован и рецензирован. Он пришел к выводу, что «инструменты с открытым исходным кодом могут более четко и всесторонне соответствовать требованиям руководства, чем инструменты с закрытым исходным кодом». [39] В 2011 году Джош Брантизаявил, что научная проверка технологии и программного обеспечения, связанных с проведением цифровой судебной экспертизы, имеет решающее значение для любого лабораторного процесса. Он утверждал, что «наука цифровой криминалистики основана на принципах повторяемости процессов и качественных доказательств, поэтому знание того, как разработать и правильно поддерживать хороший процесс проверки, является ключевым требованием для любого эксперта цифровой криминалистики для защиты своих методов в суде». " [40]

Филиалы [ править ]

Цифровая криминалистика не ограничивается извлечением данных только с компьютера, поскольку преступники нарушают законы, и в настоящее время широко используются небольшие цифровые устройства (например, планшеты, смартфоны, флэш-накопители). Некоторые из этих устройств имеют энергозависимую память, а некоторые - энергонезависимую. Доступны достаточные методологии для извлечения данных из энергонезависимой памяти, однако отсутствует подробная методология или структура для извлечения данных из источников энергонезависимой памяти. [41] В зависимости от типа устройств, носителей или артефактов, цифровая криминалистическая экспертиза подразделяется на различные типы.

Компьютерная криминалистика [ править ]

Основная статья: Компьютерная криминалистика
Частный следователь и сертифицированный эксперт по цифровой криминалистике, визуализирующий жесткий диск в полевых условиях для судебно-медицинской экспертизы.

Цель компьютерной криминалистики - объяснить текущее состояние цифрового артефакта; например, компьютерная система, носитель информации или электронный документ. [42] Дисциплина обычно охватывает компьютеры, встроенные системы (цифровые устройства с элементарной вычислительной мощностью и встроенной памятью) и статическую память (например, флэш-накопители USB).

Компьютерная криминалистика может работать с широким спектром информации; от журналов (например, истории Интернета) до фактических файлов на диске. В 2007 году прокуратура использовала электронную таблицу, извлеченную из компьютера Джозефа Э. Дункана III, чтобы продемонстрировать преднамеренность и обеспечить смертную казнь . [3] Убийца Шарон Лопатки был идентифицирован в 2006 году после того, как на ее компьютере были обнаружены электронные письма от него, в которых подробно описывались пытки и фантазии о смерти. [6]

Криминалистика мобильных устройств [ править ]

Основная статья: Криминалистика мобильных устройств
Мобильные телефоны в сумке для вещественных доказательств Великобритании

Криминалистическая экспертиза мобильных устройств - это подраздел цифровой криминалистической экспертизы, относящийся к восстановлению цифровых доказательств или данных с мобильного устройства . Он отличается от компьютерной криминалистики тем, что мобильное устройство будет иметь встроенную систему связи (например, GSM ) и, как правило, проприетарные механизмы хранения. Исследования обычно сосредоточены на простых данных, таких как данные о звонках и сообщениях (SMS / электронная почта), а не на глубоком восстановлении удаленных данных. [6] [43] СМС- данные расследования мобильного устройства помогли оправдать Патрика Лумумбу в убийстве Мередит Керчер . [3]

Мобильные устройства также полезны для предоставления информации о местоположении; либо из встроенного GPS / отслеживания местоположения, либо через журналы сотовой связи , которые отслеживают устройства в пределах их диапазона. Такая информация была использована для отслеживания похитителей Томаса Онофри в 2006 году [3].

Сетевая криминалистика [ править ]

Основная статья: Сетевая криминалистика

Сетевая криминалистика занимается мониторингом и анализом трафика компьютерной сети , как локального, так и WAN / Интернета , с целью сбора информации, сбора доказательств или обнаружения вторжений. [44] Трафик обычно перехватывается на уровне пакетов и либо сохраняется для последующего анализа, либо фильтруется в реальном времени. В отличие от других областей цифровой криминалистики, сетевые данные часто изменчивы и редко регистрируются, что делает дисциплину зачастую реакционной.

В 2000 году ФБР заманило компьютерных хакеров Алексея Иванова и Горшкова в Соединенные Штаты для поддельного собеседования. Контролируя сетевой трафик с компьютеров пары, ФБР идентифицировало пароли, позволяющие собирать улики непосредственно с компьютеров в России. [6] [45]

Криминалистический анализ данных [ править ]

Основная статья: Криминалистический анализ данных

Криминалистический анализ данных - это отрасль цифровой криминалистики. Он изучает структурированные данные с целью выявления и анализа схем мошенничества в результате финансовых преступлений.

Криминалистическая экспертиза баз данных [ править ]

Основная статья: Криминалистическая экспертиза баз данных

Криминалистика баз данных - это отрасль цифровой криминалистики, относящаяся к криминалистическому исследованию баз данных и их метаданных . [46] В расследованиях используется содержимое базы данных, файлы журналов и данные в ОЗУ для построения временной шкалы или восстановления соответствующей информации.

Искусственный интеллект и его роль в цифровой криминалистике [ править ]

Искусственный интеллект (ИИ) - это хорошо зарекомендовавшая себя область, которая помогает решать сложные в вычислительном отношении и большие проблемы. Поскольку процесс цифровой криминалистики требует анализа большого количества сложных данных; Таким образом, ИИ считается идеальным подходом для решения ряда проблем и проблем, существующих в настоящее время в цифровой криминалистике. Среди наиболее важных концепций в различных системах ИИ, связанных с онтологией, представлением и структурированием знаний. ИИ обладает потенциалом для предоставления необходимых знаний и помогает в стандартизации, управлении и обмене большим объемом данных, информации и знаний в области судебной экспертизы. Существующие системы цифровой криминалистики неэффективны для сохранения и хранения всех этих множественных форматов данных и недостаточны для обработки таких обширных и сложных данных, поэтому они требуют вмешательства человека, что означает вероятность задержек и ошибок. Но с помощью инноваций в области машинного обучения это возникновение ошибки или задержки можно предотвратить. Система разработана таким образом, что может помочь обнаруживать ошибки, но гораздо быстрее и точнее. Несколько типов исследований подчеркнули роль различных методов искусственного интеллекта и их преимущества в обеспечении основы для хранения и анализа цифровых доказательств. Среди этих методов искусственного интеллекта - машинное обучение (ML), NLP, распознавание речи и изображений, при этом каждый из этих методов имеет свои преимущества. Например, ML предоставляет системам возможность обучения и совершенствования без четкого программирования, например, обработка изображений и медицинская диагностика. Кроме того, методы НЛП помогают извлекать информацию из текстовых данных, например, в процессе фрагментации файлов.

См. Также [ править ]

  • Список инструментов цифровой криминалистики
  • Киберпространство
  • Криминалистический поиск
  • Глоссарий терминов цифровой криминалистики
  • Очерк судебной медицины

Ссылки [ править ]

  1. ^ Б с д е ф М Reith; C Carr; Дж. Гунш (2002). «Экспертиза цифровых криминалистических моделей». Международный журнал цифровых доказательств. CiteSeerX  10.1.1.13.9683 . Цитировать журнал требует |journal=( помощь )
  2. Перейти ↑ Carrier, B (2001). «Определение инструментов цифровой криминалистической экспертизы и анализа». Международный журнал цифровых доказательств . 1 : 2003. CiteSeerX 10.1.1.14.8953 . 
  3. ^ Б с д е е г Различные (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованиям . Академическая пресса. п. 567. ISBN 978-0-12-374267-4.
  4. ^ a b c Carrier, Брайан Д. (7 июня 2006 г.). «Основные концепции цифровой криминалистики» . Архивировано 26 февраля 2010 года.
  5. ^ "Закон о компьютерных преступлениях Флориды" . Архивировано из оригинального 12 июня 2010 года . Проверено 31 августа 2010 года .
  6. ^ Б с д е е г ч я J к л м п о р Q R сек т Casey, Eoghan (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 978-0-12-163104-8.
  7. ^ Аарон Филлип; Дэвид Коуэн; Крис Дэвис (2009). Разоблачение взлома: компьютерная криминалистика . McGraw Hill Professional. п. 544. ISBN 978-0-07-162677-4. Проверено 27 августа 2010 года .
  8. ^ a b M, ME "Краткая история компьютерных преступлений: A" (PDF) . Норвичский университет . Архивировано 21 августа 2010 года (PDF) . Проверено 30 августа 2010 года .
  9. ^ a b Мохай, Джордж М. (2003). Компьютерная экспертиза и криминалистика вторжений . Artechhouse. п. 395 . ISBN 978-1-58053-369-0.
  10. ^ a b c Питер Соммер (январь 2004 г.). «Будущее борьбы с киберпреступностью». Компьютерное мошенничество и безопасность . 2004 (1): 8–12. DOI : 10.1016 / S1361-3723 (04) 00017-X . ISSN 1361-3723 . 
  11. ^ a b c Симсон Л. Гарфинкель (август 2010 г.). «Цифровые криминалистические исследования: следующие 10 лет» . Цифровое расследование . 7 : S64 – S73. DOI : 10.1016 / j.diin.2010.05.009 . ISSN 1742-2876 . 
  12. ^ Линда Волонино; Рейнальдо Анзалдуа (2008). Компьютерная криминалистика для чайников . Для чайников . п. 384. ISBN 978-0-470-37191-6.
  13. ^ Г.Л. Палмер; Я ученый; H View (2002). «Криминалистический анализ в цифровом мире» . Международный журнал цифровых доказательств . Проверено 2 августа 2010 года .
  14. Перейти ↑ Wilding, E. (1997). Компьютерные доказательства: Справочник по судебным расследованиям . Лондон: Sweet & Maxwell. п. 236. ISBN. 978-0-421-57990-3.
  15. ^ Кольер, Пенсильвания; Спаул, Б.Дж. (1992). «Криминалистическая методика противодействия компьютерной преступности». Компьютеры и право .
  16. ^ а б К. С. Розенблатт (1995). Преступления в сфере высоких технологий: расследование дел с участием компьютеров . Публикации KSK. ISBN 978-0-9648171-0-4. Проверено 4 августа 2010 года .
  17. ^ «Лучшие практики компьютерной криминалистики» (PDF) . SWGDE. Архивировано из оригинального (PDF) 27 декабря 2008 года . Проверено 4 августа 2010 года .
  18. ^ «ISO / IEC 17025: 2005» . ISO. Архивировано 5 августа 2011 года . Проверено 20 августа 2010 года .
  19. ^ SG Punja (2008). «Анализ мобильных устройств» (PDF) . Журнал криминалистической экспертизы малых цифровых устройств . Архивировано из оригинального (PDF) 28 июля 2011 года.
  20. ^ Ризван Ахмед (2008). «Мобильная криминалистика: обзор, инструменты, будущие тенденции и проблемы с точки зрения правоохранительных органов» (PDF) . 6-я Международная конференция по электронному управлению . Архивировано (PDF) из оригинала 03.03.2016.
  21. ^ «Совместная операционная среда» Архивировано 10 августа2013 г. на Wayback Machine , отчет выпущен 18 февраля 2010 г., стр. 34–36
  22. ^ Петерсон, Гилберт; Шеной, Суджит (2009). Цифровые криминалистические исследования: хорошее, плохое и безразличное . Достижения в области цифровой криминалистики V . Достижения ИФИП в области информационных и коммуникационных технологий. 306 . Springer Boston. С. 17–36. Bibcode : 2009adf5.conf ... 17B . DOI : 10.1007 / 978-3-642-04155-6_2 . ISBN 978-3-642-04154-9.
  23. ^ Мохай, Джордж М. (2003). Компьютерная экспертиза и криминалистика вторжений . Артек Хаус. ISBN 9781580536301.
  24. ^ ФАТХ, Алим А .; Хиггинс, Кэтлин М. (февраль 1999 г.). Лаборатории судебной экспертизы: Справочник по планированию, проектированию, строительству и перемещению объектов . ДИАНА Паблишинг. ISBN 9780788176241.
  25. ^ a b Адамс, Ричард (2013). « ' Усовершенствованная модель Data Acquisition (ADAM): модель процесса для цифровой судебной практики» . Университет Мердока. Архивировано (PDF) из оригинала на 2014-11-14.
  26. ^ " ' Электронный Crime Scene Investigation Руководство: Руководство для быстрого реагирования" (PDF) . Национальный институт юстиции. 2001. Архивировано (PDF) из оригинала 15.02.2010.
  27. ^ «Поймать призрака: как обнаружить эфемерные доказательства с помощью анализа оперативной памяти» . Belkasoft Research. 2013.
  28. ^ Адамс, Ричард (2013). « ' Появление облачных систем хранения данных и потребность в новой цифровой модели процесса судебно - медицинской экспертизы» (PDF) . Университет Мердока.
  29. ^ Маартен Ван Horenbeeck (24 мая 2006). «Расследование технологических преступлений» . Архивировано из оригинального 17 мая 2008 года . Проверено 17 августа 2010 года .
  30. ^ а б Ричард, Адамс; Грэм, Манн; Валери, Хоббс (2017). «ISEEK, инструмент для высокоскоростного одновременного распределенного сбора криминалистических данных» . Цитировать журнал требует |journal=( помощь )
  31. ^ Hoelz, Бруно WP; Ралья, Селия Гедини; Гевергезе, Раджив (2008-03-08). Искусственный интеллект в компьютерной криминалистике . ACM. С. 883–888. DOI : 10.1145 / 1529282.1529471 . ISBN 9781605581668. S2CID  5382101 .
  32. ^ Уоррен Г. Круз; Джей Г. Хайзер (2002). Компьютерная криминалистика: основы реагирования на инциденты . Эддисон-Уэсли. п. 392 . ISBN 978-0-201-70719-9.
  33. ^ a b c d Сара Мокас (февраль 2004 г.). «Создание теоретических основ для исследований в области цифровой криминалистики». Цифровое расследование . 1 (1): 61–68. CiteSeerX 10.1.1.7.7070 . DOI : 10.1016 / j.diin.2003.12.004 . ISSN 1742-2876 .  
  34. ^ Kanellis Панайотис (2006). Цифровая преступность и криминалистика в киберпространстве . Idea Group Inc (IGI). п. 357. ISBN. 978-1-59140-873-4.
  35. ^ США против Боналло , 858 F. 2d 1427 ( 9-й округ 1988 г.).
  36. ^ "Федеральные правила доказывания № 702" . Архивировано из оригинального 19 августа 2010 года . Проверено 23 августа 2010 года .
  37. ^ "Электронный справочник доказательств" . Совет Европы. Апрель 2013. Архивировано 27 декабря 2013 года.
  38. ^ Brunty, Джош (март 2011). «Проверка средств судебной экспертизы и программного обеспечения: краткое руководство для эксперта по цифровой криминалистике» . Судебно-медицинский журнал. Архивировано 22 апреля 2017 года.
  39. ^ Янсен, Уэйн (2004). «Айерс» (PDF) . Специальная публикация NIST . NIST. DOI : 10.6028 / NIST.SP.800-72 . Архивировано 12 февраля 2006 года (PDF) . Проверен 26 Февраль +2006 .
  40. ^ A Yasinsac; РФ Эрбахер; DG Marks; М. М. Поллитт (2003). «Обучение компьютерной криминалистике». Безопасность и конфиденциальность IEEE . 1 (4): 15–23. DOI : 10.1109 / MSECP.2003.1219052 .
  41. ^ "Расследование технологических преступлений :: Мобильная криминалистика" . Архивировано из оригинального 17 мая 2008 года . Проверено 18 августа 2010 года .
  42. ^ Гэри Палмер, Дорожная карта для цифровых судебных исследований, Отчет DFRWS 2001, First Digital Forensic Research Workshop, Utica, НьюЙорк, 7-8 августа 2001, Page (s) 27-30
  43. ^ "2 русских сталкиваются с обвинениями во взломе" . Москва Таймс . 24 апреля 2001 года. Архивировано 22 июня 2011 года . Проверено 3 сентября 2010 года .
  44. ^ Оливье, Мартин С. (март 2009 г.). «О контексте метаданных в криминалистике баз данных». Цифровое расследование . 5 (3–4): 115–123. CiteSeerX 10.1.1.566.7390 . DOI : 10.1016 / j.diin.2008.10.001 . 

Дальнейшее чтение [ править ]

  • Орнес, Андре (2018). Цифровая криминалистика . Wiley et al. ISBN 978-1-119-26238-1.
  • Кэрриер, Брайан Д. (февраль 2006 г.). «Риски живого цифрового криминалистического анализа». Коммуникации ACM . 49 (2): 56–61. DOI : 10.1145 / 1113034.1113069 . ISSN  0001-0782 . S2CID  16829457 .
  • Кроули, Пол. CD и DVD Криминалистика . Рокленд, Массачусетс: Syngress. ISBN 978-1597491280.
  • Канеллис, Панайотис (1 января 2006 г.). Цифровая преступность и криминалистика в киберпространстве . Издательство IGI. п. 357. ISBN. 978-1-59140-873-4.
  • Джонс, Эндрю (2008). Создание лаборатории цифровой криминалистики . Баттерворт-Хайнеманн. п. 312. ISBN 978-1-85617-510-4.
  • Маршелл, Ангус М. (2008). Цифровая криминалистика: цифровые доказательства в уголовном расследовании . Вили-Блэквелл. п. 148. ISBN 978-0-470-51775-8.
  • Саммонс, Джон (2012). Основы цифровой криминалистики: учебник для начинающих в цифровой криминалистике . Syngress. ISBN 978-1597496612.

Связанные журналы [ править ]

  • Журнал цифровой криминалистики, безопасности и права
  • Международный журнал цифровой преступности и криминалистики
  • Журнал цифровых исследований
  • Международный журнал цифровых доказательств
  • Международный журнал судебной компьютерной науки
  • Журнал цифровой судебной экспертизы
  • Судебно-медицинский журнал малых цифровых устройств

Внешние ссылки [ править ]

  • Научная рабочая группа по цифровым свидетельствам
  • Примеры использования цифровой криминалистики