Criminalistica computerizată - Computer forensics

Parte dintr- o serie pe
Criminalistica
Fiziologic Antropologie Biologie Analiza modelului petelor de sânge Stomatologie Fenotiparea ADN-ului Profilarea ADN-ului Entomologie Epidemiologie Limnologie Medicament Palinologie Patologie Pedichiură Toxicologie
Social Psihiatrie Psihologie Psihoterapie Munca sociala
Criminalistică Contabilitate Identificarea corpului Chimie Colorimetrie Criminalistica alegerilor Reconstrucția feței Analiza amprentei digitale Examinarea armei de foc Dovezi de încălțăminte Arte judiciare Profilare Analiza amprentei mănușilor Analiza amprentei palmare Examinarea documentului pus la îndoială Potrivirea venei Geofizică criminalistică Geologia criminalistică
Criminalistica digitală Examene de calculator Analiza datelor Studiul bazei de date Analiza programelor malware Dispozitive mobile Analiza rețelei Fotografie Analiza video Analiza audio
Disciplinele conexe Inginerie Electrică Inginerie Investigarea incendiilor Detectarea accelerantului de incendiu Fractografie Lingvistică Ingineria Materialelor Ingineria polimerilor Statistici Reconstrucția coliziunilor de trafic
Articole similare Scena crimei Efect CSI Sindromul Perry Mason Calendarul polenului Marca de derapare Urmărește dovezi Utilizarea ADN-ului în entomologia criminalistică
Contur Categorie
v t e

Analiza criminalistică a computerului nu se limitează doar la suportul computerizat

Informatica criminalistică (cunoscută și sub numele de informatică criminalistică ) este o ramură a criminalisticii digitale referitoare la dovezile găsite în computere și mediile de stocare digitale . Scopul criminalisticii computerizate este de a examina mediile digitale într-o manieră criminalistică sănătoasă, cu scopul de a identifica, păstra, recupera, analiza și prezenta fapte și opinii despre informațiile digitale.

Deși este cel mai adesea asociat cu investigarea unei largi varietăți de infracțiuni informatice, criminalistica computerizată poate fi folosită și în procedurile civile. Disciplina implică tehnici și principii similare cu recuperarea datelor , dar cu îndrumări și practici suplimentare menite să creeze o pistă de audit legal .

Dovezile din investigațiile de criminalistică computerizată sunt de obicei supuse acelorași orientări și practici ale altor dovezi digitale. Acesta a fost utilizat într-o serie de cazuri cu profil înalt și devine pe scară largă acceptat ca fiind de încredere în cadrul sistemelor judiciare din SUA și din Europa.

Prezentare generală

La începutul anilor 1980, computerele personale au devenit mai accesibile consumatorilor, ceea ce a dus la o utilizare crescută a acestora în activități infracționale (de exemplu, pentru a ajuta la comiterea fraudei ). În același timp, au fost recunoscute mai multe „infracțiuni informatice” noi (cum ar fi cracarea ). Disciplina criminalisticii informatice a apărut în acest timp ca o metodă de recuperare și investigare a dovezilor digitale pentru utilizare în instanță. De atunci, infracțiunile informatice și infracțiunile legate de computer au crescut și au crescut cu 67% între 2002 și 2003. Astăzi este utilizată pentru a investiga o mare varietate de infracțiuni, inclusiv pornografie infantilă , fraudă, spionaj , cyberstalking , crimă și viol. Disciplina apare și în procedurile civile ca o formă de colectare a informațiilor (de exemplu, descoperire electronică )

Tehnicile criminalistice și cunoștințele experților sunt utilizate pentru a explica starea actuală a unui artefact digital , cum ar fi un sistem de computer, un mediu de stocare (de exemplu, hard disk sau CD-ROM ) sau un document electronic (de exemplu, un mesaj de e-mail sau o imagine JPEG). Scopul unei analize criminalistice poate varia de la simpla regăsire a informațiilor până la reconstrucția unei serii de evenimente. Într-o carte din 2002, Computer Forensics , autorii Kruse și Heiser definesc criminalistica computerizată ca implicând „conservarea, identificarea, extragerea, documentarea și interpretarea datelor computerului”. Continuă să descrie disciplina ca „mai mult o artă decât o știință”, indicând faptul că metodologia criminalistică este susținută de flexibilitate și cunoștințe extinse de domeniu. Cu toate acestea, în timp ce mai multe metode pot fi utilizate pentru a extrage dovezi dintr-un computer dat, strategiile utilizate de forțele de ordine sunt destul de rigide și nu au flexibilitatea găsită în lumea civilă.

Folosiți ca dovadă

În instanță, dovezile criminalistice computerizate fac obiectul cerințelor obișnuite pentru probele digitale . Acest lucru necesită ca informațiile să fie autentice, obținute în mod fiabil și admisibile. Diferite țări au orientări și practici specifice pentru recuperarea dovezilor. În Regatul Unit , examinatorii respectă deseori liniile directoare ale Asociației Ofițerilor Șefi de Poliție care ajută la asigurarea autenticității și integrității dovezilor. Deși sunt voluntare, liniile directoare sunt larg acceptate în instanțele britanice.

Criminalistica computerizată a fost utilizată ca dovadă în dreptul penal de la mijlocul anilor 1980, câteva exemple notabile includ:

• BTK Killer: Dennis Rader a fost condamnat pentru o serie de crime în serie care au avut loc pe o perioadă de șaisprezece ani. Spre sfârșitul acestei perioade, Rader a trimis scrisori poliției pe o dischetă. Metadatele din documente implicau un autor numit „Dennis” la „Biserica Hristos Lutherană”; aceste dovezi au ajutat la arestarea lui Rader.
• Joseph Edward Duncan : O foaie de calcul recuperată de pe computerul lui Duncan conținea dovezi care l-au arătat că își planifică crimele. Procurorii au folosit acest lucru pentru a arăta premeditare și pentru a asigura pedeapsa cu moartea .
• Sharon Lopatka : Sute de e-mailuri pe computerul lui Lopatka conduc anchetatorii către ucigașul ei, Robert Glass.
• Grupul Corcoran : acest caz a confirmat obligațiile părților de a păstra dovezile digitale atunci când litigiul a început sau este anticipat în mod rezonabil. Hard disk-urile au fost analizate de un expert criminalistic în computer care nu a putut găsi e-mailurile relevante pe care ar fi trebuit să le aibă pârâții. Deși expertul nu a găsit nicio dovadă a ștergerii pe hard disk-uri, au apărut dovezi că s-a constatat că inculpații au distrus intenționat e-mailurile și au indus în eroare și nu au dezvăluit fapte materiale reclamanților și instanței.
• Dr. Conrad Murray : Dr. Conrad Murray, medicul decedatului Michael Jackson , a fost condamnat parțial prin dovezi digitale pe computerul său. Aceste dovezi au inclus documentație medicală care arată cantități letale de propofol .

Proces criminalistic

Un blocabil portabil de scriere Tableau atașat la un hard disk

Investigațiile criminalistice computerizate urmează de obicei procesul sau etapele medico-legale digitale standard, care sunt achiziția, examinarea, analiza și raportarea. Investigațiile sunt efectuate pe date statice (adică imagini dobândite ), mai degrabă decât pe sisteme „live”. Aceasta este o schimbare de la primele practici medico-legale în care lipsa instrumentelor de specialitate a condus la investigatorii care lucrează în mod obișnuit la date live.

Tehnici

O serie de tehnici sunt folosite în timpul investigațiilor criminalistice pe calculator și s-au scris multe despre numeroasele tehnici utilizate de forțele de ordine în special.

Analiza cross-drive

O tehnică criminalistică care corelează informațiile găsite pe mai multe hard disk-uri . Procesul, încă în curs de cercetare, poate fi utilizat pentru a identifica rețelele sociale și pentru a efectua detectarea anomaliilor .

Analiza live

Examinarea computerelor din interiorul sistemului de operare folosind criminalistică personalizată sau instrumente sysadmin existente pentru a extrage dovezi. Practica este utilă atunci când aveți de-a face cu criptarea sistemelor de fișiere , de exemplu, unde cheile de criptare pot fi colectate și, în unele cazuri, volumul logic al hard disk-ului poate fi imaginat (cunoscut sub numele de achiziție live) înainte ca computerul să fie oprit.

Fișiere șterse

O tehnică obișnuită utilizată în criminalistica computerelor este recuperarea fișierelor șterse. Software-ul criminalistic modern are propriile instrumente pentru recuperarea sau descifrarea datelor șterse. Majoritatea sistemelor de operare și a sistemelor de fișiere nu șterg întotdeauna datele fizice ale fișierelor, permițând anchetatorilor să le reconstruiască din sectoarele fizice ale discurilor . Sculptarea fișierelor implică căutarea antetelor de fișiere cunoscute în imaginea discului și reconstruirea materialelor șterse.

Criminalistica stochastică

O metodă care utilizează proprietățile stocastice ale sistemului computerizat pentru a investiga activitățile lipsite de artefacte digitale. Utilizarea sa principală este de a investiga furtul de date .

Steganografie

Una dintre tehnicile utilizate pentru a ascunde date este prin steganografie, procesul de ascundere a datelor în interiorul unei imagini sau a unei imagini digitale. Un exemplu ar fi ascunderea imaginilor pornografice ale copiilor sau a altor informații pe care un anumit criminal nu dorește să le fi descoperit. Profesioniștii în criminalistică informatică pot combate acest lucru uitându-se la hash-ul fișierului și comparându-l cu imaginea originală (dacă este disponibilă).

Date volatile

Datele volatile sunt orice date stocate în memorie sau care există în tranzit, care vor fi pierdute atunci când computerul își pierde alimentarea sau este oprit. Datele volatile se află în registre, cache și memorie cu acces aleatoriu (RAM). Investigația acestor date volatile se numește „criminalistică live”.

La confiscarea dovezilor, dacă aparatul este încă activ, orice informație stocată exclusiv în RAM care nu este recuperată înainte de oprire poate fi pierdută. O aplicație de „analiză viu“ este de a recupera date RAM (de exemplu, folosind Microsoft COFEE instrument, WinDD, WindowsSCOPE ) înainte de a scoate o expoziție. CaptureGUARD Gateway ocolește autentificarea Windows pentru computerele blocate, permițând analiza și achiziționarea memoriei fizice pe un computer blocat.

Memoria RAM poate fi analizată pentru conținutul anterior după pierderea de energie, deoarece sarcina electrică stocată în celulele de memorie necesită timp pentru a se disipa, efect exploatat de atacul de pornire la rece . Durata de recuperare a datelor este crescută de temperaturi scăzute și tensiuni mai mari ale celulei. Păstrarea memoriei RAM ne-alimentate sub -60 ° C ajută la păstrarea datelor reziduale cu un ordin de mărime, îmbunătățind șansele de recuperare cu succes. Cu toate acestea, poate fi impracticabil să faceți acest lucru în timpul unei examinări de teren.

Unele dintre instrumentele necesare pentru extragerea datelor volatile necesită totuși ca un computer să se afle într-un laborator criminalistic, atât pentru a menține un lanț legitim de dovezi, cât și pentru a facilita munca pe mașină. Dacă este necesar, forțele de ordine aplică tehnici pentru a muta un computer desktop care rulează în direct. Acestea includ un mouse jiggler , care mișcă mouse-ul rapid în mișcări mici și împiedică computerul să doarmă accidental. De obicei, o sursă de alimentare neîntreruptibilă (UPS) furnizează energie în timpul tranzitului.

Cu toate acestea, una dintre cele mai simple modalități de captare a datelor este salvarea efectivă a datelor RAM pe disc. Diferite sisteme de fișiere care au funcții de jurnalizare, cum ar fi NTFS și ReiserFS, păstrează o mare parte din datele RAM pe mediul de stocare principal în timpul funcționării, iar aceste fișiere de pagină pot fi reasamblate pentru a reconstrui ceea ce era în RAM în acel moment.

Instrumente de analiză

Există o serie de instrumente open source și comerciale pentru investigația criminalistică pe calculator. Analiza criminalistică tipică include o revizuire manuală a materialului pe mass-media, revizuirea registrului Windows pentru informații suspecte, descoperirea și descifrarea parolelor, căutarea cuvintelor cheie pentru subiecte legate de infracțiune și extragerea de e-mail și imagini pentru revizuire. Autopsy (software) , Belkasoft Evidence Center , COFEE , EnCase sunt unele dintre instrumente utilizate în criminalistica Digital.

Certificări

Există mai multe certificări de criminalistică pentru computer disponibile, precum ISFCE Certified Computer Examiner, Digital Forensics Investigation Professional (DFIP) și IACRB Certified Computer Forensics Examiner.

Certificarea independentă a furnizorilor de top (în special în UE) este considerată [ CCFP - Professional Cyber ​​Forensics Certified [1] ].

Altele, demne de menționat pentru SUA sau APAC sunt: ​​Asociația Internațională a Specialiștilor în Investigații în Calculatoare oferă programul Certified Computer Examiner .

International Society of Forensic Computer Examiners oferă programul Certified Computer Examiner .

Multe companii comerciale de software criminalistic oferă acum și certificări brevetate pentru produsele lor. De exemplu, Guidance Software care oferă certificarea (EnCE) pentru instrumentul lor EnCase, AccessData care oferă certificare (ACE) pe instrumentul lor FTK, PassMark Software oferă certificare pentru instrumentul lor OSForensics și X-Ways Software Technology certification (X-PERT) certificare pentru software-ul lor, X-Ways Forensics.

Vezi si

• Examinator de computer certificat
• Examinator criminalist certificat
• Contra criminalistică
• Criptanaliza
• Remanența datelor
• Criptarea discului
• Criptare
• Fișier ascuns și director ascuns
• Auditul tehnologiei informației
• Ori MAC
• Steganaliza
• Statele Unite împotriva Arnold

Referințe

Lecturi suplimentare

• A Practice Guide to Computer Forensics, First Edition (Paperback) de David Benton (Autor), Frank Grindstaff (Autor)
• Casey, Eoghan; Stellatos, Gerasimos J. (2008). „Impactul criptării discului complet asupra criminalisticii digitale”. Revizuirea sistemelor de operare . 42 (3): 93-98. CiteSeerX  10.1.1.178.3917 . doi : 10.1145 / 1368506.1368519 .
• YiZhen Huang; YangJing Long (2008). „Demosaicking recunoaștere cu aplicații în autentificare foto digitale bazate pe un model de corelare a pixelilor pătratic“ (PDF) . Proc. Conferința IEEE privind viziunea computerizată și recunoașterea tiparelor: 1-8. Arhivat din original (PDF) la 17.06.2010 . Adus 18.12.2009 .
• Incident Response and Computer Forensics, Second Edition (Paperback) de Chris Prosise (Autor), Kevin Mandia (Autor), Matt Pepe (Autor) "Adevărul este mai străin decât ficțiunea ..." (mai mult)
• Ross, S .; Gow, A. (1999). Arheologie digitală? Salvarea resurselor de date neglijate sau deteriorate (PDF) . Bristol și Londra: British Library and Joint Information Systems Committee. ISBN 978-1-900508-51-3.
• George M. Mohay (2003). Criminalistică pentru computer și intruziune . Casa Artech. p. 395. ISBN 978-1-58053-369-0.
• Chuck Easttom (2013). Sistem criminalistic, investigație și răspuns . Jones și Bartlett. p. 318. ISBN 978-1284031058. Arhivat din original la 14.06.2013 . Adus 23-09-2013 .

Reviste conexe

• Tranzacții IEEE privind criminalistica și securitatea informațiilor
• Journal of Digital Forensics, Security and Law
• Jurnalul internațional de criminalitate digitală și criminalistică
• Journal of Digital Investigation
• Jurnalul internațional de dovezi digitale
• Jurnalul internațional de informatică criminalistică
• Journal of Digital Forensic Practice
• Criptologia
• Jurnal de criminalistică pentru dispozitive digitale la scară mică