Какие экспертизы чаще всего назначают при расследовании компьютерных преступлений
Обновлено: 21.11.2024
Область компьютерной криминалистики расширяется, особенно по мере того, как правоохранительные органы и юридические лица осознают, насколько ценными являются специалисты в области информационных технологий (ИТ), когда речь идет о следственных процедурах. С появлением киберпреступности отслеживание вредоносной онлайн-активности стало критически важным для защиты частных лиц, а также для сохранения онлайн-операций в сфере общественной безопасности, национальной безопасности, правительства и правоохранительных органов. Отслеживание цифровой активности позволяет следователям связывать киберкоммуникации и информацию, хранящуюся в цифровом виде, с вещественными доказательствами преступной деятельности; компьютерная криминалистика также позволяет следователям раскрывать преднамеренные преступные намерения и может помочь в предотвращении киберпреступлений в будущем. Для тех, кто работает в этой области, существует пять важнейших этапов компьютерной криминалистики, каждый из которых способствует тщательному и показательному расследованию.
Разработка политики и процедур
Цифровые доказательства, связанные со злонамеренной киберактивностью, преступным сговором или намерением совершить преступление, могут быть деликатными и очень конфиденциальными. Специалисты по кибербезопасности понимают ценность этой информации и уважают тот факт, что ее можно легко скомпрометировать, если она не будет должным образом обработана и защищена. По этой причине крайне важно установить и соблюдать строгие правила и процедуры для деятельности, связанной с компьютерными судебными расследованиями. Такие процедуры могут включать подробные инструкции о том, когда следователи, занимающиеся компьютерной криминалистикой, уполномочены восстанавливать потенциальные цифровые доказательства, как должным образом подготовить системы для поиска доказательств, где хранить любые полученные доказательства и как документировать эти действия, чтобы обеспечить подлинность данных.
Правоохранительные органы все больше полагаются на специальные ИТ-отделы, в которых работают опытные специалисты по кибербезопасности, которые определяют надлежащие протоколы расследования и разрабатывают строгие программы обучения, чтобы обеспечить ответственное соблюдение передового опыта. В дополнение к установлению строгих процедур для судебных процессов подразделения кибербезопасности также должны установить правила управления для всей другой цифровой деятельности в организации. Это необходимо для защиты инфраструктуры данных правоохранительных органов и других организаций.
Неотъемлемой частью политики и процедур проведения расследований для правоохранительных органов, использующих отделы компьютерной криминалистики, является кодификация набора четко установленных действий относительно того, что представляет собой доказательство, где искать указанное доказательство и как с ним обращаться после его обнаружения. был получен. Перед любым цифровым расследованием должны быть предприняты надлежащие шаги для определения деталей рассматриваемого дела, а также для понимания всех допустимых следственных действий в отношении дела; это включает в себя чтение кратких сведений о деле, понимание ордеров и разрешений и получение любых разрешений, необходимых до рассмотрения дела.
Оценка доказательств
Ключевым компонентом следственного процесса является оценка потенциальных доказательств киберпреступления. Центральное место в эффективной обработке доказательств занимает четкое понимание деталей рассматриваемого дела и, следовательно, классификации рассматриваемого киберпреступления. Например, если агентство пытается доказать, что лицо совершило преступления, связанные с кражей личных данных, следователи компьютерной криминалистики используют сложные методы для просеивания жестких дисков, учетных записей электронной почты, сайтов социальных сетей и других цифровых архивов для извлечения и оценки любой информации, которая может быть обнаружена. могут служить вещественными доказательствами преступления. Это, конечно, верно и для других преступлений, таких как участие в преступном поведении в Интернете, например, размещение поддельных продуктов на eBay или Craigslist, предназначенное для того, чтобы заманить жертв к обмену информацией о кредитной карте. Перед проведением расследования следователь должен определить типы искомых доказательств (включая конкретные платформы и форматы данных) и иметь четкое представление о том, как сохранить соответствующие данные. Затем следователь должен определить источник и целостность таких данных, прежде чем использовать их в качестве доказательства.
Получение доказательств
Возможно, самым важным аспектом успешного компьютерного криминалистического расследования является строгий и подробный план сбора доказательств. Необходима обширная документация до, во время и после процесса приобретения; подробная информация должна быть записана и сохранена, включая все технические характеристики аппаратного и программного обеспечения, любые системы, используемые в процессе расследования, и исследуемые системы. На этом этапе политика, связанная с сохранением целостности потенциальных доказательств, наиболее применима.Общие рекомендации по сохранению доказательств включают физическое извлечение устройств хранения, использование контролируемых загрузочных дисков для извлечения конфиденциальных данных и обеспечения функциональности, а также принятие соответствующих мер для копирования и передачи доказательств в систему следователя.
Получение доказательств должно осуществляться как преднамеренно, так и законным образом. Возможность задокументировать и аутентифицировать цепочку доказательств имеет решающее значение при ведении судебного дела, и это особенно актуально для компьютерной криминалистики, учитывая сложность большинства дел о кибербезопасности.
Исследование доказательств
Чтобы эффективно исследовать потенциальные улики, должны быть предусмотрены процедуры для извлечения, копирования и хранения улик в соответствующих базах данных. Следователи обычно изучают данные из определенных архивов, используя различные методы и подходы для анализа информации; они могут включать использование аналитического программного обеспечения для поиска в огромных архивах данных по определенным ключевым словам или типам файлов, а также процедуры для извлечения файлов, которые были недавно удалены. Данные, помеченные временем и датой, особенно полезны для следователей, как и подозрительные файлы или программы, которые были зашифрованы или намеренно скрыты.
Анализ имен файлов также полезен, так как он может помочь определить, когда и где были созданы, загружены или загружены конкретные данные, а также может помочь следователям подключить файлы на устройствах хранения к онлайн-передачам данных (например, к облачному хранилищу, электронной почте, или другие интернет-коммуникации). Это также может работать в обратном порядке, поскольку имена файлов обычно указывают на каталог, в котором они находятся. Файлы, расположенные в Интернете или в других системах, часто указывают на конкретный сервер и компьютер, с которого они были загружены, что дает следователям подсказки о том, где находится система; сопоставление имен файлов в Интернете с каталогом на жестком диске подозреваемого — один из способов проверки цифровых доказательств. На этом этапе компьютерные криминалисты работают в тесном сотрудничестве со следователями по уголовным делам, адвокатами и другим квалифицированным персоналом, чтобы обеспечить полное понимание нюансов дела, допустимых следственных действий и того, какие типы информации могут служить доказательствами.
Документирование и отчетность
Помимо полного документирования информации, касающейся спецификаций аппаратного и программного обеспечения, эксперты по компьютерной экспертизе должны вести точный учет всей деятельности, связанной с расследованием, включая все методы, используемые для тестирования функциональности системы, а также извлечения, копирования и хранения данных. а также все действия, предпринятые для сбора, изучения и оценки доказательств. Это не только демонстрирует, как была сохранена целостность пользовательских данных, но также обеспечивает соблюдение надлежащих политик и процедур всеми сторонами. Поскольку целью всего процесса является получение данных, которые могут быть представлены в качестве доказательств в суде, неспособность следователя точно задокументировать свой процесс может поставить под угрозу достоверность этих доказательств и, в конечном счете, самого дела.
Для компьютерных криминалистов все действия, связанные с конкретным делом, должны учитываться в цифровом формате и сохраняться в специально предназначенных для этого архивах. Это помогает гарантировать подлинность любых результатов, позволяя этим экспертам по кибербезопасности точно показывать, когда, где и как были обнаружены доказательства. Это также позволяет экспертам подтверждать достоверность доказательств, сопоставляя документацию следователя, записанную в цифровом виде, с датами и временем, когда эти данные были доступны потенциальным подозреваемым из внешних источников.
Сейчас как никогда ранее специалисты по кибербезопасности помогают государственным и правоохранительным органам, корпорациям и частным организациям улучшать свои возможности по расследованию различных видов преступной деятельности в Интернете и противостоять растущему числу киберугроз. ИТ-специалистам, которые проводят компьютерные криминалистические расследования, поручено определить конкретные потребности в области кибербезопасности и эффективно распределять ресурсы для устранения киберугроз и преследования виновных в них. Степень магистра в области кибербезопасности имеет множество практических приложений, которые могут наделить ИТ-специалистов сильным пониманием компьютерной криминалистики и практикой соблюдения цепочки поставок при документировании цифровых доказательств. Лица, обладающие талантом и образованием для успешного проведения компьютерных криминалистических расследований, могут оказаться в очень выгодном положении в динамичной карьере.
Подробнее
Старейший в стране частный военный колледж, Норвичский университет занимает лидирующие позиции в области инновационного образования с 1819 года. Благодаря своим онлайн-программам Норвич предлагает актуальные и применимые учебные программы, которые позволяют его студентам оказывать положительное влияние на их рабочие места и их сообщества.
В Норвичском университете мы продолжаем традицию обучения, основанного на ценностях, когда структурированные, дисциплинированные и тщательные занятия создают сложный и полезный опыт. Онлайн-программы, такие как магистратура по кибербезопасности, сделали нашу комплексную учебную программу доступной для большего числа студентов, чем когда-либо прежде.
Норвичский университет был назначен Агентством национальной безопасности и Министерством внутренней безопасности Центром передового опыта в области образования в области киберзащиты. В рамках вашей программы вы можете выбрать одну из пяти концентраций, специально предназначенных для углубленного изучения политик, процедур и общей структуры программы обеспечения достоверности информации.
Официальный сайт правительства США
Вот откуда вы знаете
Официальные веб-сайты используют домен .gov
Веб-сайт .gov принадлежит официальной правительственной организации в США.
На новом веб-сайте будут представлены последние результаты работы агентства по борьбе с незаконным использованием цифровых активов, а также предоставлена информация для повышения осведомленности общественности о безопасности цифровых активов и о том, как обеспечить их безопасность
Секретная служба США стремится внести свой вклад в защиту страны от незаконной деятельности, связанной с цифровыми активами.
Хлебные крошки
3,8 миллиарда долларов
Знаете ли вы? В 2019 году мы предотвратили попадание средств, эквивалентных 3,8 млрд долларов США, в руки местных и транснациональных преступников.
Наша следственная миссия
Секретная служба США имеет долгую и богатую историю защиты финансовых и платежных систем Америки от преступной эксплуатации. Агентство было создано в 1865 году для борьбы с распространением фальшивых денег после Гражданской войны. По мере того, как развивалась финансовая система США — от бумажных денег до пластиковых кредитных карт, а теперь и цифровой информации, — росли и наши обязанности по проведению расследований.
Сегодня агенты, профессионалы и специалисты секретных служб работают в отделениях по всему миру, чтобы бороться с финансовыми преступлениями 21 века, которые все чаще совершаются в киберпространстве. Эти расследования по-прежнему касаются подделок, которые по-прежнему подрывают доверие к доллару США, но именно мошенничество с кредитными картами, банковское и банковское мошенничество, взломы компьютерных сетей, программы-вымогатели и другие финансовые преступления с использованием киберсредств стали в центре внимания большинства следственная работа Секретной службы.
РУКОВОДСТВО ПО РАССЛЕДОВАНИЮ
Стратегия на 2021–2027 финансовый год
Управление расследований работает как глобальная сеть многофункциональных групп, проводящих важные уголовные расследования, которые защищают целостность финансовых и платежных систем, полностью поддерживая все защитные требования.
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .
Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .
Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .
Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .
Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .
Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .
Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
ЕС и США согласовывают структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предложат уступки в отношении слежки и новых данных.
Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.
Семь человек арестованы лондонской полицией в связи с кибератаками, совершенными группой Lapsus$, которая несет ответственность за ряд .
На месте происшествия может быть собран широкий спектр вещественных доказательств, которые считаются ценными («доказательными») для сбора и расследования:
- биологические доказательства (например, кровь, биологические жидкости, волосы и другие ткани)
- скрытые отпечатки пальцев (например, отпечатки пальцев, отпечатки ладоней, отпечатки ног)
- следы обуви и шин
- следы (например, волокна, почва, растительность, осколки стекла)
- цифровые доказательства (например, записи мобильных телефонов, интернет-журналы, сообщения электронной почты)
- инструмент и признаки инструмента
- доказательства наркотиков
- доказательства огнестрельного оружия
Тип собираемых доказательств зависит от типа преступления. Например, в случае кражи со взломом было бы принято выполнять задачи в порядке, указанном ниже. Это поможет гарантировать, что улики не будут случайно повреждены или уничтожены:
- Сфотографируйте и задокументируйте сцену
- Собирайте следовые материалы (особенно из возможных точек проникновения)
- Соберите низкоуровневые ДНК-улики, взяв мазок с участков вероятного контакта.
- Соберите другие предметы, которые могут содержать биологические доказательства.
- Найти и собрать скрытые отпечатки пальцев
Кто осматривает места преступления
Количество и тип специалистов, отвечающих за расследование места происшествия и сбор улик, во многом зависит от типа преступления и ресурсов правоохранительных органов. В более крупных агентствах часто есть специальные высококвалифицированные специалисты по расследованию преступлений, в то время как в небольших агентствах может потребоваться, чтобы экстренные службы или детективы обрабатывали место происшествия в дополнение к другим своим обязанностям.
Во многих случаях расследованием дела занимается детектив, который отвечает за опрос лиц, представляющих интерес, и потерпевших, поиск версий и сбор информации, полученной из материалов, собранных на месте происшествия. Детектив работает в тандеме с командой сотрудников места преступления, которые обыскивают место происшествия и собирают улики. Группа по расследованию места преступления может состоять из фотографов места преступления и персонала по сбору улик, специализирующихся на сборе конкретных доказательств, таких как скрытые отпечатки пальцев, ДНК, следы и т. п.
В Соединенных Штатах нет национальных требований, которым необходимо соответствовать, чтобы работать следователем на месте преступления; тем не менее следователи могут пройти четыре уровня сертификации Международной ассоциации идентификации (IAI), которые демонстрируют их профессионализм:
- Сертифицированный криминалист
- Сертифицированный криминалист
- Сертифицированный специалист по реконструкции места преступления
- Сертифицированный старший криминалист
Другие обычно получаемые сертификаты включают сертификат фотографа-доказательства от Международного совета фотографов-доказательств, Inc. и сертифицированного судебно-медицинского следователя смерти Американского совета судебно-медицинских расследователей смерти (ABMDI).
Как проводится осмотр места преступления
Обстоятельства, с которыми следователи сталкиваются на месте происшествия, в значительной степени определяют подход к обработке места происшествия. Убийство, вероятно, потребует другого обращения и обработки, чем кража со взломом. Тем не менее, чтобы обеспечить тщательный процесс, часто соблюдаются семь шагов, описанных ниже. Эти шаги можно выполнять в другом порядке, комбинировать или даже вообще пропускать в зависимости от ситуации.
<р>1. Установите размеры места происшествия и определите потенциальную опасность для безопасности и здоровья. Сначала следователи определяют «фокус» места происшествия, основную зону беспокойства.Это может быть разграбленная спальня, место, где произошло нападение, или комната, в которой нашли жертву. Исходя из этой точки, следователи устанавливают область, которая достаточно велика, чтобы, вероятно, содержать все соответствующие вещественные доказательства, которые могут присутствовать. Следователям легче сжать масштаб места происшествия на более позднем этапе, чем обнаружить, что важные улики за пределами места происшествия были повреждены или уничтожены другими спасателями, СМИ или наблюдателями. Кроме того, определяются потенциальные пути входа/выхода преступника. Безопасность имеет первостепенное значение при первоначальном подходе к месту происшествия. Оружие, биологические и химические опасности и даже преднамеренные ловушки могут ждать ответчиков. Если на месте происшествия будут находиться медицинские работники, пожарные или следователи, их необходимо будет проинформировать и по вопросам доказывания. <р>2. Обеспечьте безопасность. В соответствии с принципом обмена Локарда, каждый человек, который входит или выходит с места преступления, добавляет или удаляет материал с места преступления, поэтому очень важно быстро обеспечить безопасность области. Для контроля доступа место происшествия может быть оцеплено желтой лентой места преступления, конусами или другими средствами. Кроме того, часто устанавливается общий вход, который весь персонал на месте преступления будет использовать для входа и выхода с места преступления, и все люди, входящие или выходящие с места преступления, документируются после установления границ. При необходимости могут быть созданы дополнительные места для консультаций и хранения доказательств. <р>3. Планируйте, сообщайте и координируйте действия. Прежде чем собирать доказательства, следователи должны разработать теорию относительно типа совершенного правонарушения. Знание типа преступления поможет следователям предвидеть доказательства, которые могут присутствовать. Для этого может потребоваться сбор информации от свидетелей или заинтересованных лиц. На основе этой информации группа на месте преступления разработает стратегию сбора улик с учетом погодных условий, времени суток и других факторов. Для обработки особых ситуаций также могут быть запрошены дополнительные ресурсы судебно-медицинской экспертизы. <р>4. Провести первичный осмотр/обход. Затем проводится первоначальный осмотр места происшествия для определения приоритетности сбора улик. Во время этого пошагового руководства ведущий следователь выявит потенциально ценные улики, сделает заметки и сделает первые фотографии места происшествия и улик. Место преступления документируется для записи таких условий, как включенный или выключенный свет, положение штор и дверей, положение передвижной мебели, любые присутствующие запахи, температура места преступления и т. д. Чтобы облегчить этот процесс, специалисты на месте преступления могут создайте свободный от доказательств путь, ведущий к основной интересующей вас области, проведя тщательный поиск доказательств в этой области. <р>5. Задокументируйте и обработайте место происшествия. Имея план, группа на месте преступления проводит тщательное и скоординированное расследование места происшествия, собирая все улики. Это влечет за собой подробное документирование с помощью цифровых и видеокамер или, при наличии, трехмерного сканера. Для некоторых ситуаций также создаются эскизы и схемы. В процессе сбора улик крайне важно, чтобы следователь на месте преступления соблюдал надлежащие процедуры сбора, упаковки и сохранения улик, особенно если они имеют биологическую природу. Биологические доказательства могут быть уничтожены или повреждены погодными условиями, люди могут непреднамеренно их загрязнить или их можно полностью не заметить, если для осмотра места происшествия не используются альтернативные источники света.<р>6. Провести вторичное обследование/обзор. Чтобы убедиться, что место происшествия тщательно осмотрено, в качестве шага контроля качества проводится повторное обследование местности.
<р>7. Запись и сохранение доказательств. Чтобы убедиться, что все доказательства учтены, создается журнал инвентаризации. Описания, внесенные в журнал, должны соответствовать фотографии вещественных доказательств, сделанной на месте происшествия, и описанию, включенному в протокол осмотра места преступления. Например, если изъято оружие, серийный номер огнестрельного оружия в журнале улик должен совпадать с серийным номером, указанным на фотографии, сделанной на месте происшествия. Этот документальный след устанавливает цепочку хранения, которая будет сопровождать доказательства на протяжении всего жизненного цикла дела.Как и где проводятся проверки доказательств
Наиболее доказательные доказательства будут отправлены либо в лабораторию судебной экспертизы, либо, если в лаборатории нет эксперта в этой области судебной экспертизы, стороннему аналитику для изучения. Чтобы помочь определить наиболее ценные улики, персонал на месте преступления может провести на месте первоначальные проверки, называемые предположительными проверками.Эти тесты могут быть полезны для определения типа присутствующего вещества, будь то токсин или наркотик, пятно, содержащее биологические жидкости, или даже кровь или кетчуп, обнаруженный на кухне.
Предполагаемые тесты позволяют исследователям сузить поле возможностей до определенного класса веществ, но они недостаточно специфичны, чтобы подтвердить присутствие конкретных соединений. Помимо предоставления подсказок, позволяющих определить, как произошло преступление и кто мог быть причастен к нему, предполагаемые тесты также могут помочь уменьшить количество улик, представляемых в лабораторию, чтобы включить только самые важные элементы. Это помогает ускорить обработку в лаборатории.
Поскольку технологии развиваются, а устройства становятся более портативными и доступными, скорее всего, на месте происшествия будет проводиться дополнительная проверка улик.
Читайте также: