Компьютеры как средства судебно-медицинской экспертизы
Обновлено: 21.11.2024
Поскольку все больше и больше пользователей переходят на мобильные устройства и используют взаимосвязанные устройства, компьютеры часто оказываются в центре инцидентов и расследований. Доказательства для обсуждения в суде часто собираются благодаря навыкам цифровых криминалистов, которые могут извлекать важные данные из электронных устройств, принадлежащих пострадавшим сторонам. Должностные лица правоохранительных органов иногда зависят от показаний компьютерных криминалистов, специализирующихся на электронном обнаружении; эти эксперты призваны работать непосредственно с полицейскими и детективами, чтобы помочь в выявлении, сохранении, анализе и представлении цифровых доказательств для раскрытия уголовных дел.
Цель статьи — предоставить обзор компьютерной криминалистики и методов, применяемых при получении цифровых доказательств с компьютерных систем и мобильных устройств для анализа информации, используемой в уголовных расследованиях. Он также затрагивает последние проблемы судебной экспертизы: мобильную криминалистику, облачную криминалистику и антикриминалистическую экспертизу.
Компьютерные криминалисты
Задачей судебно-медицинских экспертов является "помощь в выявлении преступников и анализе улик против них", – говорит Холл Диллон в статье о карьере для Бюро трудовой статистики США.
Подготовленные и квалифицированные специалисты работают в государственных правоохранительных органах или в частном секторе для выполнения задач, связанных со сбором и анализом цифровых доказательств. Они также несут ответственность за написание содержательных отчетов для использования в следственных и юридических условиях. Помимо работы в лабораториях, судебные эксперты применяют цифровые методы расследования в области обнаружения метаданных, которые имеют значение в суде.
Современные компьютерные криминалисты способны восстанавливать данные, которые были удалены, зашифрованы или спрятаны в мобильных устройствах; они могут быть вызваны для дачи показаний в суде и изложения улик, обнаруженных в ходе следствия. Они могут участвовать в сложных делах, включая проверку алиби правонарушителей, расследование злоупотреблений в Интернете, неправомерного использования вычислительных ресурсов и использования сети для создания компьютерных угроз. Судебно-медицинские эксперты могут быть привлечены для поддержки крупных дел, связанных с утечкой данных, вторжением или любым другим типом инцидентов. Применяя методики и криминалистические приложения проприетарного программного обеспечения для проверки системных устройств или платформ, они могут предоставить ключевые открытия, чтобы установить, кто несет ответственность за расследуемое преступление.
Быстро развивающаяся дисциплина компьютерной криминалистики стала отдельной областью научных знаний, сопровождаемой обучением и сертификацией (CCFE, CHFI). По данным Computer Forensics World, сообщества профессионалов, занимающихся цифровой криминалистикой, сертифицированные лица в этой области несут ответственность за идентификацию, сбор, получение, аутентификацию, сохранение, изучение, анализ и представление доказательств для целей судебного преследования. /p>
Процесс компьютерной экспертизы
Целью компьютерной судебной экспертизы является восстановление данных с компьютеров, изъятых в качестве доказательств в ходе уголовного расследования. Эксперты используют системный подход к изучению доказательств, которые могут быть представлены в суде в ходе разбирательства. Привлечение судебно-медицинских экспертов к расследованию должно осуществляться на ранней стадии, поскольку они могут помочь в надлежащем сборе технических материалов таким образом, чтобы можно было восстановить контент без ущерба для его целостности.
Криминалистическое расследование может включать многие (или все) следующие этапы:
- Сбор — поиск и изъятие цифровых доказательств, а также получение данных.
- Экспертиза — применение методов идентификации и извлечения данных.
- Анализ — использование данных и ресурсов для доказательства правоты
- Отчетность — представление собранной информации (например, письменный отчет)
Билл Нельсон, один из соавторов книги «Руководство по компьютерной криминалистике и расследованиям» (третье издание), подчеркивает важность трех аспектов компьютерной криминалистики: получение, аутентификация и анализ. Он говорит, что процесс компьютерной судебной экспертизы, по сути, включает в себя систематический подход, который включает в себя первоначальную оценку, получение доказательств и их анализ, а также завершение отчета по делу (2008 г., стр. 32–33).
Судебные дела сильно различаются; некоторые имеют дело с компьютерными злоумышленниками, крадущими данные; другие связаны с хакерами, которые взламывают веб-сайты и запускают DDoS-атаки или пытаются получить доступ к именам пользователей и паролям для кражи личных данных с мошенническими намерениями, сообщает ФБР. В некоторых случаях речь идет о киберпреследовании или о том, что злоумышленники посещают запрещенные сайты (например, сайты с детской порнографией). Судебно-медицинский эксперт может исследовать кибер-след, оставленный преступником.
Какой бы ни была причина расследования, аналитики следуют пошаговым процедурам, чтобы убедиться в достоверности результатов.После возбуждения уголовного дела компьютеры и другое цифровое медиа-оборудование и программное обеспечение будут изъяты и/или исследованы для получения доказательств. В процессе поиска собираются все необходимые предметы, чтобы предоставить эксперту-криминалисту все необходимое для дачи показаний в суде.
Тогда пришло время извлечь и проанализировать данные. Компьютерный криминалист принимает во внимание 5W (кто, что, когда, где, почему) и как произошло компьютерное преступление или инцидент. Используя стандартные критерии оценки, проверяющий может выявлять связанные с безопасностью упущения в сетевой среде, выявляя подозрительный трафик и любые виды вторжений, или он может собирать сообщения, данные, изображения и другую информацию, однозначно относящуюся к конкретному пользователю, участвующему в дело.
Процесс судебной экспертизы также включает написание отчета. Компьютерные судебные эксперты должны создавать такие отчеты для адвоката, чтобы обсудить имеющиеся фактические доказательства. Важно подготовить судебно-медицинские доказательства для свидетельских показаний, особенно когда дела передаются в суд, а эксперт вызывается в качестве технического/научного свидетеля или свидетеля-эксперта.
Способы получения доказательств в судебном порядке
Традиционно компьютерные криминалистические исследования проводились на данных в состоянии покоя, например, путем изучения содержимого жестких дисков. Всякий раз, когда эксперту-криминалисту требовался дополнительный анализ (например, для создания изображений — копирования жестких дисков, флэш-накопителей, дисков и т. д.), он обычно проводился в контролируемой лабораторной среде. Анализ неактивных данных (также известный как криминалистическое сбор данных или просто статический сбор данных) — это владение данными, которое выполняется на выключенных компьютерах. Другими словами, он включает в себя исследования системы (и ее частей) в состоянии покоя (мертвого состояния). Вместо этого метод анализа в реальном времени включает сбор данных из системы перед ее отключением. Анализ мертвых считается необходимым, чтобы иметь время также для получения вещественных доказательств, таких как ДНК (отпечатки пальцев на оборудовании); тем не менее, в настоящее время в центре внимания судебно-медицинских экспертов находится сбор данных в реальном времени.
Выполнение «живого анализа» в полевых условиях дает быстрые и достоверные доказательства; это может быть выполнено благодаря портативным аналитическим инструментам, которые аналитики могут взять с собой на место преступления, чтобы немедленно начать расследование.
Несмотря на то, что криминалисту может понадобиться криминалистическая лаборатория для дальнейшего анализа или выполнения повторяющихся действий (что невозможно при сборе данных в реальном времени), не во всех случаях это требуется. Тем не менее, для судебного эксперта важно собрать достаточно информации, чтобы определить следующий соответствующий шаг в расследовании. Такой подход гарантирует отсутствие утери или повреждения цифровых доказательств, потери изменчивых данных или необходимости получения ордера на изъятие оборудования.
Расследования в реальном времени проводятся уже много лет. В сегодняшнюю цифровую эпоху и рост числа компьютерных преступлений неудивительно, что существует необходимость нанимать судебно-медицинских аналитиков для анализа и интерпретации цифровых доказательств (например, компьютерных систем, носителей данных и устройств), объясняет Маркус К. Роджерс, компьютер. и факультет информационных технологий Университета Пердью. В статье о модели процесса киберкриминалистической сортировки на месте (CFFTPM) в 2006 году он отметил, что «CFFTPM предлагает подход на месте или на месте для обеспечения идентификации, анализа и интерпретации цифровых доказательств в короткие сроки, без требования иметь вернуть систему (системы)/носитель в лабораторию для углубленного изучения или получения полного криминалистического изображения".
Несколько компьютерных криминалистических инструментов
Комплексные программные инструменты для судебной экспертизы (такие как Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD и т. д.) используются следователями на месте преступления для сбора, индексации и подробного анализа.
Криминалистическое расследование состоит из сбора компьютерной криминалистической информации; процесс может начаться с анализа сетевого трафика с помощью анализатора пакетов или сниффера, такого как Wireshark, который способен перехватывать трафик и регистрировать его для дальнейшего анализа. NetworkMiner, еще один инструмент сетевого криминалистического анализа (NFAT), является альтернативой Wireshark для извлечения или восстановления всех файлов. Snort, напротив, является ценным инструментом для отслеживания сетевых злоумышленников в режиме реального времени.
Программное обеспечение NFAT также содержит возможности судебной экспертизы, выполняя анализ сохраненного сетевого трафика, как следует из его названия. Что касается реагирования на инциденты и идентификации, для идентификации удаленных файлов и их восстановления можно использовать набор инструментов для судебной экспертизы, или FTK; тогда как EnCase подходит для судебной экспертизы, кибербезопасности и электронного обнаружения.
Потребность в новых криминалистических инструментах
Внедрение и быстрый рост новых технологий создали немало проблем для криминалистов, перед которыми теперь стоят задачи поиска информации не только на персональных компьютерах и ноутбуках, но также (и чаще) на планшетах и смартфоны.
«Экспертиза мобильных устройств — это наука об извлечении цифровых доказательств с мобильного устройства в криминалистически обоснованных условиях с использованием общепринятых методов», — говорится в «Руководстве NIST по криминалистике мобильных устройств». В руководстве подчеркивается, что сегодня судебные аналитики должны иметь четкое представление об уникальности мобильного мира и понимать большинство технологических особенностей любой модели и типа устройства, которое можно найти на месте преступления.
Распространение проприетарных операционных систем, технологий шифрования и средств защиты, разработанных производителями смартфонов, такими как Nokia, Samsung, LG, Huawei, Apple и другими, обязывает аналитиков следить за последними разработками быстрее, чем когда-либо прежде. Современные новые усовершенствованные устройства производятся с более высокой скоростью, и извлечение информации из них, даже после обхода очевидных функций безопасности, которые их защищают, сопряжено с уникальными проблемами.
Работая с автономными компьютерами, аналитик знал, где искать данные (ОЗУ, BIOS, жесткий диск…). В памяти мобильного устройства все не так однозначно, и релевантную информацию можно найти в нескольких местах, например, во флэш-памяти NAND, NOR и RAM SIM-карты.
Важно работать таким образом, чтобы сохранить данные, учитывая, например, такие проблемы, как влияние разряда питания на энергозависимую память устройства, которое может раскрыть важную информацию о выполнении программ на устройстве. Кроме того, «закрытые операционные системы затрудняют интерпретацию связанной с ними файловой системы и структуры. Многие мобильные устройства с одной и той же операционной системой также могут сильно различаться по своей реализации, что приводит к множеству перестановок файловой системы и структуры. Эти перестановки создают серьезные проблемы для производителей мобильных криминалистических инструментов и экспертов». (Специальная публикация NIST 800-101, редакция 1)
Как поясняет Национальный институт стандартов и технологий (NIST), аналитики могут использовать множество методов для сбора криминалистических данных с мобильных устройств, от менее навязчивого ручного извлечения до инвазивного, сложного и дорогостоящего микросчитывания. Ручное извлечение означает получение информации с помощью простого использования пользовательского интерфейса и дисплея устройства. Второй шаг по-прежнему является базовым и включает в себя логическое извлечение. Третий уровень включает методы Hex Dumping/JTAG Extraction; для этого требуется более сложный подход к сбору данных, выполняемый посредством физического получения памяти устройства. Четвертый уровень — это метод отрыва, который включает в себя фактическое удаление памяти, а пятый, самый сложный и сложный метод — это метод Micro Read, в котором аналитики используют сложный микроскоп для просмотра физического состояния всех ворот. р>
NIST не только работает над общим подходом к мобильной криминалистике, но и предоставляет форум для сбора идей по облачной криминалистике. Облачные вычисления — это быстро развивающаяся технология, которая в настоящее время используется большинством пользователей мобильных устройств и многими компаниями. Его гибкость и масштабируемость делают его привлекательным выбором для большинства пользователей, но также создают уникальные проблемы для криминалистики.
На самом деле, помимо технических проблем, облачные вычисления создают юрисдикционные и юридические проблемы. На самом деле данные можно хранить и получать к ним доступ где угодно, и у следователей может возникнуть проблема с доступом к данным в разных странах или способами, которые защищают права на конфиденциальность других пользователей облака.
Кроме того, иногда бывает сложно связать данные и действия с конкретным пользователем. Восстановление данных также может быть проблематичным из-за перезаписи и повторного использования пространства в облачной среде.
Следователи также должны быть осведомлены о методах, инструментах и методах защиты от криминалистики, которые могут сделать криминалистический анализ неубедительным, особенно в облачной среде. Определенные типы вредоносного ПО и методы запутывания могут нарушить целостность собранных доказательств и сделать выводы, которые будет трудно представить в суде.
Заключение
Как поясняет Infosec на своем веб-сайте, «специалисты по компьютерной криминалистике нужны современным компаниям для определения основной причины хакерской атаки, сбора доказательств, допустимых в суде, и защиты корпоративных активов и репутации».
В связи с ростом числа киберпреступлений (т. е. любых преступных деяний, связанных с компьютерами и сетями) и угрозой для данных организации, а также более широкого использования цифровых устройств населением в целом анализ цифровых доказательств становится важнейшим элементом во многих места преступления.
Сегодня судебные вычисления — это захватывающая профессия, в которой особое внимание уделяется человеческому фактору, но при этом возникает ряд проблем, связанных с необходимостью поиска цифровых доказательств в постоянно меняющихся условиях. Технологический прогресс и переход к сетевым и облачным средам, где можно легко применить методы защиты от криминалистики, обязывает специалистов в этой области постоянно обновлять и пересматривать стандартные рабочие процедуры.
Ребекка Т. Меркури, основатель компании Notable Software, Inc., отметила в научной статье Challenges in Forensic Computing, что «длительное развитие этой области неизменно приведет к некоторой стабилизации передового опыта, обучение, сертификация и наборы инструментов, но всегда будут возникать новые проблемы из-за динамического характера технологии, лежащей в ее основе». Тем не менее, как сообщает ФБР на своем веб-сайте, «эта новая судебная дисциплина должна оставаться эффективным и надежным инструментом в системе уголовного правосудия».
Источники
Руководство по компьютерной криминалистике и расследованиям. (3-е изд.). Бостон, Массачусетс
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .
Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .
Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .
Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .
Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .
Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .
Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
Отраслевые облака — облачные приложения, разработанные для определенных секторов, — это модный элемент маркетинга поставщиков, но так ли это?
ЕС и США согласовали структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предлагают уступки в отношении слежки и новых данных.
Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.
Компьютерная криминалистика – это область технологий, в которой используются методы расследования для выявления и хранения улик с компьютерного устройства. Часто компьютерная криминалистика используется для обнаружения улик, которые можно использовать в суде.
Компьютерная криминалистика также охватывает области, не связанные с расследованием. Иногда к профессионалам в этой области могут обратиться для восстановления потерянных данных с неисправных дисков, серверов, которые вышли из строя, или операционных систем, которые были переформатированы.
В этой статье вы узнаете о задачах, которые выполняют эти специалисты, о необходимых им навыках и о том, чем эта область отличается от кибербезопасности, в следующих разделах:
Занятия начинаются каждые 8 недель
Независимо от того, знаете ли вы, куда направляетесь, или все еще планируете свои следующие шаги, все начинается с простого разговора. Давай поговорим.
Когда и как используется компьютерная криминалистика?
Компьютерная криминалистика в основном используется для двух разных целей: расследования и восстановления данных. Вот краткий обзор того, как каждый из них обрабатывается профессионалами в этой области.
Расследования
Компьютерная криминалистика может быть важным аспектом современных расследований. Когда совершено преступление и начато расследование, одним из наиболее распространенных мест для поиска улик является компьютер или мобильный телефон подозреваемого. Здесь в дело вступает профессионал в области компьютерной криминалистики.
Когда личность подозреваемого установлена и его персональный компьютер или мобильный телефон взяты в качестве улики, специалист по компьютерной криминалистике приступает к поиску данных, имеющих отношение к расследованию. При поиске информации они должны тщательно следовать подробным процедурам, которые позволяют использовать их выводы в качестве доказательств. Обнаруженная ими информация, будь то документы, информация о просмотрах или даже метаданные, может затем использоваться прокуратурой для возбуждения дела против подозреваемого.
Восстановление данных
Помимо работы по сбору доказательств, специалисты по компьютерной криминалистике также могут заниматься восстановлением данных. Когда дело доходит до восстановления данных, криминалисты могут взять сломанные жесткие диски, поврежденные серверы и другие скомпрометированные устройства и восстановить данные, которые ранее были потеряны. Это полезно для всех, кто потерял важные данные помимо раскрытия криминальных улик, например для компаний, которые столкнулись с системным сбоем.
Компьютерная криминалистика и кибербезопасность
Для тех, кто не занимается профессией, компьютерная криминалистика и кибербезопасность могут показаться очень похожими. Оба имеют дело с преступниками и компьютерами, но, несмотря на это первоначальное сходство, функции каждой практики сильно различаются.
Напомним, компьютерная криминалистика в основном сосредоточена на восстановлении данных. Восстановленные данные часто используются в качестве доказательств в уголовных процессах, но иногда восстанавливаются для компаний после инцидента с потерей данных. Кроме того, преступники, которых расследуют специалисты по компьютерной криминалистике, не всегда являются киберпреступниками. Поскольку компьютером пользуется почти каждый, на их личном устройстве часто хранится ценная информация, которая может помочь в расследовании.
С другой стороны, кибербезопасность больше связана с защитой. Специалисты по кибербезопасности работают по разным должностям, но почти все они работают над созданием сетей и систем, защищенных от потенциальных злоумышленников. Иногда они используют взлом, чтобы протестировать свои собственные сети или сети клиента, чтобы найти слабые места и укрепить их.
Зачем изучать компьютерную криминалистику?
Есть несколько веских причин для изучения компьютерной криминалистики. Во-первых, это прогнозируемый темп роста в этой области. По оценкам Бюро трудовой статистики 1, в период с 2020 по 2030 год эта сфера на национальном уровне вырастет на 33 %. Помимо того, что это быстрорастущая область, практика компьютерной криминалистики может быть весьма полезной.
Компьютерная криминалистика может отлично подойти для тех, кто склонен к технологиям и аналитическим складом ума. Если вас интересуют технологии, анализ данных и участие в расследованиях, вам может подойти компьютерная криминалистика.
DeVry University предлагает специализацию по компьютерной криминалистике в качестве одной из семи специализаций, доступных в рамках программы бакалавриата по компьютерным информационным системам. Студенты, изучающие специализацию "Компьютерная криминалистика", имеют возможность узнать больше о процедурах, связанных с расследованием преступлений, разобраться в ведущих приложениях компьютерной криминалистики, а также о законах и этических нормах, касающихся цифровых доказательств.
Какие вакансии доступны в области компьютерной криминалистики?
Люди с соответствующим образованием и опытом* могут претендовать на несколько различных должностей в области компьютерной криминалистики. Вакансии в этой отрасли могут включать, но не ограничиваться:
- Компьютерный цифровой криминалист 2,3: компьютерные цифровые криминалисты обыскивают личные устройства подозреваемых, чтобы выявить информацию, которая может иметь отношение к уголовному делу.
- Компьютерный программист. Программисты пишут и оценивают код, который компьютеры используют для работы. Поскольку эксперты в области компьютерной криминалистики разбираются в языках программирования, они также могут иметь квалификацию программиста.
- Киберкриминалист. Аналитики киберкриминалистики помогают следователям и детективам в расследовании преступлений. Они восстанавливают удаленные или зашифрованные данные, используя процессы, позволяющие передать их в суд.
- Компьютерный криминалист. Специалист по компьютерной криминалистике ищет информацию, которая может иметь отношение к текущему делу. Они просматривают персональные устройства и запоминающие устройства, чтобы найти и предоставить доказательства.
Какие навыки мне нужны для компьютерной криминалистики?
При обучении работе в области компьютерной криминалистики вам необходимо приобрести несколько навыков, прежде чем вы начнете работать в этой области. Некоторые из этих навыков могут включать:
Нарушение данных, кража личных данных, проблемы с безопасностью, незаконная деятельность, коррупция.В современном мире растет количество технологий, а это означает, что растет количество проблем безопасности и конфиденциальности, связанных с технологиями. Как личность вы беспокоитесь о краже личных данных и вторжении в частную жизнь. Компании обеспокоены утечкой данных и хакерами. А иногда преступники используют компьютеры для совершения преступлений. С развитием технологий развиваются и окружающие нас киберпреступники.
По мере того, как киберпреступники становятся все более изощренными, совершенствуются и наши способы борьбы с ними. Криминалисты или киберэксперты играют ключевую роль в борьбе с киберугрозами. Как и в случае кибербезопасности, специалистам по киберкриминалистике поручено повышать безопасность, бороться с преступностью и создавать лучшее и безопасное будущее.
Карьера в области компьютерной криминалистики.
Компьютерные криминалисты расследуют проблемы безопасности, утечки данных и другие киберпреступления. Правоохранительные органы, уголовное правосудие, судебная экспертиза и кибербезопасность объединяются в этой области. Вот почему многие компьютерные криминалисты работают в правоохранительных органах. Эти специалисты восстанавливают документы, фотографии, электронные письма и другие файлы с компьютерных систем, жестких дисков и других устройств. Они часто работают над «киберпреступлениями» и цифровыми делами и исследуют компьютерные системы, чтобы помочь найти цифровые доказательства незаконной деятельности.
Компьютерная криминалистика также направлена на то, чтобы помочь организациям справляться с нарушениями в сети. Эксперты-криминалисты помогут определить, как произошло нарушение в компьютерной системе. Основное внимание этих экспертов уделяется анализу уже произошедших цифровых взломов и взломов и извлечению из них уроков на будущее.
Компьютерная криминалистика и кибербезопасность
Несмотря на то, что компьютерная криминалистика и кибербезопасность кажутся похожими, на самом деле они совершенно разные. По сути, кибербезопасность ориентирована на предотвращение, в то время как компьютерная криминалистика носит более реакционный характер. Эксперты по кибербезопасности работают над тем, чтобы не допустить проникновения хакеров, а специалисты по компьютерной криминалистике сосредоточены на том, как двигаться дальше после проникновения хакера.
Эти две области взаимодействуют друг с другом, помогая отпугивать киберпреступников. Группа кибербезопасности специально создаст системы безопасности для обеспечения безопасности данных и информации. В случае если их усилия не увенчались успехом, команда компьютерной криминалистики выясняет, как произошла утечка, и работает над восстановлением данных.
Несмотря на то, что обе карьерные возможности имеют схожие варианты образования, существуют разные должностные обязанности и должности, связанные с разными карьерными путями. Аналитики по кибербезопасности, тестировщики на проникновение, этичные хакеры, инженеры по кибербезопасности и архитекторы по кибербезопасности — это лишь некоторые из должностей, которыми вы можете заниматься в сфере кибербезопасности.
Несмотря на разные обязанности, степень в области компьютерных наук или кибербезопасности может помочь вам подготовиться к одной из этих ролей в сфере ИТ.
Почему важна киберкриминалистика?
Только в первой половине 2019 года было раскрыто более 3 800 общедоступных нарушений безопасности, раскрыто более 4 миллионов записей. Каждые 39 секунд происходит новая хакерская атака, и каждый день создается 300 000 новых вредоносных программ. Эта статистика просто не врет. Ясно видеть, что нарушения безопасности являются огромной проблемой в нашем мире, подпитываемом технологиями. Это делает киберкриминалистику все более важным элементом нашей защиты. Киберкриминалистика призвана помочь нам восстановиться и извлечь уроки из прошлых хакерских атак, чтобы обеспечить более безопасное будущее.
Вакансии в сфере киберкриминалистики.
С киберкриминалистической работой связано множество должностей, в том числе:
Следователь по расследованию преступлений, связанных с информационной безопасностью. Следователь по расследованию преступлений, связанных с информационной безопасностью, часто работает специально с юристами и правоохранительными органами, чтобы найти улики, которые могут быть на компьютерах, телефонах или других технологиях в рамках уголовного расследования.
Инженер по компьютерной криминалистике. Инженер-криминалист сосредотачивается на оценке программного обеспечения и архитектуры, чтобы выяснить, что произошло в результате взлома или угрозы.
Цифровая криминалистика. Цифровая криминалистика – это еще один термин для кибер- или компьютерной криминалистики, который представляет собой основную идею анализа данных и программного обеспечения, чтобы выяснить, как произошло нарушение, или найти доказательства.
Компьютерная криминалистика. Компьютерная криминалистика – это еще один термин для кибер- или цифровой криминалистики, который представляет собой основную идею анализа данных и программного обеспечения, чтобы выяснить, как произошла утечка, или найти доказательства.
Киберкриминалистика. Киберкриминалистика — это еще один термин для кибер- или цифровой криминалистики, основная идея которого заключается в анализе данных и программного обеспечения для выяснения причин нарушения или поиска улик.
Специалист по компьютерной криминалистике. Специалист по компьютерной криминалистике – это должность начального уровня, которая занимается сканированием и исследованием нарушений.
Аналитик компьютерной криминалистики.Аналитик компьютерной криминалистики фокусируется на анализе данных и информации, которые помогают предоставить доказательства киберпреступления или понять утечку данных.
Следователь или эксперт по компьютерной криминалистике. Судебный эксперт или эксперт по компьютерной экспертизе похож на судебного аналитика: он отвечает за глубокое изучение программ и программного обеспечения, чтобы узнать о взломе или взломе цифровых данных и помочь восстановить данные.
Специалист по компьютерной криминалистике. Специалисты по компьютерной криминалистике отвечают за более детальную техническую работу криминалистических систем. Они могут отвечать за восстановление данных, регистрацию информации о взломе или атаке или извлечение определенных данных в качестве доказательства для правоохранительных органов.
Должностные обязанности киберкриминалиста.
Готовность. Этот этап помогает следователю убедиться, что он готов взяться за расследование в любое время. Они следят за тем, чтобы все прошли надлежащее обучение, понимали юридические последствия расследований, заранее планировали технические и нетехнические вопросы и проверяли, чтобы их оборудование было готово в любое время.
Оценка. Это происходит, когда команде предоставляется информация о расследовании. Они распределяют роли и ресурсы для команды, получают подробную информацию о фактах и деталях дела и определяют риски расследования.
Коллекция. Это включает в себя сбор доказательств и изучение кибератаки или киберпреступления. Для получения этих данных используется множество инструментов и методов, которые могут включать проведение интервью, получение жестких дисков и других устройств и многое другое. Устройства запечатываются в пакеты для вещественных доказательств для дальнейшего изучения в судебно-медицинской лаборатории.
Анализ. Эта часть расследования жизненно важна для успеха. Собранные доказательства и данные анализируются, чтобы получить как можно больше информации о взломе или преступлении. Это может касаться того, кто совершил преступление, когда оно произошло, какие данные были потеряны, цифровые доказательства и многое другое. Анализ должен быть точным, должен быть задокументирован и зарегистрирован, он должен быть беспристрастным и должен соответствовать установленным срокам.
Презентация. После анализа команда представляет резюме своих выводов. Они предлагают компаниям стратегии, которые помогут им повысить безопасность и предотвратить проблемы в будущем. Презентация также будет передана в суд, которому нужны подробности о доказательствах судебной экспертизы.
Обзор. После завершения процесса команда криминалистов проанализирует, как прошло их расследование, обсудит, что можно улучшить в будущем, и оценит, как лучше работать в следующем расследовании.
У эксперта по киберкриминалистике может быть много обязанностей, в том числе:
Проводить расследования утечки данных
Восстановление и проверка данных с компьютеров или электронных устройств
Определить дополнительные системы или сети, которые могли быть скомпрометированы
Собирать доказательства для судебных дел
Подготовить технические отчеты и написать заявления для подготовки доказательств к суду.
Навыки компьютерной криминалистики.
Существует множество конкретных навыков, которые необходимы компьютерному криминалисту для достижения успеха в своей работе. К ним относятся как жесткие навыки, так и социальные навыки.
Компьютерная криминалистика, иногда известная как цифровая криминалистика, проводится обученными экспертами, которые извлекают данные (истории поиска, записи о покупках, журналы учета рабочего времени и т. д.) с различных устройств, включая компьютеры, планшеты и смартфоны, но не ограничиваясь ими. Затем они могут исследовать и анализировать данные, а затем представлять их в понятном для людей виде, который может быть не знаком с криминалистикой или информатикой.
Если вы хотите узнать больше о компьютерной криминалистике, мы составили это исчерпывающее руководство, охватывающее все, что вам нужно знать, без каких-либо технических знаний. Наша цель — дать каждому читателю общее представление о компьютерной криминалистике, чтобы помочь ему лучше понять различные процессы и когда их следует использовать.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ. В этой статье мы используем термин «компьютер», но понятие, которое мы обсуждаем, может применяться к любому устройству, способному хранить цифровую информацию.
Когда и как используется компьютерная криминалистика?
Не так много областей уголовных преступлений или гражданских споров, где компьютерная криминалистика не может быть применена. Правоохранительные органы были одними из первых и самых видных пользователей компьютерной криминалистики, и поэтому они часто были в авангарде разработок в этой области.
Компьютеры могут рассматриваться как «место преступления» — например, при взломе или атаке типа «отказ в обслуживании». У них могут быть доказательства преступлений, совершенных в другом месте, в виде электронных писем, интернет-историй, документов или других файлов, имеющих отношение к таким преступлениям, как убийства, похищения людей, мошенничество или незаконный оборот наркотиков.
Компьютерная судебно-медицинская экспертиза может выявить гораздо больше, чем ожидалось.
Компьютерных криминалистов интересует не только содержание электронных писем, документов и других файлов, но и метаданные, связанные с этими файлами.Метаданные предоставляют больше информации об определенном наборе данных, что само по себе может быть показательным. Например, записи о действиях пользователя также могут храниться в файлах журналов и других приложениях на компьютере, таких как интернет-браузеры.
Таким образом, компьютерная криминалистическая экспертиза может выявить, когда документ впервые появился на компьютере, когда он последний раз редактировался, когда последний раз сохранялся или печатался и какой пользователь выполнял эти действия.
Коммерческие организации используют компьютерную криминалистику во всех случаях, включая:
- Кража интеллектуальной собственности
- Трудовые споры
- Мошенничество со счетами, часто с помощью фишинговых писем.
- Подделки
- Ненадлежащее использование электронной почты и Интернета на рабочем месте.
- Соответствие нормативным требованиям
Рекомендации по успешной компьютерной криминалистике
Если доказательства, обнаруженные в ходе компьютерной судебной экспертизы, считаются допустимыми, они должны быть надежными и «не предвзятыми». Это означает, что эксперт должен помнить о приемлемости на каждом этапе расследования.
Руководство по передовой практике работы с цифровыми доказательствами Ассоциации старших полицейских Великобритании Великобритании, или Руководство ACPO, — это широко используемый и уважаемый набор руководств для следователей. ACPO теперь стал Советом начальника национальной полиции. Путеводитель не обновлялся несколько лет, но его содержание остается актуальным. Технологии меняются, но принципы остаются неизменными.
Четыре основных принципа из Руководства APCO
Обратите внимание: ссылки на правоохранительные органы были удалены.
- Никакие действия не должны изменять данные, хранящиеся на компьютере или носителе, на которые впоследствии можно ссылаться в суде.
- В обстоятельствах, когда лицо считает необходимым получить доступ к исходным данным, хранящимся на компьютере или носителе, это лицо должно быть компетентным для этого и быть в состоянии предоставить доказательства, объясняющие актуальность и последствия своих действий.
- Должен быть создан и сохранен контрольный журнал или другая запись обо всех процессах, применяемых к компьютерным электронным доказательствам. Независимая третья сторона должна иметь возможность изучить эти процессы и получить тот же результат.
- Лицо, ответственное за расследование, несет общую ответственность за обеспечение соблюдения закона и этих принципов.
Для более подробного ознакомления с рекомендациями ACPO вы можете прочитать нашу статью: Объяснение рекомендаций и принципов ACPO.
Оперативное получение данных: получение данных с работающего компьютера
Бывают ли случаи, когда компьютерному судебному эксперту может потребоваться внести изменения в компьютер подозреваемого и при этом нарушить первый принцип, описанный выше? Да.
Традиционно исследователи копируют данные с выключенного устройства. Они используют блокиратор записи для создания точной побитовой копии исходного носителя данных и создания хэша исходного носителя. Затем они работают с этой копией, оставляя оригинал без изменений.
Однако иногда невозможно (или нежелательно) выключать компьютер. Возможно, это приведет к значительным финансовым или другим потерям для владельца или к безвозвратной утрате ценных доказательств. В этих случаях компьютерному судебному эксперту может потребоваться провести «живое получение». Это включает в себя запуск простого приложения на подозрительном компьютере для копирования (получения) данных в репозиторий данных эксперта.
Запустив такое приложение (и подключив устройство, такое как USB-накопитель, к подозрительному компьютеру), эксперт вносит в компьютер изменения и/или дополнения, которых раньше не было. Но если эксперт фиксирует эти действия, может показать, почему они были необходимы, и объяснить их последствия суду, представленные доказательства, как правило, остаются допустимыми.
Этапы компьютерной криминалистической экспертизы
В целом процесс компьютерной судебной экспертизы делится на шесть этапов.
1. Готовность
Готовность к судебной экспертизе — важный этап процесса, который иногда упускают из виду. В коммерческой компьютерной криминалистике это может включать в себя информирование клиентов о готовности системы. Например, судебно-медицинская экспертиза дает более убедительные доказательства, если функции аудита устройства активированы до того, как произошел инцидент.
Готовность судебно-медицинского эксперта включает соответствующее обучение, тестирование и проверку собственного программного обеспечения и оборудования. Они должны быть знакомы с законодательством, знать, как справляться с непредвиденными проблемами (например, что делать, если изображения жестокого обращения с детьми будут обнаружены во время мошенничества) и убедиться, что их компьютер для сбора данных и связанные с ним устройства подходят для этой задачи.
2. Оценка
На этапе оценки экзаменатор получает инструкции и должен получить разъяснения, если какие-либо из них неясны или двусмысленны.Затем они проведут анализ рисков и распределят роли и ресурсы. Для правоохранительных органов анализ рисков может включать оценку вероятности физической угрозы при проникновении на территорию подозреваемого и наилучшие способы борьбы с ней.
Коммерческим организациям также необходимо учитывать вопросы охраны здоровья и безопасности, проблемы конфликта интересов и другие возможные риски (например, для их финансов или их репутации), когда они принимают конкретный проект.
3. Коллекция
Если сбор данных (часто называемый "визуализацией") осуществляется на месте, а не в офисе компьютерного судебного эксперта, этот этап включает идентификацию и защиту устройств, которые могут хранить улики, и документирование места происшествия.
Экзаменатор также должен проводить собеседования или встречи с персоналом, у которого может быть информация, имеющая отношение к экзамену, например с конечными пользователями компьютера, менеджером и лицом, ответственным за компьютерные службы (например, с ИТ-администратором).
Этап сбора также может включать маркировку и упаковку предметов с сайта, которые могут быть использованы в расследовании. Они запечатаны в пронумерованные пакеты с защитой от вскрытия. Затем материал необходимо надежно и безопасно доставить в офис исследователя или лабораторию.
4. Анализ
Анализ включает обнаружение и извлечение информации, собранной на этапе сбора. Тип анализа зависит от потребностей каждого конкретного случая. Это может варьироваться от извлечения одного электронного письма до сведения воедино сложных дел о мошенничестве или терроризме.
Во время анализа эксперт обычно сообщает о своих выводах своему непосредственному руководителю или клиенту. Эти обмены мнениями могут привести к тому, что анализ пойдет по другому пути или сузится до определенных областей. Судебно-медицинская экспертиза должна быть точной, тщательной, беспристрастной, зарегистрированной, воспроизводимой и завершенной в пределах доступных временных рамок и выделенных ресурсов.
Существует несколько инструментов для компьютерного криминалистического анализа. Экзаменатор должен использовать любой инструмент, который ему удобен, если он может обосновать свой выбор. Компьютерный криминалистический инструмент должен делать то, для чего он предназначен, поэтому эксперты должны регулярно тестировать и калибровать свои инструменты, прежде чем проводить какой-либо анализ.
Эксперты также могут использовать «проверку двумя инструментами», чтобы подтвердить достоверность своих результатов во время анализа. Например, если исследователь найдет артефакт X в месте Y с помощью инструмента A, он сможет воспроизвести эти результаты с помощью инструмента B.
5. Презентация
На этом этапе эксперт составляет структурированный отчет о своих выводах, обращаясь к пунктам первоначальных инструкций, а также любым дальнейшим инструкциям, которые он получил. Отчет также должен содержать любую другую информацию, которую эксперт считает относящейся к расследованию.
Отчет должен быть написан с учетом конечного читателя. Часто читатель может не обладать высоким уровнем технических знаний, поэтому следует использовать соответствующую терминологию. Эксперту может потребоваться участие во встречах или телефонных конференциях для обсуждения и уточнения своего отчета.
6. Обзор
Как и этап "Готовность", проверку часто упускают из виду или не принимают во внимание, так как это не оплачиваемая работа или поскольку эксперту необходимо приступить к следующему расследованию. Но проверка каждого исследования может сделать будущие проекты более эффективными и быстрыми, что сэкономит деньги и повысит качество исследований в долгосрочной перспективе.
Просмотр обследования может быть простым, быстрым и начинаться на любом из вышеперечисленных этапов. Это может включать в себя базовый анализ того, что пошло не так, а что прошло хорошо, а также отзывы от человека или компании, запросивших расследование. Любые уроки, извлеченные на этом этапе, должны быть применены к будущим экзаменам и учтены на этапе готовности.
С какими проблемами сталкиваются эксперты по компьютерной криминалистике?
Компьютерные криминалисты сталкиваются с тремя основными категориями проблем: техническими, юридическими и административными.
Технические проблемы
Шифрование
Зашифрованные данные невозможно просмотреть без правильного ключа или пароля. Если ключ недоступен или владелец не раскрывает его, он может быть сохранен:
- в другом месте на компьютере
- на другом компьютере, к которому у подозреваемого есть доступ
- в энергозависимой памяти компьютера (ОЗУ). Обычно он теряется при выключении компьютера.
Когда может присутствовать шифрование, экзаменатору может потребоваться рассмотреть возможность использования методов «живого сбора», описанных выше.
Увеличение места для хранения
На носителях хранятся все большие объемы данных, поэтому аналитическим компьютерам экзаменатора требуется достаточная вычислительная мощность и доступная емкость хранилища для эффективного поиска и анализа больших объемов данных.
Новые технологии
Вычислительная техника — это постоянно развивающаяся область, в которой постоянно появляются новые аппаратные средства, программное обеспечение и операционные системы.Ни один компьютерный эксперт-криминалист не может быть экспертом во всех областях, хотя от него часто ожидают анализа вещей, с которыми он раньше не сталкивался.
Это означает, что эксперты по компьютерной криминалистике должны быть готовы и способны экспериментировать с новыми технологиями. На этом этапе полезно общаться в сети и делиться знаниями с другими экспертами по компьютерной экспертизе, потому что кто-то уже мог столкнуться с такой же проблемой.
Антикриминалистика
Антикриминалистика – это попытка воспрепятствовать компьютерному криминалистическому анализу посредством шифрования, перезаписи данных, чтобы сделать их невосстановимыми, изменения метаданных файлов и обфускации файлов (маскировки файлов). Как и в случае с шифрованием, доказательства использования таких методов могут храниться в другом месте на компьютере или на другом компьютере, к которому может получить доступ подозреваемый.
По нашему опыту, очень редко можно увидеть, чтобы средства защиты от криминалистики использовались правильно и достаточно часто, чтобы полностью скрыть их присутствие или наличие улик, для сокрытия которых они использовались.
Юридические вопросы
Законодательные области
Данные часто хранятся не на компьютере человека, а на удаленных компьютерах, на которых они арендуют место для хранения, также известном как «облако». Эти данные могут находиться в другой стране, а это означает, что доступ к ним может быть связан с другим законодательством. И если доступ возможен, он может быть сложным и дорогим.
Юридические аргументы
Юридические вопросы могут сбить с толку компьютерного эксперта или отвлечь его внимание. Одним из примеров этого является «троянская защита». Троян — это фрагмент компьютерного кода, замаскированный под что-то доброкачественное, но имеющий скрытую и вредоносную цель. У троянов много применений, включая регистрацию ключей, загрузку или скачивание файлов и установку вирусов.
Юрист может утверждать, что действия на компьютере были выполнены не пользователем, а автоматизированы трояном без ведома пользователя. Этот вид защиты от троянов успешно использовался даже тогда, когда на компьютере подозреваемого не было обнаружено никаких следов троянского или другого вредоносного кода.
В таких случаях компетентный адвокат противной стороны, которому предоставлены доказательства от компетентного компьютерного криминалиста, должен быть в состоянии отклонить аргумент. Хороший эксперт выявит и рассмотрит возможные аргументы «оппозиции» на этапах анализа и написания отчета.
Административные вопросы
Принятые стандарты
Существует множество стандартов и руководств по компьютерной криминалистике, но лишь немногие из них являются общепризнанными. Причины этого включают:
- Органы, устанавливающие стандарты, могут быть связаны с конкретным законодательством.
- Стандарты предназначены либо для правоохранительных органов, либо для коммерческой криминалистики, но не для того и другого одновременно.
- Авторы таких стандартов не принимаются их коллегами.
- Высокие вступительные взносы в профессиональные организации могут отпугнуть практиков.
Подходит для практики
Во многих юрисдикциях нет квалификационного органа для проверки компетентности и добросовестности специалистов по компьютерной криминалистике. Это означает, что любой может представить себя экспертом в области компьютерной криминалистики, что, в свою очередь, может привести к некачественной экспертизе и отрицательному мнению о профессии в целом.
В Forensic Control мы являемся экспертами в области компьютерной криминалистики, поэтому, если вам нужна помощь, просто напишите нам, и мы будем рады проконсультировать вас. Кроме того, вы можете заказать компьютерное расследование у одного из наших опытных компьютерных криминалистов.
Если вы находитесь в Великобритании, мы также можем помочь вам пройти сертификацию Cyber Essentials. Эта сертификация гарантирует вашим покупателям и клиентам, что ваша организация стремится обеспечить безопасность и защиту своих данных.
Читайте также: