Получение компьютерной информации как оперативно-розыскная мера
Обновлено: 21.11.2024
Поскольку все больше и больше пользователей переходят на мобильные устройства и используют взаимосвязанные устройства, компьютеры часто оказываются в центре инцидентов и расследований. Доказательства для обсуждения в суде часто собираются благодаря навыкам цифровых криминалистов, которые могут извлекать важные данные из электронных устройств, принадлежащих пострадавшим сторонам. Должностные лица правоохранительных органов иногда зависят от показаний компьютерных криминалистов, специализирующихся на электронном обнаружении; эти эксперты призваны работать непосредственно с полицейскими и детективами, чтобы помочь в выявлении, сохранении, анализе и представлении цифровых доказательств для раскрытия уголовных дел.
Цель статьи — предоставить обзор компьютерной криминалистики и методов, применяемых при получении цифровых доказательств с компьютерных систем и мобильных устройств для анализа информации, используемой в уголовных расследованиях. Он также затрагивает последние проблемы судебной экспертизы: мобильную криминалистику, облачную криминалистику и антикриминалистическую экспертизу.
Компьютерные криминалисты
Задачей судебно-медицинских экспертов является "помощь в выявлении преступников и анализе улик против них", – говорит Холл Диллон в статье о карьере для Бюро трудовой статистики США.
Подготовленные и квалифицированные специалисты работают в государственных правоохранительных органах или в частном секторе для выполнения задач, связанных со сбором и анализом цифровых доказательств. Они также несут ответственность за написание содержательных отчетов для использования в следственных и юридических условиях. Помимо работы в лабораториях, судебные эксперты применяют цифровые методы расследования в области обнаружения метаданных, которые имеют значение в суде.
Современные компьютерные криминалисты способны восстанавливать данные, которые были удалены, зашифрованы или спрятаны в мобильных устройствах; они могут быть вызваны для дачи показаний в суде и изложения улик, обнаруженных в ходе следствия. Они могут участвовать в сложных делах, включая проверку алиби правонарушителей, расследование злоупотреблений в Интернете, неправомерного использования вычислительных ресурсов и использования сети для создания компьютерных угроз. Судебно-медицинские эксперты могут быть привлечены для поддержки крупных дел, связанных с утечкой данных, вторжением или любым другим типом инцидентов. Применяя методики и криминалистические приложения проприетарного программного обеспечения для проверки системных устройств или платформ, они могут предоставить ключевые открытия, чтобы установить, кто несет ответственность за расследуемое преступление.
Быстро развивающаяся дисциплина компьютерной криминалистики стала отдельной областью научных знаний, сопровождаемой обучением и сертификацией (CCFE, CHFI). По данным Computer Forensics World, сообщества профессионалов, занимающихся цифровой криминалистикой, сертифицированные лица в этой области несут ответственность за идентификацию, сбор, получение, аутентификацию, сохранение, изучение, анализ и представление доказательств для целей судебного преследования. /p>
Процесс компьютерной экспертизы
Целью компьютерной судебной экспертизы является восстановление данных с компьютеров, изъятых в качестве доказательств в ходе уголовного расследования. Эксперты используют системный подход к изучению доказательств, которые могут быть представлены в суде в ходе разбирательства. Привлечение судебно-медицинских экспертов к расследованию должно осуществляться на ранней стадии, поскольку они могут помочь в надлежащем сборе технических материалов таким образом, чтобы можно было восстановить контент без ущерба для его целостности.
Криминалистическое расследование может включать многие (или все) следующие этапы:
- Сбор — поиск и изъятие цифровых доказательств, а также получение данных.
- Экспертиза — применение методов идентификации и извлечения данных.
- Анализ — использование данных и ресурсов для доказательства правоты
- Отчетность — представление собранной информации (например, письменный отчет)
Билл Нельсон, один из соавторов книги «Руководство по компьютерной криминалистике и расследованиям» (третье издание), подчеркивает важность трех аспектов компьютерной криминалистики: получение, аутентификация и анализ. Он говорит, что процесс компьютерной судебной экспертизы, по сути, включает в себя систематический подход, который включает в себя первоначальную оценку, получение доказательств и их анализ, а также завершение отчета по делу (2008 г., стр. 32–33).
Судебные дела сильно различаются; некоторые имеют дело с компьютерными злоумышленниками, крадущими данные; другие связаны с хакерами, которые взламывают веб-сайты и запускают DDoS-атаки или пытаются получить доступ к именам пользователей и паролям для кражи личных данных с мошенническими намерениями, сообщает ФБР. В некоторых случаях речь идет о киберпреследовании или о том, что злоумышленники посещают запрещенные сайты (например, сайты с детской порнографией). Судебно-медицинский эксперт может исследовать кибер-след, оставленный преступником.
Какой бы ни была причина расследования, аналитики следуют пошаговым процедурам, чтобы убедиться в достоверности результатов.После возбуждения уголовного дела компьютеры и другое цифровое медиа-оборудование и программное обеспечение будут изъяты и/или исследованы для получения доказательств. В процессе поиска собираются все необходимые предметы, чтобы предоставить эксперту-криминалисту все необходимое для дачи показаний в суде.
Тогда пришло время извлечь и проанализировать данные. Компьютерный криминалист принимает во внимание 5W (кто, что, когда, где, почему) и как произошло компьютерное преступление или инцидент. Используя стандартные критерии оценки, проверяющий может выявлять связанные с безопасностью упущения в сетевой среде, выявляя подозрительный трафик и любые виды вторжений, или он может собирать сообщения, данные, изображения и другую информацию, однозначно относящуюся к конкретному пользователю, участвующему в дело.
Процесс судебной экспертизы также включает написание отчета. Компьютерные судебные эксперты должны создавать такие отчеты для адвоката, чтобы обсудить имеющиеся фактические доказательства. Важно подготовить судебно-медицинские доказательства для свидетельских показаний, особенно когда дела передаются в суд, а эксперт вызывается в качестве технического/научного свидетеля или свидетеля-эксперта.
Способы получения доказательств в судебном порядке
Традиционно компьютерные криминалистические исследования проводились на данных в состоянии покоя, например, путем изучения содержимого жестких дисков. Всякий раз, когда эксперту-криминалисту требовался дополнительный анализ (например, для создания изображений — копирования жестких дисков, флэш-накопителей, дисков и т. д.), он обычно проводился в контролируемой лабораторной среде. Анализ мертвых данных (также известный как мертвое криминалистическое сбор данных или просто статическое сбор данных) — это владение данными, которое выполняется на выключенных компьютерах. Другими словами, он включает в себя исследования системы (и ее частей) в состоянии покоя (мертвого состояния). Вместо этого метод анализа в реальном времени включает сбор данных из системы перед ее отключением. Анализ мертвых считается необходимым, чтобы иметь время также для получения вещественных доказательств, таких как ДНК (отпечатки пальцев на оборудовании); тем не менее, в настоящее время в центре внимания судебно-медицинских экспертов находится сбор данных в реальном времени.
Выполнение «живого анализа» в полевых условиях дает быстрые и достоверные доказательства; это можно сделать благодаря портативным аналитическим инструментам, которые аналитики могут взять с собой на место преступления, чтобы немедленно приступить к расследованию.
Несмотря на то, что криминалисту может понадобиться криминалистическая лаборатория для дальнейшего анализа или выполнения повторяющихся действий (что невозможно при сборе данных в реальном времени), не во всех случаях это требуется. Тем не менее, для судебного эксперта важно собрать достаточно информации, чтобы определить следующий соответствующий шаг в расследовании. Такой подход гарантирует отсутствие утери или повреждения цифровых доказательств, потери изменчивых данных или необходимости получения ордера на изъятие оборудования.
Расследования в реальном времени проводятся уже много лет. В сегодняшнюю цифровую эпоху и рост числа компьютерных преступлений неудивительно, что существует необходимость нанимать судебно-медицинских аналитиков для анализа и интерпретации цифровых доказательств (например, компьютерных систем, носителей данных и устройств), объясняет Маркус К. Роджерс, компьютер. и факультет информационных технологий Университета Пердью. В статье о модели процесса киберкриминалистической сортировки на месте (CFFTPM) в 2006 году он отметил, что «CFFTPM предлагает подход на месте или на месте для обеспечения идентификации, анализа и интерпретации цифровых доказательств в короткие сроки, без требования иметь вернуть систему (системы)/носитель в лабораторию для углубленного изучения или получения полного криминалистического изображения".
Несколько компьютерных криминалистических инструментов
Комплексные программные инструменты для судебной экспертизы (такие как Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD и т. д.) используются следователями на месте преступления для сбора, индексации и подробного анализа.
Криминалистическое расследование состоит из сбора компьютерной криминалистической информации; процесс может начаться с анализа сетевого трафика с помощью анализатора пакетов или сниффера, такого как Wireshark, который способен перехватывать трафик и регистрировать его для дальнейшего анализа. NetworkMiner, еще один инструмент сетевого криминалистического анализа (NFAT), является альтернативой Wireshark для извлечения или восстановления всех файлов. Snort, напротив, является ценным инструментом для отслеживания сетевых злоумышленников в режиме реального времени.
Программное обеспечение NFAT также содержит возможности судебной экспертизы, выполняя анализ сохраненного сетевого трафика, как следует из его названия. Что касается реагирования на инциденты и идентификации, для идентификации удаленных файлов и их восстановления можно использовать набор инструментов для судебной экспертизы, или FTK; тогда как EnCase подходит для судебной экспертизы, кибербезопасности и электронного обнаружения.
Потребность в новых криминалистических инструментах
Внедрение и быстрый рост новых технологий создали немало проблем для криминалистов, перед которыми сейчас стоят задачи поиска информации не только на персональных компьютерах и ноутбуках, но и (и чаще) на планшетах и смартфоны.
«Экспертиза мобильных устройств — это наука об извлечении цифровых доказательств с мобильного устройства в криминалистически обоснованных условиях с использованием общепринятых методов», — говорится в «Руководстве NIST по криминалистике мобильных устройств». В руководстве подчеркивается, что сегодня судебные аналитики должны четко понимать уникальность мобильного мира и понимать большинство технологических особенностей любой модели и типа устройства, которое можно найти на месте преступления.
Распространение проприетарных операционных систем, технологий шифрования и средств защиты, разработанных производителями смартфонов, такими как Nokia, Samsung, LG, Huawei, Apple и другими, обязывает аналитиков следить за последними разработками быстрее, чем когда-либо прежде. Современные новые усовершенствованные устройства производятся с большей скоростью, и извлечение информации из них, даже после обхода очевидных функций безопасности, которые их защищают, сопряжено с уникальными проблемами.
Работая с автономными компьютерами, аналитик знал, где искать данные (ОЗУ, BIOS, жесткий диск…). В памяти мобильного устройства все не так однозначно, и релевантную информацию можно найти в нескольких местах, например, во флэш-памяти NAND и NOR, а также в ОЗУ SIM-карты.
Важно работать таким образом, чтобы сохранить данные, учитывая, например, такие проблемы, как влияние разряда питания на энергозависимую память устройства, которое может раскрыть важную информацию о выполнении программ на устройстве. Кроме того, «закрытые операционные системы затрудняют интерпретацию связанной с ними файловой системы и структуры. Многие мобильные устройства с одной и той же операционной системой также могут сильно различаться по своей реализации, что приводит к множеству перестановок файловой системы и структуры. Эти перестановки создают серьезные проблемы для производителей мобильных криминалистических инструментов и экспертов». (Специальная публикация NIST 800-101, редакция 1)
Как поясняет Национальный институт стандартов и технологий (NIST), аналитики могут использовать множество методов для сбора криминалистических данных с мобильных устройств, от менее навязчивого ручного извлечения до инвазивного, сложного и дорогостоящего микросчитывания. Ручное извлечение означает получение информации с помощью простого использования пользовательского интерфейса и дисплея устройства. Второй шаг по-прежнему является базовым и включает в себя логическое извлечение. Третий уровень включает методы Hex Dumping/JTAG Extraction; для этого требуется более сложный подход к сбору данных, выполняемый посредством физического получения памяти устройства. Четвертый уровень — это метод отрыва, который включает в себя фактическое удаление памяти, а пятый, самый сложный и сложный метод — это метод Micro Read, в котором аналитики используют сложный микроскоп для просмотра физического состояния всех ворот. р>
NIST не только работает над общим подходом к мобильной криминалистике, но и предоставляет форум для сбора идей по облачной криминалистике. Облачные вычисления — это быстро развивающаяся технология, которая в настоящее время используется большинством пользователей мобильных устройств и многими компаниями. Его гибкость и масштабируемость делают его привлекательным выбором для большинства пользователей, но также создают уникальные проблемы для криминалистики.
На самом деле, помимо технических проблем, облачные вычисления создают юрисдикционные и юридические проблемы. На самом деле данные можно хранить и получать к ним доступ где угодно, и у следователей может возникнуть проблема с доступом к данным в разных странах или способами, которые защищают права на конфиденциальность других пользователей облака.
Кроме того, иногда бывает сложно связать данные и действия с конкретным пользователем. Восстановление данных также может быть проблематичным из-за перезаписи и повторного использования пространства в облачной среде.
Следователи также должны быть осведомлены о методах, инструментах и методах защиты от криминалистики, которые могут сделать криминалистический анализ неубедительным, особенно в облачной среде. Определенные типы вредоносного ПО и методы запутывания могут нарушить целостность собранных доказательств и сделать выводы, которые будет трудно представить в суде.
Заключение
Как поясняет Infosec на своем веб-сайте, «специалисты по компьютерной криминалистике нужны современным компаниям для определения основной причины хакерской атаки, сбора доказательств, допустимых в суде, и защиты корпоративных активов и репутации».
В связи с ростом числа киберпреступлений (т. е. любых преступных деяний, связанных с компьютерами и сетями) и угрозой для данных организации, а также более широкого использования цифровых устройств населением в целом анализ цифровых доказательств становится важнейшим элементом во многих места преступления.
Сегодня криминалистические вычисления – захватывающая профессия, в которой особое внимание уделяется человеческому фактору, но при этом возникает ряд проблем, связанных с необходимостью поиска цифровых доказательств в постоянно меняющихся условиях. Технологический прогресс и переход к сетевым и облачным средам, в которых можно легко применить антикриминалистические методы, обязывает специалистов в этой области постоянно обновлять и пересматривать стандартные рабочие процедуры.
Ребекка Т. Меркури, основатель Notable Software, Inc., отметила в научной статье Challenges in Forensic Computing, что «длительное развитие этой области неизменно приведет к некоторой стабилизации передового опыта, обучение, сертификация и наборы инструментов, но всегда будут возникать новые проблемы из-за динамического характера технологии, лежащей в ее основе». Тем не менее, как сообщает ФБР на своем веб-сайте, «эта новая судебная дисциплина должна оставаться эффективным и надежным инструментом в системе уголовного правосудия».
Источники
Руководство по компьютерной криминалистике и расследованиям. (3-е изд.). Бостон, Массачусетс
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Cradlepoint и Extreme Networks объединят маршрутизаторы 5G первой компании с сетевой структурой второй для создания беспроводной глобальной сети 5G.
Израильский стартап OneLayer запустился незаметно с начальным финансированием в размере 8,2 млн долларов США и программной платформой для защиты Интернета вещей.
Российско-украинская война, которая затрагивает все, от инфляции до доступности чипов, оставила половину корпоративных технических лидеров.
ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .
Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .
Компании, привлекающие украинских программистов, работают над переводом сотрудников, желающих переехать. Технологические компании в долгосрочной перспективе могут .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .
Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.
Университет сотрудничает с Oracle в проведении исследований по наблюдению за цветущими фруктовыми деревьями весной
Оператор мобильной связи добился самого значительного прироста клиентов с потребительскими контрактами с 2012 года и увеличения EBITDA на 10 % с постепенным увеличением.
Внедрение систем EPR в организациях NHS поможет активизировать усилия по цифровой трансформации и является ключом к достижению результатов.
Очевидно, что операции под прикрытием при расследовании киберпреступлений будут включать использование электронных средств связи. Агенты под прикрытием (UC) отправляют электронные письма, текстовые сообщения и общаются в чате с подозреваемыми в Интернете для общения. Это может быть в форме UC, принявшего личность ребенка для расследования случаев растления малолетних, или, возможно, UC примет личность высокотехнологичного преступника для расследования хакера. Любой метод может потребовать личного общения между UC и подозреваемым в совершении преступления. Это взаимодействие и метод расследования будут применяться аналогично гражданским расследованиям.
Прекрасный пример успешной операции под прикрытием начался в 1999 году с интернет-провайдера (ISP) Speakeasy Network в Сиэтле, штат Вашингтон. Сеть Speakeasy была взломана с российских IP-адресов. Подозреваемые связались со Speakeasy, представились и предложили не раскрывать недостатки Speakeasy, если Speakeasy заплатит им или наймет их. Хакеры также утверждали, что теперь у них есть тысячи паролей и номеров кредитных карт клиентов Speakeasy. Эти хакеры, Алексей Иванов и Василий Горшков, продолжали взламывать бизнес и вымогать деньги таким образом.
ФБР провело интенсивную операцию под прикрытием, в ходе которой и Иванов, и Горхков согласились въехать в Соединенные Штаты, чтобы обсудить свои хакерские навыки с тайными агентами ФБР.С помощью аудио- и видеозаписей разговоров, кейлоггеров, снифферов, ордеров на обыск, тайных бизнес-прикрытий и даже создания тайной компьютерной сети, которую они могли взломать, оба были осуждены по федеральным обвинениям в компьютерном мошенничестве, мошенничестве с использованием почты и заговоре. /p>
Все операции под прикрытием сопряжены с неотъемлемым риском для личной безопасности. В качестве метода расследования он также требует интенсивных ресурсов и квалифицированных операторов объединенных коммуникаций. Эффективность успешной операции под прикрытием невозможно переоценить. Преимущество возможности открыто говорить с подозреваемым, принимая на себя роль преступника или заговорщика, позволяет собирать разведывательные данные экспоненциально быстрее, чем физическое наблюдение. Признания, сделанные агенту под прикрытием, так же действительны, как и признания, сделанные офицеру в форме. О будущих подозрительных действиях, которые трудно получить иначе, можно напрямую сообщить UC, для которого можно планировать будущие операции.
Менее экстремальные действия под прикрытием могут проводиться только по телефону. Если конкретное время и место были определены как источник преступной деятельности, простой телефонный звонок подозреваемому приведет к тому, что подозреваемый окажется в этом месте в заданное время. Телефонный звонок должен быть не более чем ложным предлогом, в котором подозреваемый идентифицируется по голосу или имени. Телефонный звонок не может определенно привести подозреваемого к клавиатуре; однако привязка подозреваемого к месту по голосу является убедительным признаком. В случае совершения преступной деятельности, например, когда жертва получает угрожающие электронные письма из ранее определенного места посредством отслеживания IP-адреса, можно сделать звонок во время действия, чтобы идентифицировать подозреваемого по голосу.
Если обнаружен подозрительный адрес электронной почты, ему могут быть отправлены электронные письма с кодом отслеживания, который получает локальный IP-адрес подозрительного лица, а затем отправляет дату и время доступа к электронному письму вместе с IP-адресом. подозрительного компьютера. Эти коды отслеживания невидимы для большинства пользователей и почтовых программ, но представляют риск компрометации, если подозреваемый идентифицирует код с помощью предупреждения антивирусного программного обеспечения.
Операции под прикрытием в сочетании с наблюдением также могут быть необходимы для получения доказательств, которые нельзя получить иным способом. Если подозреваемый каким-либо образом скрывает свой IP-адрес, не имея физического доступа к системе, используемой в преступлениях, может потребоваться тесный контакт с подозреваемым. Этот контакт может заключаться в подружении с подозреваемым в надежде, что информация будет раскрыта UC. Даже если будет раскрыт способ сокрытия IP-адреса, могут быть проведены методы расследования для противодействия методу сокрытия IP-адреса.
Операции с информаторами представляют те же риски для безопасности и компрометации расследования, но с дополнительной опасностью неподготовленности информаторов. У информаторов были разные причины для сотрудничества с правоохранительными органами, и не все причины заслуживают доверия. Во многих случаях осведомители получаются из дел, в которых арестованные подозреваемые соглашаются сотрудничать в обмен на меньшие обвинения. Так было с Гектором Ксавьером Монсегюром в июне 2011 года, когда его арестовало ФБР. Монсегюр согласился работать на ФБР в качестве информатора и тем самым помог ФБР успешно расследовать действия нескольких хакеров как заговорщиков. Хотя Монсегюр согласился сотрудничать, он также признал себя виновным по множеству обвинений в компьютерных преступлениях.
Вероятно, самым большим преимуществом использования информаторов в расследовании киберпреступлений является возможность воспользоваться этим прошлым и контактами с другими киберпреступниками. Их репутация может быть известна и малоизвестна, если кто-то из сообщников заподозрит, что их давний соучастник в преступлении работает на правоохранительные органы. Офицеры под прикрытием входят без истории или известных сообщников, если только информатор не используется, чтобы поручиться за офицера под прикрытием.
Следственная деятельность
Тайные (тайные) расследования
Операции под прикрытием широко используются в медицинских учреждениях. Наиболее распространенным действием является проникновение в область, где существует конкретная или предполагаемая проблема. Концепция использования агента под прикрытием или скрытого оборудования для обеспечения безопасности в лечебном учреждении для пациентов может показаться экстремальной для некоторых и несколько пугающей для других, но профессиональные администраторы службы безопасности считают это необходимой деловой процедурой. Оперативное руководство IAHSS по тайным расследованиям может служить руководством для специалистов по безопасности в сфере здравоохранения.
03. 03. Тайные расследования
Заявление
Медицинские учреждения (HCF) могут потребовать проведения скрытых расследований для установления лиц или сбора сведений о запрещенных или незаконных действиях. Тайные расследования могут включать в себя использование агентов под прикрытием или электронного оборудования.
Намерение
Причины проведения тайных расследований могут сильно различаться (защита активов, утечка наркотиков, нарушение правил или действия, которые могут нанести ущерб благополучию или имиджу HCF). Цель этих расследований будет заключаться в сборе информации, которая будет использоваться в качестве доказательства для выявления причастных и прекращения запрещенной деятельности, представляющей риск для объекта.
Решение о применении скрытых методов расследования не должно приниматься до тех пор, пока не будет установлено, что более традиционные методы недоступны или неэффективны.
Использование скрытого следственного оборудования (например, скрытого или замаскированного видеонаблюдения) или других скрытых методов должно осуществляться в соответствии с действующим законодательством.
Необходимо учитывать, имеют ли стороны, входящие в зону скрытого наблюдения, разумное ожидание конфиденциальности. Некоторые помещения в медицинском учреждении (туалеты, раздевалки, раздевалки, помещения для лечения пациентов и т. д.) могут считаться закрытыми в отношении оборудования для проведения скрытых расследований.
Перед установкой любого скрытого следственного оборудования служба безопасности должна определить следующее: 1)
Расследуемое действие имеет разумные шансы быть изображенным
Существует безопасный способ установки и удаления такого оборудования (т. е. брандмауэры не скомпрометированы, а другое оборудование для обнаружения/пожаротушения/безопасности никак не затрагивается)
Следственное оборудование скрыто, поэтому все такое оборудование, скорее всего, останется необнаруженным на время расследования
Существует средство извлечения сохраненной информации из такого оборудования так, чтобы другие не узнали о ее наличии
Существует план получения отчетов и хранения информации для обеспечения конфиденциальности
HCF должен разработать политику проведения тайных расследований, включая следующее: 1)
Назначенные лица, которые могут одобрять такие расследования/установки
Требование к участникам согласия не раскрывать информацию о расследовании
Доказательства, полученные в ходе тайного расследования, будут считаться собственностью HCF до тех пор, пока они не будут переданы правоохранительным органам или другому назначенному получателю. Такие доказательства будут считаться конфиденциальными и не будут просматриваться, распространяться или обсуждаться с какими-либо лицами, департаментами или агентствами без надлежащего разрешения.
Выводы, касающиеся расследования, и рекомендации будут задокументированы и отправлены по мере необходимости
План прекращения расследования в случае, если оно будет обнаружено или станет опасным
Одобрено: апрель 2008 г.
Последняя редакция: октябрь 2011 г.
Проверено: декабрь 2013 г.
Скрытое расследование предназначено для защиты надежных и добросовестных сотрудников, а также для выявления тех, кто наносит ущерб организации. Операция под прикрытием действительно может показаться экстремальной; однако таковы ставки и ответственность за надлежащее управление организацией здравоохранения. Для успешного тайного расследования требуется, чтобы как можно меньше людей в организации знали об операции. Руководители отделов и супервайзеры, как правило, не должны быть вовлечены в план или иметь право на получение информации о том, что в их отделе размещено оперативное оборудование или оборудование для наблюдения. В некоторых случаях может быть важно, чтобы глава отдела участвовал в процессе, чтобы получить открытую и надлежащую позицию для оперативного, особых обстоятельств или типа запрашиваемой информации. Однако чаще всего утечки информации начинаются с начальника отдела и приводят к напрасным усилиям и негативному влиянию на персонал организации. Основная цель тайной операции — строго ограничить круг людей, знающих об операции. Несоблюдение этой простой концепции поставило под угрозу больше операций, чем любой другой отдельный фактор. Как правило, если более двух человек в организации, кроме директора по безопасности, знают о расследовании, его не следует начинать, а если оно уже ведется, следует серьезно рассмотреть вопрос о прекращении проекта.
Помимо конкретных расследований, оперативники под прикрытием используются для проверки операций, чтобы определить, соответствуют ли политики и процедуры безопасности поставленным задачам. Это метод определения того, приносят ли средства, потраченные на безопасность, желаемые результаты. Информация, полученная в результате расследования, не обязательно должна быть отрицательной; оперативники, которые считают, что все «идет хорошо», производят положительную и ценную обратную связь с руководством. После того, как оперативники выполнили свою работу в одном отделе, они могут перейти в другой отдел для продолжения аудиторской операции. Перевод отдела иногда легче осуществить, чем привести оперативника в организацию в качестве нового сотрудника.
Когда организация принимает участие в секретной программе, она должна быть готова финансировать программу в течение значительного периода времени. Многие секретные программы терпят неудачу, потому что результаты ожидаются слишком рано. Это особенно верно в отношении оперативников, работающих над серьезной проблемой, в которой заинтересованные лица проявляют исключительную осторожность. К новым людям всегда относятся с определенной долей подозрения, и оперативники должны постепенно налаживать позитивные отношения с коллегами. Конечно, мастерство и компетентность следователя играют значительную роль в том, сколько времени требуется. В крупных организациях новые сотрудники службы безопасности могут стать источником агентов под прикрытием. Однако у этого подхода есть два основных недостатка. Какой бы тщательной ни была проверка биографических данных и процесс отбора, способности новых сотрудников всегда неизвестны. Еще одним недостатком является то, что не все подходят для работы под прикрытием. Неправильно выбранный оперативник может привести не только к неэффективному расследованию, но и к неприятным проблемам для организации. Другим источником персонала под прикрытием является наем офицера или следователя из другой организации по обеспечению безопасности. Подход взаимопомощи может быть экономичным, а способности персонала не столь непредсказуемы, как это может быть в случае с вновь нанятым сотрудником. Прикомандированные и вновь нанятые оперативники могут хорошо выполнять свою работу, потому что на карту поставлено больше, чем на оперативников, предоставленных фирмой извне, которые переведут оперативника на другие несвязанные задания в другой организации. Новобранец ищет хорошее начало работы, а также продолжение работы. Прикомандированный сотрудник ищет положительные отзывы о своей работе под прикрытием, чтобы связаться со своим нынешним работодателем.
Оперативники под прикрытием должны периодически сообщать о своей деятельности и наблюдениях. Это общение должно происходить за пределами организации, и лучше всего это происходит на встречах с подведением итогов лицом к лицу, а не по телефону. Должны также требоваться ежедневные журналы всей деятельности. Информация, собираемая оперативником, должна быть широкой по своему характеру и включать любую информацию, которая может помочь улучшить управление организацией. Чтобы быть более конкретным, информация о моральном состоянии, о том, насколько хорошо была воспринята новая политика, фальсификация учета рабочего времени, чистота и другие элементы, которые помогут организации быть более эффективной, должны быть включены в информацию обратной связи. Отчеты также должны содержать положительную информацию о том, какие системы работают эффективно.
Секретные операции в Интернете
Тодд Г. Шипли , Арт Боукер , в расследовании преступлений в Интернете , 2014 г.
Компьютерное оборудование для агентурных операций
Подготовка компьютерной системы к операциям под прикрытием имеет такое же значение, как и любая другая операция под прикрытием в реальном мире. Используемый вами компьютер, выбранный вами интернет-сервис и используемый вами браузер — все это рассказывает историю о том, кто вы есть. Во-первых, оборудование должно использоваться только для агентурных операций. Доступ в Интернет для агентства или системы, принадлежащей компании, может раскрыть вашу настоящую личность. Личная информация и/или информация об агентстве или компании никогда не должны храниться на секретном компьютере. Это предотвращает возможность того, что злоумышленник идентифицирует вашу истинную личность, если он оскорбительно воспользуется вашим компьютером. Компьютер не должен быть подключен к какой-либо сетевой системе в агентстве или компании. Следователь должен спланировать и подготовиться к тому, что цель может получить доступ к секретной системе, когда вы подключены к Интернету.
Идентификация подозреваемого в Интернете
В сеансе мгновенного сообщения или чата попросите цель установить с вами «прямое соединение» a.
Используйте NETSTAT, чтобы получить его IP-адреса
Получите целевое электронное письмо и проанализируйте заголовки
Попросите цель отправить вам тип файла, который может содержать метаданные (документ Microsoft Word, файл изображения). Изучите метаданные на предмет возможной компрометирующей информации
Попросите жертву предоставить вам другие способы связи с ней, которые потенциально могут быть отслежены a.
Аккаунты мгновенных сообщений
Направляйте цель на веб-сайт, которым вы управляете, и фиксируйте ее IP-адрес, когда она посещает ее.
DOI предлагает широкий спектр возможностей трудоустройства высококвалифицированных специалистов для заполнения вакансий в качестве следователей, адвокатов, аудиторов, компьютерных экспертов и вспомогательного персонала. DOI является работодателем равных возможностей. Карьерные возможности включают:
Конфиденциальный исследователь
Конфиденциальные следователи, или CI, являются основой Департамента расследований (DOI). Они проводят расследования утверждений о мошенничестве, растратах и коррупции, которые DOI поручено рассматривать по всему городу Нью-Йорку.Усилия CI приводят к арестам и судебному преследованию, гражданским и административным разбирательствам, которые могут привести к расторжению контрактов, трудоустройству или выплате городских пособий. Они исследуют все аспекты городского управления, включая каждое агентство от парков до полиции и каждого сотрудника от летнего спасателя до мэра. Конфиденциальные следователи также проверяют каждую организацию, которая ведет дела с городом, от подрядчиков по укладке дорожного покрытия до продавцов продуктов питания. Кроме того, CI рассматривают каждого человека, который получает городские льготы, такие как ваучеры на жилье или карты EBT. Наконец, у CI есть возможность следить за каждой организацией, которая получает деньги от городских грантов, чтобы убедиться, что деньги тратятся должным образом. Для выполнения этих задач информаторы используют многие тактики других следователей правоохранительных органов. Например, они могут просматривать документы агентства или финансовые и деловые записи. Информаторы могут опрашивать свидетелей и испытуемых. Во многих случаях информаторы, которые также являются присяжными блюстителями порядка, проводят операции в полевых условиях, такие как пешее наблюдение или наблюдение за транспортными средствами, операции под прикрытием, выдачу ордеров на обыск и аресты. Наконец, следователей часто вызывают в суд для дачи показаний относительно их расследований и выводов.
Аналитики данных
Аналитики данных выявляют доказательства преступного поведения, растраты и злоупотреблений, изучая и находя закономерности в больших объемах общедоступных данных. Современные технологии позволили накопить огромное количество компьютеризированных записей, от телефонных расходов до квитанций по кредитным картам и от банковских записей до использования платных площадок. Аналитик данных может использовать эту информацию для обнаружения пропавших субъектов, потерянных средств или выявления правонарушителей. По мере выявления моделей поведения аналитик данных может посоветовать исследователю, какие места ему следует осматривать или с какими субъектами он должен беседовать. Аналитика данных повышает эффективность расследования, концентрируя усилия на нужных объектах и избегая дорогостоящих расследований по ложным следам. Кроме того, выявляя слабые места в системе или отдельных лиц, проявляющих необычные модели поведения, аналитики данных позволяют следователю более активно начинать расследование, избегая необходимости полагаться на потенциально ненадежных информаторов.
Следователи цифровой криминалистики
Следователь цифровой криминалистики исследует и обыскивает компьютеры и другие носители информации в поисках доказательств преступных и других правонарушений. Большинство людей в современном обществе пользуются преимуществами технической революции, ежедневно используя компьютеры, смартфоны и другие устройства, которые помогают им в личной и профессиональной жизни. Современный преступник ничем не отличается. По мере того, как все больше и больше преступников используют эти устройства, потребность в их проверке для компромата возрастает. Цифровые криминалисты ищут на этих устройствах любую информацию, которая может быть использована против ответчика, будь то контактная информация, записи звонков и текстовых сообщений или даже компрометирующие фотографии преступных действий. Часто эти устройства зашифрованы и защищены паролем. Может даже потребоваться специалист по цифровой криминалистике, чтобы взломать коды доступа или расшифровать материалы, хранящиеся на цифровом устройстве. Это сложная работа, но она становится все более важной в борьбе с мошенничеством, расточительством и коррупцией.
Аудитор-расследователь
В Департаменте расследований, как и во многих других правоохранительных органах, работает все больше аудиторов-расследователей. В делах, связанных со все более сложными и изощренными схемами кражи денег у жителей города Нью-Йорка, аудиторы-расследователи играют решающую роль в расследовании. Аудиторы могут определить, как были украдены средства, куда делись украденные средства, что с ними делали и как скрывалось преступление. Хороший аудитор подскажет следователю, где искать, кого опрашивать и какие вопросы задавать. Наконец, аудиторы-расследователи играют жизненно важную роль в судебном преследовании преступников. Успешная проверка часто является разницей между признанием вины и оправдательным приговором после суда. Аудиторам-расследователям часто приходится объяснять свои выводы не только надзорным органам, но и присяжным. Поскольку они являются экспертами в своей области, аудиторы-расследователи часто дают показания, которые приводят к осуждению.
Читайте также: