Cyfrowa kryminalistyka - Digital forensics

Część serii na
kryminalistyka
Fizjologiczny Antropologia Biologia Analiza wzoru plam krwi Stomatologia Fenotypowanie DNA Profilowanie DNA Entomologia Epidemiologia Limnologia Medycyna Palinologia Patologia Podologia Toksykologia
Społeczny Psychiatria Psychologia Psychoterapia Praca społeczna
Kryminalistyka Księgowość Identyfikacja ciała Chemia Kolorymetria Kryminalistyka wyborcza Rekonstrukcja twarzy Analiza odcisków palców Badanie broni palnej Dowody obuwnicze Sztuki kryminalistyczne Profilowy Analiza odcisków rękawic Analiza odcisków palców Badanie kwestionowanych dokumentów Dopasowanie żył Geofizyka sądowa Geologia sądowa
Cyfrowa kryminalistyka Egzaminy komputerowe Analiza danych Badanie bazy danych Analiza złośliwego oprogramowania Urządzenia mobilne Analiza sieci Fotografia Analiza wideo Analiza dźwięku
Powiązane dyscypliny Inżynieria elektryczna Inżynieria Dochodzenie przeciwpożarowe Wykrywanie przyspieszacza ognia Fraktografia Językoznawstwo Inżynieria materiałowa Inżynieria polimerów Statystyka Rekonstrukcja kolizji drogowych
Powiązane artykuły Miejsce zbrodni Efekt CSI Zespół Perry'ego Masona Kalendarz pyłkowy Znak poślizgu Śledź dowody Wykorzystanie DNA w entomologii sądowej
Zarys Kategoria
v T mi

Zdjęcie lotnicze FLETC , gdzie w latach 80. i 90. opracowano amerykańskie standardy kryminalistyki cyfrowej

Cyfrowa kryminalistyka (czasami znana jako kryminalistyka cyfrowa ) jest gałęzią kryminalistyki obejmującą odzyskiwanie, badanie, badanie i analizę materiałów znalezionych w urządzeniach cyfrowych, często w odniesieniu do urządzeń mobilnych i przestępstw komputerowych . Termin kryminalistyka cyfrowa był pierwotnie używany jako synonim informatyki śledczej, ale rozszerzył się na badanie wszystkich urządzeń zdolnych do przechowywania danych cyfrowych . Dyscyplina ta, mająca korzenie w rewolucji komputerów osobistych końca lat siedemdziesiątych i wczesnych osiemdziesiątych, ewoluowała w sposób przypadkowy w latach dziewięćdziesiątych i dopiero na początku XXI wieku pojawiły się polityki krajowe.

Cyfrowe śledztwa kryminalistyczne mają wiele zastosowań. Najczęstszym jest poparcie lub odrzucenie hipotezy przed sądami karnymi lub cywilnymi . Sprawy karne obejmują domniemane łamanie praw, które są określone w ustawodawstwie i są egzekwowane przez policję i ścigane przez państwo, takie jak morderstwo, kradzież i napaść na daną osobę. Z drugiej strony sprawy cywilne dotyczą ochrony praw i własności osób fizycznych (często związanych ze sporami rodzinnymi), ale mogą również dotyczyć sporów umownych między podmiotami komercyjnymi, w których może być zaangażowana forma kryminalistyki cyfrowej, określana jako odkrywanie elektroniczne ( odkrywanie elektroniczne ). .

Kryminalistyka może również występować w sektorze prywatnym; np. podczas wewnętrznych dochodzeń korporacyjnych lub dochodzeń w sprawie włamań (specjalistyczne badanie charakteru i zakresu nieautoryzowanego włamania do sieci ).

Techniczny aspekt dochodzenia jest podzielony na kilka podgałęzi, odnoszących się do rodzaju zaangażowanych urządzeń cyfrowych; kryminalistyka komputerowa, kryminalistyka sieciowa , analiza danych kryminalistycznych i kryminalistyka urządzeń mobilnych . Typowy proces kryminalistyczny obejmuje zajęcie, obrazowanie kryminalistyczne (nabycie) i analizę mediów cyfrowych oraz sporządzenie raportu na temat zebranych dowodów.

Oprócz identyfikowania bezpośrednich dowodów przestępstwa, kryminalistyka cyfrowa może być wykorzystywana do przypisywania dowodów konkretnym podejrzanym, potwierdzania alibi lub oświadczeń, określania zamiarów , identyfikowania źródeł (na przykład w sprawach dotyczących praw autorskich) lub uwierzytelniania dokumentów. Dochodzenia mają znacznie szerszy zakres niż inne obszary analizy kryminalistycznej (gdzie zwykle celem jest udzielenie odpowiedzi na szereg prostszych pytań), często obejmujących złożone ramy czasowe lub hipotezy.

Historia

Przed latami siedemdziesiątymi przestępstwa związane z komputerami były rozwiązywane przy użyciu istniejących przepisów. Pierwsze przestępstwa komputerowe zostały rozpoznane w ustawie o przestępstwach komputerowych na Florydzie z 1978 r., która zawiera przepisy przeciwko nieautoryzowanej modyfikacji lub usuwaniu danych w systemie komputerowym. W ciągu następnych kilku lat wzrosła liczba popełnianych przestępstw komputerowych, a uchwalono przepisy dotyczące praw autorskich , prywatności/nękania (np. cybernękanie , happy slapping , cyberprześladowanie , internetowe drapieżniki ) oraz pornografię dziecięcą . Dopiero w latach 80. prawo federalne zaczęło uwzględniać przestępstwa komputerowe. Kanada była pierwszym krajem, który uchwalił ustawodawstwo w 1983 r. Następnie w 1986 r. pojawiła się amerykańska federalna ustawa o oszustwach i nadużyciach komputerowych , australijskie poprawki do ich ustaw o przestępstwach w 1989 r. i brytyjska ustawa o nadużyciach komputerowych w 1990 r.

Lata 80.-1990.: Wzrost pola

Wzrost przestępczości komputerowej w latach 80. i 90. spowodował, że organy ścigania zaczęły tworzyć wyspecjalizowane grupy, zwykle na szczeblu krajowym, zajmujące się technicznymi aspektami dochodzeń. Na przykład w 1984 roku FBI uruchomiła Komputerowa analiza i zespół reagowania i kolejnego roku wydział kryminalny komputer został ustanowiony w ramach brytyjskiej Metropolitan Police oszustwa drużyny. Wielu z pierwszych członków tych grup było nie tylko specjalistami od organów ścigania, ale także hobbystami komputerowymi i stało się odpowiedzialne za wstępne badania i kierunki w tej dziedzinie.

Jednym z pierwszych praktycznych (a przynajmniej nagłośnionych) przykładów cyfrowej kryminalistyki było pogoń Cliffa Stolla za hakerem Markusem Hessem w 1986 roku. Stoll, którego dochodzenie wykorzystywało komputerowe i sieciowe techniki kryminalistyczne, nie był wyspecjalizowanym śledczym. Wiele najwcześniejszych badań kryminalistycznych miało ten sam profil.

Przez całe lata 90. istniało duże zapotrzebowanie na te nowe, podstawowe zasoby śledcze. Obciążenie jednostek centralnych prowadzi do tworzenia regionalnych, a nawet lokalnych grup na poziomie, które pomagają radzić sobie z obciążeniem. Na przykład brytyjska Narodowa Jednostka ds. Przestępczości Hi-Tech została utworzona w 2001 r. w celu zapewnienia krajowej infrastruktury dla przestępczości komputerowej; z personelem zlokalizowanym zarówno w centrum Londynu, jak i różnymi regionalnymi siłami policyjnymi (jednostka została złożona w 2006 r. do Agencji ds. Poważnej Przestępczości Zorganizowanej (SOCA) ).

W tym okresie nauka o kryminalistyce cyfrowej wyrosła z doraźnych narzędzi i technik opracowanych przez tych hobbystów. Jest to w przeciwieństwie do innych dyscyplin kryminalistyki, które rozwinęły się z pracy społeczności naukowej. Dopiero w 1992 r. w literaturze akademickiej użyto terminu „komputerowa kryminalistyka” (choć wcześniej używano go nieformalnie); artykuł Colliera i Spaula próbował uzasadnić tę nową dyscyplinę w świecie medycyny sądowej. Ten szybki rozwój spowodował brak standaryzacji i szkolenia. W swojej książce z 1995 roku „ High-Technology Crime: Investigating Cases Involving Computers ” K. Rosenblatt napisał:

Przechwytywanie, zabezpieczanie i analizowanie dowodów przechowywanych na komputerze to największe wyzwanie kryminalistyczne stojące przed organami ścigania w latach 90. XX wieku. Chociaż większość badań kryminalistycznych, takich jak pobieranie odcisków palców i testy DNA, są wykonywane przez specjalnie przeszkolonych ekspertów, zadanie zbierania i analizowania dowodów komputerowych często powierza się funkcjonariuszom patrolowym i detektywom.

2000s: Rozwój standardów

Od 2000 r. w odpowiedzi na potrzebę standaryzacji różne organy i agencje opublikowały wytyczne dotyczące kryminalistyki cyfrowej. Naukowa Grupa Robocza ds cyfrowej Evidence (SWGDE) wyprodukowany w 2002 roku dokument „ Najlepsze praktyki dla Computer Forensics ” Następnie, w 2005 roku, przez opublikowanie ISO normy ( ISO 17025 , Ogólne wymagania dotyczące kompetencji testowania i kalibracji laboratoria ). W 2004 r. wszedł w życie wiodący europejski traktat międzynarodowy, Konwencja o cyberprzestępczości , mający na celu pogodzenie krajowych przepisów dotyczących przestępczości komputerowej, technik śledczych i współpracy międzynarodowej. Traktat został podpisany przez 43 kraje (w tym USA, Kanadę, Japonię, RPA, Wielką Brytanię i inne kraje europejskie) i ratyfikowany przez 16.

Zwrócono również uwagę na kwestię szkoleń. Firmy komercyjne (często twórcy oprogramowania kryminalistycznego) zaczęły oferować programy certyfikacyjne, a cyfrowa analiza śledcza została uwzględniona jako temat w specjalistycznym ośrodku szkoleniowym dla śledczych w Wielkiej Brytanii, Centrex .

Od końca lat 90. urządzenia mobilne stały się szerzej dostępne, wykraczając poza zwykłe urządzenia komunikacyjne, i okazały się bogatymi formami informacji, nawet w przypadku przestępstw, które tradycyjnie nie są kojarzone z kryminalistyki cyfrowej. Mimo to cyfrowa analiza telefonów pozostaje w tyle za tradycyjnymi mediami komputerowymi, głównie z powodu problemów związanych z zastrzeżonym charakterem urządzeń.

Nacisk położono również na przestępczość internetową, w szczególności na ryzyko wojny cybernetycznej i cyberterroryzmu . W lutym 2010 r. raport Połączonych Sił Zbrojnych Stanów Zjednoczonych stwierdził:

Poprzez cyberprzestrzeń wrogowie będą atakować przemysł, środowisko akademickie, rząd, a także wojsko w przestrzeni powietrznej, lądowej, morskiej i kosmicznej. W podobny sposób, w jaki siły powietrzne przekształciły pole bitwy II wojny światowej, cyberprzestrzeń przełamała fizyczne bariery, które chronią naród przed atakami na jego handel i komunikację.

Dziedzina kryminalistyki cyfrowej wciąż boryka się z nierozwiązanymi problemami. Artykuł z 2009 roku, „Digital Forensic Research: The Good, the Bad and the Unaddressed”, autorstwa Petersona i Shenoi, zidentyfikował stronniczość wobec systemów operacyjnych Windows w badaniach z zakresu kryminalistyki cyfrowej. W 2010 r. Simson Garfinkel zidentyfikował problemy, przed którymi w przyszłości staną dochodzenia cyfrowe, w tym rosnący rozmiar mediów cyfrowych, szeroka dostępność szyfrowania dla konsumentów, rosnąca różnorodność systemów operacyjnych i formatów plików, rosnąca liczba osób posiadających wiele urządzeń oraz przepisy prawne. ograniczenia dla badaczy. W artykule zidentyfikowano również problemy z ciągłym szkoleniem, a także zaporowo wysoki koszt wejścia w teren.

Rozwój narzędzi kryminalistycznych

W latach 80. istniało bardzo niewiele specjalistycznych cyfrowych narzędzi kryminalistycznych, w związku z czym badacze często przeprowadzali analizę na żywo na nośnikach, badając komputery z poziomu systemu operacyjnego przy użyciu istniejących narzędzi sysadmin w celu wyodrębnienia dowodów. Praktyka ta niosła ze sobą ryzyko nieumyślnej lub innej modyfikacji danych na dysku, co doprowadziło do roszczeń o manipulowanie dowodami. W celu rozwiązania tego problemu na początku lat 90. powstało wiele narzędzi.

Zapotrzebowanie na takie oprogramowanie zostało po raz pierwszy dostrzeżone w 1989 roku w Federalnym Centrum Szkoleniowym dla Egzekwowania Prawa , co zaowocowało stworzeniem IMDUMP (przez Michaela White'a), a w 1990 roku SafeBack (opracowanego przez Sydex). Podobne oprogramowanie zostało opracowane w innych krajach; DIBS (rozwiązanie sprzętowo-programowe) został wydany komercyjnie w Wielkiej Brytanii w 1991 roku, a Rob McKemmish udostępnił australijskie organy ścigania bezpłatnie Fixed Disk Image . Narzędzia te pozwoliły egzaminatorom stworzyć dokładną kopię nośnika cyfrowego do pracy, pozostawiając oryginalny dysk do weryfikacji. Pod koniec lat 90., wraz ze wzrostem zapotrzebowania na dowody cyfrowe, opracowano bardziej zaawansowane narzędzia komercyjne, takie jak EnCase i FTK , umożliwiające analitykom badanie kopii mediów bez korzystania z kryminalistyki na żywo. Ostatnio pojawił się trend w kierunku „śledczej analizy pamięci na żywo”, co spowodowało dostępność narzędzi takich jak WindowsSCOPE .

Ostatnio ten sam postęp w rozwoju narzędzi miał miejsce dla urządzeń mobilnych ; początkowo śledczy uzyskiwali dostęp do danych bezpośrednio na urządzeniu, ale wkrótce pojawiły się specjalistyczne narzędzia, takie jak XRY czy Radio Tactics Aceso.

Proces kryminalistyczny

Przenośny bloker zapisu Tableau podłączony do dysku twardego

Cyfrowe śledztwo kryminalistyczne zwykle składa się z 3 etapów: pozyskiwania lub obrazowania eksponatów, analizy i raportowania. Idealnie akwizycja obejmuje przechwytywanie obrazu pamięci ulotnej (RAM) komputera i tworzenie dokładnego duplikatu na poziomie sektora (lub „duplikatu sądowego”) nośnika, często przy użyciu urządzenia blokującego zapis , aby zapobiec modyfikacji oryginału. Jednak wzrost rozmiarów nośników danych i rozwój, taki jak przetwarzanie w chmurze, doprowadziły do ​​większego wykorzystania pozyskiwania danych „na żywo”, dzięki czemu uzyskiwana jest „logiczna” kopia danych, a nie pełny obraz fizycznego urządzenia pamięci masowej. Zarówno uzyskany obraz (lub kopia logiczna), jak i oryginalne nośniki/dane są haszowane (przy użyciu algorytmu takiego jak SHA-1 lub MD5 ), a wartości są porównywane w celu sprawdzenia, czy kopia jest dokładna.

Alternatywne (i opatentowane) podejście (określane jako „hybrydowa kryminalistyka” lub „rozproszona kryminalistyka”) łączy kryminalistykę cyfrową z procesami śledczymi. Podejście to zostało zawarte w narzędziu komercyjnym o nazwie ISEEK, które zostało zaprezentowane wraz z wynikami testów na konferencji w 2017 roku.

W fazie analizy śledczy odzyskuje materiał dowodowy przy użyciu wielu różnych metod i narzędzi. W 2002 roku artykuł w International Journal of Digital Evidence określił ten krok jako „dogłębne, systematyczne przeszukiwanie dowodów związanych z podejrzeniem przestępstwa”. W 2006 roku badacz medycyny sądowej Brian Carrier opisał „intuicyjną procedurę”, w której najpierw identyfikuje się oczywiste dowody, a następnie „przeprowadza się gruntowne przeszukania, aby rozpocząć wypełnianie dziur”.

Rzeczywisty proces analizy może się różnić w zależności od dochodzeń, ale powszechne metodologie obejmują przeprowadzanie wyszukiwania słów kluczowych w mediach cyfrowych (w plikach, a także w nieprzydzielonym i wolnym miejscu ), odzyskiwanie usuniętych plików i wyodrębnianie informacji z rejestru (na przykład w celu wyświetlenia listy kont użytkowników lub podłączone urządzenia USB).

Odzyskane dowody są analizowane w celu zrekonstruowania zdarzeń lub działań i wyciągnięcia wniosków, pracy, którą często może wykonać mniej wyspecjalizowany personel. Po zakończeniu śledztwa dane są przedstawiane, zwykle w formie pisemnego raportu, w języku laików .

Podanie

Przykład metadanych Exif obrazu, które można wykorzystać do udowodnienia jego pochodzenia

Cyfrowa kryminalistyka jest powszechnie stosowana zarówno w prawie karnym, jak i prywatnym dochodzeniu. Tradycyjnie kojarzona jest z prawem karnym, gdzie zbierane są dowody na poparcie lub zaprzeczenie hipotezy przed sądem. Podobnie jak w przypadku innych dziedzin medycyny sądowej, jest to często część szerszego śledztwa obejmującego wiele dyscyplin. W niektórych przypadkach zebrany materiał dowodowy jest wykorzystywany jako forma zbierania informacji wywiadowczych, wykorzystywany do innych celów niż postępowanie sądowe (np. do zlokalizowania, zidentyfikowania lub powstrzymania innych przestępstw). W rezultacie zbieranie informacji wywiadowczych jest czasami utrzymywane według mniej rygorystycznych standardów kryminalistycznych.

W sprawach cywilnych lub korporacyjnych kryminalistyka cyfrowa stanowi część procesu elektronicznego wykrywania (lub eDiscovery). Procedury kryminalistyczne są podobne do tych stosowanych w dochodzeniach karnych, często z różnymi wymogami prawnymi i ograniczeniami. Poza sądami kryminalistyka cyfrowa może stanowić część wewnętrznych dochodzeń korporacyjnych.

Typowym przykładem może być nieautoryzowane włamanie do sieci . Specjalistyczne badanie kryminalistyczne dotyczące charakteru i zakresu ataku przeprowadzane jest w celu ograniczenia szkód, zarówno w celu ustalenia zakresu włamania, jak i próby zidentyfikowania napastnika. Takie ataki były powszechnie przeprowadzane za pośrednictwem linii telefonicznych w latach 80., ale w epoce nowożytnej są zwykle rozpowszechniane przez Internet.

Głównym celem dochodzeń z zakresu kryminalistyki cyfrowej jest odzyskanie obiektywnych dowodów działalności przestępczej (zwanej w języku prawniczym actus reus ). Jednak różnorodny zakres danych przechowywanych w urządzeniach cyfrowych może pomóc w innych obszarach badań.

Atrybucja

Metadane i inne dzienniki mogą służyć do przypisywania działań do osoby. Na przykład dokumenty osobiste na dysku komputera mogą identyfikować jego właściciela.

Alibi i oświadczenia

Informacje dostarczone przez zaangażowane osoby można sprawdzić krzyżowo z dowodami cyfrowymi. Na przykład podczas śledztwa w sprawie morderstw w Soham alibi sprawcy zostało obalone, gdy z danych z telefonu komórkowego osoby, z którą twierdził, że była, wynikało, że w tym czasie była poza miastem.

Zamiar

Oprócz znalezienia obiektywnych dowodów popełnienia przestępstwa, śledztwo może być również wykorzystane do udowodnienia zamiaru (znanego pod terminem prawnym mens rea ). Na przykład internetowa historia skazanego zabójcy Neila Entwistle'a zawierała odniesienia do strony omawiającej Jak zabijać ludzi .

Ocena źródła

Artefakty plików i metadane mogą służyć do identyfikowania pochodzenia określonego fragmentu danych; na przykład starsze wersje programu Microsoft Word osadzały globalny unikalny identyfikator w plikach identyfikujących komputer, na którym został utworzony. Bardzo ważne może być udowodnienie, czy plik został utworzony na badanym urządzeniu cyfrowym lub uzyskany z innego źródła (np. z Internetu).

Uwierzytelnianie dokumentów

Powiązane z „Oceną źródła”, metadane związane z dokumentami cyfrowymi można łatwo modyfikować (na przykład zmieniając zegar komputera, można wpłynąć na datę utworzenia pliku). Uwierzytelnianie dokumentów dotyczy wykrywania i identyfikacji fałszowania takich danych.

Ograniczenia

Jednym z głównych ograniczeń dochodzenia kryminalistycznego jest stosowanie szyfrowania; zakłóca to wstępne badanie, w którym można zlokalizować istotne dowody za pomocą słów kluczowych. Przepisy zmuszające osoby fizyczne do ujawniania kluczy szyfrowania są wciąż stosunkowo nowe i kontrowersyjne. ale zawsze częściej pojawiają się rozwiązania, które pozwalają brute force hasła lub omijają szyfrowanie, np. w smartfonach lub komputerach PC, gdzie za pomocą technik bootloadera można najpierw pozyskać zawartość urządzenia, a następnie wymusić to w celu odnalezienia hasła lub klucza szyfrującego.

Względy prawne

Badanie mediów cyfrowych jest objęte ustawodawstwem krajowym i międzynarodowym. Zwłaszcza w przypadku dochodzeń cywilnych przepisy mogą ograniczać zdolność analityków do przeprowadzania egzaminów. Często istnieją ograniczenia dotyczące monitorowania sieci lub odczytywania wiadomości osobistych. Podczas dochodzenia karnego przepisy krajowe ograniczają ilość informacji, które można przejąć. Na przykład w Wielkiej Brytanii zajęcie dowodów przez organy ścigania reguluje ustawa PACE . W początkowym okresie swojego istnienia „Międzynarodowa Organizacja ds. Dowodów Komputerowych” (IOCE) była jedną z agencji, która pracowała nad ustanowieniem zgodnych międzynarodowych standardów dotyczących zajmowania dowodów.

W Wielkiej Brytanii te same przepisy dotyczące przestępczości komputerowej mogą również dotyczyć śledczych. Ustawa o nadużyciach komputerowych z 1990 r. zabrania nieuprawnionego dostępu do materiałów komputerowych; jest to szczególnie niepokojące dla cywilnych śledczych, którzy mają więcej ograniczeń niż egzekwowanie prawa.

Prawo jednostki do prywatności to jeden z obszarów kryminalistyki cyfrowej, który wciąż pozostaje w dużej mierze niezdecydowany przez sądy. Amerykańska Ustawa o Prywatności Komunikacji Elektronicznej nakłada ograniczenia na zdolność organów ścigania lub cywilnych śledczych do przechwytywania i dostępu do dowodów. Ustawa wprowadza rozróżnienie między komunikacją przechowywaną (np. archiwa poczty elektronicznej) a komunikacją przesyłaną (taką jak VOIP ). To ostatnie, uważane za bardziej naruszające prywatność, jest trudniejsze do uzyskania nakazu. ECPA wpływa również na zdolność firm do badania komputerów i komunikacji swoich pracowników, aspekt, który wciąż jest przedmiotem dyskusji, w jakim zakresie firma może przeprowadzać takie monitorowanie.

Artykuł 5 Europejskiej Konwencji Praw Człowieka ustanawia podobne ograniczenia prywatności jak ECPA i ogranicza przetwarzanie i udostępnianie danych osobowych zarówno w UE, jak i z krajami zewnętrznymi. Zdolność brytyjskich organów ścigania do prowadzenia dochodzeń z zakresu kryminalistyki cyfrowej jest uregulowana w ustawie o uprawnieniach dochodzeniowych .

Dowody cyfrowe

Dowody cyfrowe mogą przybierać różne formy

W przypadku wykorzystania w sądzie dowód cyfrowy podlega tym samym wytycznym prawnym, co inne formy dowodów; sądy zwykle nie wymagają bardziej rygorystycznych wytycznych. W Stanach Zjednoczonych do oceny dopuszczalności dowodów cyfrowych stosuje się federalne zasady dowodowe, brytyjskie ustawy PACE i ustawy o dowodach cywilnych mają podobne wytyczne, a wiele innych krajów ma własne przepisy. Amerykańskie przepisy federalne ograniczają konfiskaty do przedmiotów o oczywistej wartości dowodowej. Uznaje się, że nie zawsze jest to możliwe do ustalenia za pomocą mediów cyfrowych przed badaniem.

Przepisy dotyczące dowodów cyfrowych dotyczą dwóch kwestii: integralności i autentyczności. Uczciwość to zapewnienie, że czynność zajęcia i nabycia mediów cyfrowych nie modyfikuje dowodów (zarówno oryginału, jak i kopii). Autentyczność odnosi się do umiejętności potwierdzenia integralności informacji; na przykład, że nośniki obrazu pasują do oryginalnego dowodu. Łatwość, z jaką można modyfikować media cyfrowe, oznacza, że ​​dokumentowanie łańcucha opieki od miejsca przestępstwa, poprzez analizę i ostatecznie do sądu (forma ścieżki audytu ) jest ważne dla ustalenia autentyczności dowodów.

Adwokaci argumentowali, że ponieważ dowody cyfrowe można teoretycznie zmienić, podważa to wiarygodność dowodów. Sędziowie amerykańscy zaczynają odrzucać tę teorię, w sprawie US v. Bonallo sąd orzekł, że „fakt, że można zmienić dane zawarte w komputerze, jest po prostu niewystarczający, aby ustalić niewiarygodność”. W Wielkiej Brytanii przestrzega się wytycznych, takich jak te wydane przez ACPO, aby pomóc w udokumentowaniu autentyczności i integralności dowodów.

Cyfrowi śledczy, zwłaszcza w śledztwach kryminalnych, muszą upewnić się, że wnioski są oparte na dowodach faktycznych i ich własnej wiedzy eksperckiej. Na przykład w USA federalne zasady dowodowe stanowią, że wykwalifikowany ekspert może zeznawać „w formie opinii lub w inny sposób”, o ile:

(1) zeznanie jest oparte na wystarczających faktach lub danych, (2) zeznanie jest wynikiem rzetelnych zasad i metod oraz (3) świadek zastosował zasady i metody rzetelnie do stanu faktycznego sprawy.

Każdy z pododdziałów kryminalistyki cyfrowej może mieć własne szczegółowe wytyczne dotyczące prowadzenia dochodzeń i postępowania z dowodami. Na przykład może być wymagane umieszczenie telefonów komórkowych w osłonie Faradaya podczas zajęcia lub przejęcia, aby zapobiec dalszemu ruchowi radiowemu do urządzenia. W Wielkiej Brytanii badanie kryminalistyczne komputerów w sprawach karnych podlega wytycznym ACPO . Istnieją również międzynarodowe podejścia do udzielania wskazówek dotyczących postępowania z dowodami elektronicznymi. „Przewodnik po dowodach elektronicznych” Rady Europy oferuje ramy dla organów ścigania i organów sądowych w krajach, które dążą do ustanowienia lub ulepszenia własnych wytycznych dotyczących identyfikacji i postępowania z dowodami elektronicznymi.

Narzędzia śledcze

Dopuszczalność dowodów cyfrowych zależy od narzędzi użytych do ich wydobycia. W USA narzędzia kryminalistyczne podlegają standardowi Dauberta , w którym sędzia jest odpowiedzialny za zapewnienie, że stosowane procesy i oprogramowanie są akceptowalne. W artykule z 2003 r. Brian Carrier argumentował, że wytyczne Dauberta wymagają opublikowania i wzajemnej weryfikacji kodu narzędzi kryminalistycznych. Doszedł do wniosku, że „narzędzia open source mogą w bardziej przejrzysty i kompleksowy sposób spełniać wymagania wytycznych niż narzędzia z zamkniętym kodem źródłowym”. W 2011 r. Josh Brunty stwierdził, że naukowa walidacja technologii i oprogramowania związanego z przeprowadzaniem cyfrowych badań kryminalistycznych ma kluczowe znaczenie dla każdego procesu laboratoryjnego. Twierdził, że „nauka o kryminalistyce cyfrowej opiera się na zasadach powtarzalnych procesów i dowodów wysokiej jakości, dlatego wiedza o tym, jak zaprojektować i właściwie utrzymać dobry proces walidacji, jest kluczowym wymogiem dla każdego kryminalistyka cyfrowego w celu obrony swoich metod w sądzie”. "

Gałęzie

Dochodzenie w zakresie kryminalistyki cyfrowej nie ogranicza się do pobierania danych wyłącznie z komputera, ponieważ przestępcy łamią prawo, a małe urządzenia cyfrowe (np. tablety, smartfony, dyski flash) są obecnie szeroko stosowane. Niektóre z tych urządzeń mają pamięć ulotną, a niektóre mają pamięć nieulotną. Dostępne są wystarczające metodologie do pobierania danych z pamięci ulotnej, jednak brakuje szczegółowej metodologii lub struktury pobierania danych z nieulotnych źródeł pamięci. W zależności od rodzaju urządzeń, nośników lub artefaktów, śledztwo z zakresu kryminalistyki cyfrowej dzieli się na różne typy.

Informatyka śledcza

Prywatny detektyw i certyfikowany ekspert ds. medycyny sądowej wykonujący obrazowanie dysku twardego w terenie w celu przeprowadzenia badań kryminalistycznych.

Celem informatyki śledczej jest wyjaśnienie aktualnego stanu artefaktu cyfrowego; takich jak system komputerowy, nośnik pamięci lub dokument elektroniczny. Dyscyplina ta obejmuje zwykle komputery, systemy wbudowane (urządzenia cyfrowe z podstawową mocą obliczeniową i pamięcią wbudowaną) oraz pamięć statyczną (np. pendrive'y USB).

Informatyka śledcza może zajmować się szerokim zakresem informacji; od dzienników (takich jak historia Internetu) po rzeczywiste pliki na dysku. W 2007 roku prokuratorzy wykorzystali arkusz kalkulacyjny odzyskany z komputera Josepha Edwarda Duncana, aby pokazać premedytację i zabezpieczyć karę śmierci . Zabójca Sharon Lopatki został zidentyfikowany w 2006 roku po tym, jak na jej komputerze znaleziono e-maile od niego zawierające szczegóły dotyczące tortur i fantazji o śmierci.

Kryminalistyka urządzeń mobilnych

Telefony komórkowe w brytyjskiej torbie na dowody

Kryminalistyka urządzeń mobilnych to podgałęzia kryminalistyki cyfrowej związana z odzyskiwaniem dowodów cyfrowych lub danych z urządzenia mobilnego . Różni się od informatyki śledczej tym, że urządzenie mobilne będzie miało wbudowany system komunikacji (np. GSM ) i, zwykle, zastrzeżone mechanizmy przechowywania. Dochodzenia zwykle skupiają się na prostych danych, takich jak dane połączeń i komunikacji (SMS/e-mail), a nie na dogłębnym odzyskiwaniu usuniętych danych. Dane SMS z śledztwa dotyczącego urządzenia mobilnego pomogły oczyścić Patricka Lumumbę z morderstwa Meredith Kercher .

Urządzenia mobilne są również przydatne do dostarczania informacji o lokalizacji; albo z wbudowanego śledzenia GPS/lokalizacji, albo za pośrednictwem dzienników witryn komórkowych , które śledzą urządzenia w ich zasięgu. Takie informacje zostały wykorzystane do wyśledzenia porywaczy Thomasa Onofri w 2006 roku.

Kryminalistyka sieci

Network forensics zajmuje się monitorowaniem i analizą ruchu w sieci komputerowej , zarówno lokalnej , jak i WAN / Internet , w celu gromadzenia informacji, gromadzenia dowodów lub wykrywania włamań. Ruch jest zwykle przechwytywany na poziomie pakietu i albo przechowywany do późniejszej analizy, albo filtrowany w czasie rzeczywistym. W przeciwieństwie do innych obszarów cyfrowej kryminalistyki dane sieciowe są często niestabilne i rzadko rejestrowane, co sprawia, że ​​dyscyplina ta jest często reakcyjna.

W 2000 roku FBI zwabiło hakerów Aleksieja Iwanowa i Gorszkowa do Stanów Zjednoczonych na fałszywą rozmowę o pracę. Monitorując ruch sieciowy z komputerów tej pary, FBI zidentyfikowało hasła umożliwiające im zbieranie dowodów bezpośrednio z komputerów rosyjskich.

Analiza danych kryminalistycznych

Forensic Data Analysis to gałąź cyfrowej kryminalistyki. Bada uporządkowane dane w celu wykrycia i przeanalizowania wzorców oszukańczych działań wynikających z przestępstw finansowych.

Kryminalistyka baz danych

Kryminalistyka baz danych to gałąź kryminalistyki cyfrowej związana z kryminalistycznym badaniem baz danych i ich metadanych . Dochodzenia wykorzystują zawartość bazy danych, pliki dzienników i dane w pamięci RAM do tworzenia osi czasu lub odzyskiwania odpowiednich informacji.

Sztuczna inteligencja i jej rola w kryminalistyce cyfrowej

Sztuczna inteligencja (AI) to dobrze ugruntowana dziedzina, która ułatwia radzenie sobie ze złożonymi obliczeniowo i dużymi problemami. Ponieważ proces cyfrowej kryminalistyki wymaga analizy dużej ilości złożonych danych; dlatego sztuczna inteligencja jest uważana za idealne podejście do radzenia sobie z kilkoma problemami i wyzwaniami obecnie istniejącymi w kryminalistyce cyfrowej. Wśród najważniejszych pojęć w różnych systemach AI są związane z ontologią, reprezentacją i strukturalizacją wiedzy. Sztuczna inteligencja może zapewnić niezbędną wiedzę fachową i pomaga w standaryzacji, zarządzaniu i wymianie dużej ilości danych, informacji i wiedzy z dziedziny medycyny sądowej. Istniejące cyfrowe systemy kryminalistyczne nie są wydajne w zakresie zapisywania i przechowywania wszystkich tych wielu formatów danych i nie wystarczają do obsługi tak ogromnych i złożonych danych, dlatego wymagają interakcji człowieka, co oznacza, że ​​istnieje ryzyko opóźnień i błędów. Jednak dzięki innowacjom uczenia maszynowego można zapobiec występowaniu błędów lub opóźnień. System został zaprojektowany w taki sposób, aby mógł pomóc w wykrywaniu błędów, ale w znacznie szybszym tempie i z dokładnością. Kilka rodzajów badań podkreśliło rolę różnych technik sztucznej inteligencji i ich korzyści w zapewnianiu ram do przechowywania i analizowania dowodów cyfrowych. Wśród tych technik AI są uczenie maszynowe (ML), NLP, rozpoznawanie mowy i obrazu, a każda z tych technik ma swoje zalety. Na przykład ML zapewnia systemom możliwość uczenia się i doskonalenia bez wyraźnego programowania, takich jak przetwarzanie obrazu i diagnostyka medyczna. Ponadto techniki NLP pomagają w wydobywaniu informacji z danych tekstowych, np. w procesie fragmentacji plików.

Zobacz też

• Lista narzędzi kryminalistyki cyfrowej
• Cyberprzestrzeń
• Wyszukiwanie kryminalistyczne
• Słowniczek terminów kryminalistyki cyfrowej
• Zarys kryminalistyki

Bibliografia

Dalsza lektura

• Årnes, André (2018). Cyfrowa kryminalistyka . Wiley i in. Numer ISBN 978-1-119-26238-1.
• Przewoźnik, Brian D. (luty 2006). „Ryzyko analizy kryminalistycznej na żywo” . Komunikaty ACM . 49 (2): 56–61. doi : 10.1145/1113034.1113069 . ISSN  0001-0782 . S2CID  16829457 .
• Crowley, Paul. Kryminalistyka CD i DVD . Rockland, MA: Syngresja. Numer ISBN 978-1597491280.
• Kanellis, Panagiotis (1 stycznia 2006). Przestępczość cyfrowa i kryminalistyka w cyberprzestrzeni . Wydawnictwo IGI. P. 357. Numer ISBN 978-1-59140-873-4.
• Jones, Andrew (2008). Budowa Cyfrowego Laboratorium Kryminalistycznego . Butterwortha-Heinemanna. P. 312. Numer ISBN 978-1-85617-510-4.
• Marshell, Angus M. (2008). Kryminalistyka cyfrowa: dowody cyfrowe w śledztwie kryminalnym . Wileya-Blackwella. P. 148. Numer ISBN 978-0-470-51775-8.
• Sammons, John (2012). Podstawy kryminalistyki cyfrowej: podstawa do rozpoczęcia pracy w kryminalistyce cyfrowej . Syngresja. Numer ISBN 978-1597496612.

Powiązane czasopisma

• Journal of Digital Forensics, Security and Law
• International Journal of Digital Crime and Forensics
• Journal of Digital Investigation
• International Journal of Digital Evidence
• International Journal of Forensic Computer Science
• Journal of Digital Forensic Practice
• Dziennik kryminalistyki urządzeń cyfrowych na małą skalę

Zewnętrzne linki

• Naukowa grupa robocza ds. dowodów cyfrowych
• Studia przypadków z zakresu kryminalistyki cyfrowej