Фраза дня: компьютерная криминалистика (кибер-криминалистика)

Что такое компьютерная криминалистика?
Компьютерная криминалистика - это применение методов расследования и анализа для сбора и сохранения доказательств с определенного компьютерного устройства таким образом, чтобы это было удобно для представления в суде. Цель компьютерной криминалистики - провести структурированное расследование и поддерживать задокументированную цепочку доказательств, чтобы точно выяснить, что произошло на компьютерном устройстве и кто за это отвечал.

Компьютерная криминалистика, по сути, представляет собой восстановление данных с соблюдением требований законодательства, позволяющих сделать информацию приемлемой для судебного разбирательства. Термины «цифровая судебная экспертиза» и «кибер-криминалистика» часто используются как синонимы компьютерной криминалистики.

Цифровая криминалистика начинается со сбора информации таким образом, чтобы сохранить ее целостность. Затем следователи анализируют данные или систему, чтобы определить, были ли они изменены, как они были изменены и кто внес изменения. Использование компьютерной криминалистики не всегда связано с преступлением. Криминалистический процесс также используется как часть процессов восстановления данных для сбора данных с вышедшего из строя сервера, неисправного диска, переформатированной операционной системы (ОС) или другой ситуации, когда система неожиданно перестала работать.

Почему важна компьютерная криминалистика?
В системе гражданского и уголовного правосудия компьютерная криминалистика помогает обеспечить целостность цифровых доказательств, представленных в судебных делах. Поскольку компьютеры и другие устройства для сбора данных все чаще используются во всех сферах жизни, цифровые доказательства - и судебно-медицинский процесс, используемый для их сбора, сохранения и расследования - стали более важными для раскрытия преступлений и других юридических вопросов.

Обычный человек никогда не видит большую часть информации, которую собирают современные устройства. Например, компьютеры в автомобилях непрерывно собирают информацию о том, когда водитель тормозит, переключает и меняет скорость без ведома водителя. Однако эта информация может оказаться критически важной при раскрытии юридического вопроса или преступления, и компьютерная криминалистика часто играет роль в выявлении и сохранении этой информации.

Цифровые доказательства полезны не только для раскрытия преступлений в цифровом мире, таких как кража данных, нарушения сети и незаконные онлайн-транзакции. Он также используется для раскрытия преступлений в физическом мире, таких как кража со взломом, нападение, аварии и убийства.

Компании часто используют стратегию многоуровневого управления данными, управления данными и сетевой безопасности для обеспечения безопасности конфиденциальной информации. Наличие хорошо управляемых и безопасных данных может помочь упростить судебно-медицинский процесс, если эти данные когда-либо станут предметом расследования.

Компании также используют компьютерную криминалистику для отслеживания информации, связанной с взломом системы или сети, которая может использоваться для выявления и преследования кибер-злоумышленников. Компании также могут использовать экспертов и процессы в области цифровой криминалистики, чтобы помочь им в восстановлении данных в случае сбоя системы или сети, вызванного стихийным бедствием или другим бедствием.

Виды компьютерной криминалистики
Существуют различные виды компьютерных судебно-медицинских экспертиз. Каждый имеет дело с определенным аспектом информационных технологий. Некоторые из основных типов включают следующее:

• Криминалистическая экспертиза баз данных. Изучение информации, содержащейся в базах данных, как данных, так и связанных с ними метаданных.
• Электронная экспертиза. Восстановление и анализ электронных писем и другой информации, содержащейся на почтовых платформах, например расписаний и контактов.
• Криминалистика вредоносного ПО. Просеивание кода для выявления возможных вредоносных программ и анализ их полезной нагрузки. Такие программы могут включать троянских коней, программы-вымогатели или различные вирусы.
• Криминалистическая экспертиза памяти. Сбор информации, хранящейся в оперативной памяти (ОЗУ) и кеш-памяти компьютера.
• Мобильная криминалистика. Исследование мобильных устройств для извлечения и анализа содержащейся в них информации, включая контакты, входящие и исходящие текстовые сообщения, изображения и видеофайлы.
• Сетевая криминалистика. Поиск доказательств путем мониторинга сетевого трафика с использованием таких инструментов, как межсетевой экран или система обнаружения вторжений.

Как работает компьютерная криминалистика?
Судебные следователи обычно следуют стандартным процедурам, которые различаются в зависимости от контекста судебного расследования, исследуемого устройства или информации, которую ищут следователи. Как правило, эти процедуры включают следующие три этапа:

1. Сбор информации. Информация, хранящаяся в электронном виде, должна собираться таким образом, чтобы сохранить ее целостность. Это часто связано с физической изоляцией исследуемого устройства, чтобы гарантировать, что оно не может быть случайно заражено или взломано. Эксперты делают цифровую копию носителя данных устройства, также называемую криминалистическим изображением, а затем помещают исходное устройство в сейф или другое безопасное место, чтобы сохранить его в первозданном виде. Исследование ведется по электронной копии. В других случаях общедоступная информация может использоваться для криминалистических целей, например, публикации в Facebook или публичные сборы Venmo за покупку незаконных продуктов или услуг, отображаемых на веб-сайте Vicemo.
2. Анализ. Следователи анализируют цифровые копии носителей информации в стерильной среде, чтобы собрать информацию по делу. Для помощи в этом процессе используются различные инструменты, в том числе Autopsy от Basis Technology для исследования жестких дисков и анализатор сетевых протоколов Wireshark. Манипулятор мыши полезен при осмотре компьютера, чтобы не дать ему заснуть и не потерять данные энергозависимой памяти, которые теряются, когда компьютер переходит в спящий режим или теряет питание.
3. Презентация. Судебные следователи представляют свои выводы в ходе судебного разбирательства, где судья или присяжные используют их для определения результата судебного процесса. В случае восстановления данных судебно-медицинские эксперты представляют, что они смогли восстановить из взломанной системы.

Методы, которые используют судебные следователи
Следователи используют различные методы и проприетарные криминалистические приложения для изучения сделанной ими копии взломанного устройства. Они ищут в скрытых папках и нераспределенном дисковом пространстве копии удаленных, зашифрованных или поврежденных файлов. Любые доказательства, обнаруженные на цифровой копии, тщательно документируются в отчете о обнаружении и проверяются с помощью оригинального устройства при подготовке к судебным разбирательствам, которые включают обнаружение, показания или фактическое судебное разбирательство.

Компьютерные криминалистические расследования используют сочетание методов и экспертных знаний. Некоторые распространенные техники включают следующее:

• Обратная стеганография. Стеганография - это распространенная тактика, используемая для сокрытия данных внутри любого типа цифрового файла, сообщения или потока данных. Эксперты по компьютерной криминалистике отменили попытку стеганографии, проанализировав хеширование данных, содержащихся в рассматриваемом файле. Если киберпреступник скрывает важную информацию внутри изображения или другого цифрового файла, он может выглядеть одинаково до и после неопытного глаза, но лежащий в основе хэш или строка данных, представляющая изображение, изменится.
• Стохастическая криминалистика. Здесь исследователи анализируют и реконструируют цифровую деятельность без использования цифровых артефактов. Артефакты - это непреднамеренные изменения данных в результате цифровых процессов. Артефакты включают в себя улики, связанные с цифровым преступлением, например, изменение атрибутов файла во время кражи данных. Стохастическая криминалистика часто используется при расследовании утечек данных, когда злоумышленник считается инсайдером, который не может оставить после себя цифровые артефакты.
• Кросс-драйв анализ. Этот метод сопоставляет и перекрестно ссылается на информацию, найденную на нескольких дисках компьютера, для поиска, анализа и сохранения информации, имеющей отношение к расследованию. События, вызывающие подозрение, сравниваются с информацией о других носителях, чтобы найти сходство и предоставить контекст. Это также известно как обнаружение аномалии.
• Живой анализ. С помощью этого метода компьютер анализируется изнутри ОС во время работы компьютера или устройства с использованием системных инструментов на компьютере. В ходе анализа рассматриваются изменчивые данные, которые часто хранятся в кеш-памяти или оперативной памяти. Многие инструменты, используемые для извлечения изменчивых данных, требуют, чтобы компьютер находился в лаборатории судебной экспертизы, чтобы поддерживать легитимность цепочки улик.
• Восстановление удаленных файлов. Этот метод включает поиск в компьютерной системе и памяти фрагментов файлов, которые были частично удалены в одном месте, но оставили следы в другом месте на машине. Это иногда называют вырезанием файла или вырезанием данных.

Как компьютерная криминалистика используется в качестве доказательства?
Компьютерная криминалистика используется в качестве доказательств правоохранительными органами, а также в уголовном и гражданском праве с 1980-х годов. Некоторые известные случаи включают следующее:

• Кража коммерческой тайны Apple. Инженер по имени Сяолан Чжан из подразделения автономных автомобилей Apple объявил о своем выходе на пенсию и сказал, что вернется в Китай, чтобы позаботиться о своей пожилой матери. Он сказал своему менеджеру, что планирует работать на производителе электронных автомобилей в Китае, что вызвало подозрения. Согласно письменным показаниям Федерального бюро расследований (ФБР), служба безопасности Apple изучила деятельность Чжана в сети компании и обнаружила, что за несколько дней до его отставки он скачал коммерческую тайну из конфиденциальных баз данных компании, к которым у него был доступ. ФБР предъявило ему обвинение в 2018 году.
• Enron. В одном из наиболее часто упоминаемых скандалов с бухгалтерским мошенничеством Enron, американская энергетическая, сырьевая и сервисная компания, ложно сообщила о доходах в миллиарды долларов до банкротства в 2001 году, нанеся финансовый ущерб многим сотрудникам и другим людям, которые инвестировали в компанию. . Компьютерные криминалисты исследовали терабайты данных, чтобы понять сложную схему мошенничества. Скандал стал важным фактором в принятии Закона Сарбейнса-Оксли 2002 года, который установил новые требования к бухгалтерскому учету для публичных компаний. Компания объявила о банкротстве в 2001 году.
• Кража коммерческой тайны Google. Энтони Скотт Левандовски, бывший руководитель Uber и Google, был обвинен в 33 пунктах кражи коммерческой тайны в 2019 году. С 2009 по 2016 год Левандовски работал в программе Google для беспилотных автомобилей, где он скачал тысячи файлов, связанных с программой. с защищенного паролем корпоративного сервера. Он ушел из Google и создал Otto, компанию по производству беспилотных грузовиков, которую Uber купил в 2016 году, как сообщает The New York Times. Левандовски признал себя виновным по одному пункту обвинения в краже коммерческой тайны и был приговорен к 18 месяцам тюремного заключения и $ 851 499 в виде штрафов и реституции. Левандовски был помилован президентом в январе 2021 года.
• Ларри Томас. Томас застрелил Рито Лламаса-Хуареса в 2016 году. Позже Томас был осужден благодаря сотням сообщений в Facebook, которые он сделал под вымышленным именем Slaughtaboi Larro. В одном из постов была фотография его с браслетом, найденная на месте преступления.
• Майкл Джексон. Следователи использовали метаданные и медицинские документы с iPhone доктора Майкла Джексона, которые показали, что доктор Конрад Мюррей прописал Джексону, который умер в 2009 году, смертельное количество лекарств.
• Микайла Манн. Манн утопила своего новорожденного ребенка в ванне своей комнаты в общежитии Манчестерского университета в 2016 году. Следователи обнаружили на ее компьютере поисковые запросы Google, содержащие фразу «домашний аборт», которая использовалась для ее осуждения.