Počítačová forenzní - Computer forensics

Část série na
Forenzní věda
Fyziologický Antropologie Biologie Analýza vzorků krvavých skvrn Zubní lékařství Fenotypizace DNA Profilování DNA Entomologie Epidemiologie Limnologie Lék Palynologie Patologie Podiatrie Toxikologie
Sociální Psychiatrie Psychologie Psychoterapie Sociální práce
Kriminalistika Účetnictví Identifikace těla Chemie Kolorimetrie Volební forenzní Rekonstrukce obličeje Analýza otisků prstů Zkouška střelnou zbraní Důkazy o obuvi Forenzní umění Profilování Analýza otisků prstů Analýza otisku dlaně Dotazovaná zkouška dokumentu Shoda žíly Forenzní geofyzika Forenzní geologie
Digitální forenzní Počítačové zkoušky Analýza dat Studie databáze Analýza malwaru Mobilní zařízení Síťová analýza Fotografování Video analýza Zvuková analýza
Související disciplíny Elektrotechnika Inženýrství Vyšetřování požáru Detekce požáru Fraktografie Lingvistika Materiálové inženýrství Polymerní inženýrství Statistika Rekonstrukce dopravní kolize
Související články Místo činu CSI efekt Syndrom Perryho Masona Pyl kalendář Značka smykem Stopové důkazy Využití DNA ve forenzní entomologii
Obrys Kategorie
proti t E

Počítačová forenzní analýza se neomezuje pouze na počítačová média

Počítačová forenzní věda (také známá jako počítačová forenzní věda ) je odvětví digitální forenzní vědy týkající se důkazů nalezených v počítačích a digitálních paměťových médiích . Cílem počítačové forenzní analýzy je zkoumat digitální média soudně spolehlivým způsobem s cílem identifikovat, uchovat, obnovit, analyzovat a prezentovat fakta a názory na digitální informace.

I když je nejčastěji spojována s vyšetřováním nejrůznějších počítačových zločinů , lze počítačovou forenzní analýzu použít i v občanskoprávních řízeních. Disciplína zahrnuje podobné techniky a principy jako obnova dat , ale s dalšími pokyny a postupy určenými k vytvoření právní auditovací stopy .

Důkazy z počítačového forenzního vyšetřování obvykle podléhají stejným pokynům a postupům jako jiné digitální důkazy. Používá se v řadě významných případů a v amerických a evropských soudních systémech se stává široce přijímaným a spolehlivým.

Přehled

Na začátku 80. let se osobní počítače staly přístupnější pro spotřebitele, což vedlo k jejich častějšímu používání při trestné činnosti (například k napomáhání podvodům ). Současně bylo rozpoznáno několik nových „počítačových zločinů“ (například crackování ). Během této doby se objevila disciplína počítačové forenzní techniky jako metody obnovy a vyšetřování digitálních důkazů pro použití u soudu. Od té doby počítačová kriminalita a počítačová kriminalita vzrostly a mezi lety 2002 a 2003 vzrostly o 67%. Dnes se používá k vyšetřování široké škály trestných činů, včetně dětské pornografie , podvodů, špionáže , počítačového pronásledování , vražd a znásilnění. Disciplína také vystupuje v civilním řízení jako forma shromažďování informací (například elektronický objev )

Forenzní techniky a odborné znalosti se používají k vysvětlení současného stavu digitálního artefaktu , jako je počítačový systém, paměťové médium (např. Pevný disk nebo CD-ROM ) nebo elektronický dokument (např. E-mailová zpráva nebo obrázek JPEG). Rozsah forenzní analýzy se může lišit od jednoduchého vyhledávání informací až po rekonstrukci řady událostí. V knize Computer Forensics z roku 2002 autoři Kruse a Heiser definují počítačovou forenzní metodu jako „uchovávání, identifikaci, extrakci, dokumentaci a interpretaci počítačových dat“. Dále popisují tuto disciplínu jako „více umění než vědu“, což naznačuje, že forenzní metodologie je podložena flexibilitou a rozsáhlými znalostmi oboru. Přestože lze k získání důkazů z daného počítače použít několik metod, strategie používané donucovacími orgány jsou poměrně rigidní a postrádají flexibilitu v civilním světě.

Použijte jako důkaz

U soudu podléhají počítačové forenzní důkazy obvyklým požadavkům na digitální důkazy . To vyžaduje, aby informace byly autentické, spolehlivě získané a přípustné. Různé země mají specifické pokyny a postupy pro získávání důkazů. Ve Spojeném království se zkoušející často řídí pokyny Asociace hlavních policejních důstojníků, které pomáhají zajistit autenticitu a integritu důkazů. Ačkoli jsou pokyny dobrovolné, jsou u britských soudů široce přijímány.

Počítačová forenzní praxe se v trestním právu používá jako důkaz od poloviny 80. let, některé pozoruhodné příklady zahrnují:

• BTK Killer: Dennis Rader byl usvědčen z řady sériových vražd, ke kterým došlo po dobu šestnácti let. Ke konci tohoto období Rader poslal policii dopisy na disketě. Metadata v dokumentech obsahovala autora jménem „Dennis“ v „Christ Lutheran Church“; tento důkaz pomohl vést k Raderovu zatčení.
• Joseph Edward Duncan : Tabulka získaná z Duncanova počítače obsahovala důkazy, které mu ukázaly plánování jeho zločinů. Prokurátoři používal toto ukázat, promyšlenost a zajistěte trest smrti .
• Sharon Lopatka : Stovky e-mailů na Lopatčině počítači vedly vyšetřovatele k jejímu vrahovi Robertu Glassovi.
• Skupina Corcoran : Tento případ potvrdil povinnosti stran uchovávat digitální důkazy, když byly zahájeny soudní spory nebo je důvodně očekáváno. Pevné disky byly analyzovány počítačovým soudním znalcem, který nemohl najít relevantní e-maily, které by obžalovaní měli mít. Ačkoli znalec nenašel žádné důkazy o vymazání na pevných discích, vyšly důkazy o tom, že bylo zjištěno, že obžalovaní úmyslně zničili e-maily, a uvedli v omyl a nepředali žalobcům a soudu podstatné skutečnosti.
• Dr. Conrad Murray : Dr. Conrad Murray, lékař zesnulého Michaela Jacksona , byl částečně odsouzen digitálními důkazy na svém počítači. Tento důkaz zahrnoval lékařskou dokumentaci ukazující smrtelné množství propofolu .

Soudní proces

Přenosný blokovač zápisu Tableau připojený k pevnému disku

Počítačové forenzní vyšetřování obvykle sleduje standardní digitální forenzní proces nebo fáze, kterými jsou získávání, zkoumání, analýza a podávání zpráv. Vyšetřování se provádí spíše na statických datech (tj. Získaných obrázcích ) než na „živých“ systémech. Jedná se o změnu oproti rané forenzní praxi, kdy nedostatek speciálních nástrojů vedl k tomu, že vyšetřovatelé běžně pracují na živých datech.

Techniky

Během počítačových forenzních vyšetřování se používá řada technik a hodně bylo napsáno o mnoha technikách používaných zejména donucovacími orgány.

Cross-drive analýza

Forenzní technika, která koreluje informace nalezené na více pevných discích . Proces, který je stále předmětem výzkumu, lze použít k identifikaci sociálních sítí ak provedení detekce anomálií .

Živá analýza

Zkoumání počítačů z operačního systému pomocí vlastní forenzní techniky nebo existujících nástrojů sysadmin k získání důkazů. Tato praxe je užitečná například při práci se systémy šifrování souborů , kde lze shromažďovat šifrovací klíče a v některých případech lze svazek logického pevného disku zobrazit (známý jako živá akvizice) před vypnutím počítače.

Smazané soubory

Běžnou technikou používanou v počítačové forenzní praxi je obnova odstraněných souborů. Moderní forenzní software má své vlastní nástroje pro obnovu nebo vybrání smazaných dat. Většina operačních systémů a souborových systémů ne vždy vymaže data fyzických souborů, což vyšetřovatelům umožní rekonstruovat je ze sektorů fyzických disků . Vyřezávání souborů zahrnuje hledání známých záhlaví souborů v obrazu disku a rekonstrukci odstraněných materiálů.

Stochastická forenzní praxe

Metoda, která využívá stochastické vlastnosti počítačového systému k vyšetřování činností bez digitálních artefaktů. Jeho hlavním využitím je vyšetřování krádeží dat .

Steganografie

Jednou z technik používaných ke skrytí dat je steganografie, proces skrývání dat uvnitř obrázku nebo digitálního obrazu. Příkladem může být skrytí pornografických obrazů dětí nebo jiných informací, které daný zločinec nechce objevit. Odborníci na počítačovou forenzní techniku ​​s tím mohou bojovat tím, že se podívají na hash souboru a porovnávají ho s původním obrazem (pokud je k dispozici.) Zatímco se obrazy při vizuální kontrole zdají identické, hash se mění se změnami dat.

Těkavá data

Těkavá data jsou všechna data, která jsou uložena v paměti nebo existují při přenosu a která budou ztracena, když počítač ztratí napájení nebo je vypnutý. Těkavá data jsou uložena v registrech, mezipaměti a paměti RAM (RAM). Vyšetřování těchto těkavých údajů se nazývá „živá forenzní analýza“.

Pokud je stroj zabaven, pokud je počítač stále aktivní, mohou být ztraceny veškeré informace uložené pouze v paměti RAM, které nebyly obnoveny před vypnutím. Jednou z aplikací „živé analýzy“ je obnovit data RAM (například pomocí nástroje Microsoft COFEE , WinDD, WindowsSCOPE ) před odstraněním exponátu. CaptureGUARD Gateway obchází přihlášení systému Windows pro uzamčené počítače, což umožňuje analýzu a získávání fyzické paměti na uzamčeném počítači.

RAM lze analyzovat na předchozí obsah po ztrátě energie, protože elektrický náboj uložený v paměťových buňkách se časově rozptýlí, což je efekt využívaný útokem studeného startu . Doba, po kterou jsou data obnovitelná, se prodlužuje nízkými teplotami a vyšším napětím článků. Udržování bezmotorové paměti RAM pod -60 ° C pomáhá zachovat zbytková data řádově, což zvyšuje šance na úspěšné obnovení. To však může být nepraktické během terénní zkoušky.

Některé z nástrojů potřebných k extrakci těkavých dat však vyžadují, aby byl počítač ve forenzní laboratoři, a to jak k udržení legitimního řetězce důkazů, tak k usnadnění práce na stroji. Je-li to nutné, donucovací orgány aplikují techniky pro přesun živého běžícího stolního počítače. Mezi ně patří i jiggler na myši , který malými pohyby pohybuje myší rychle a zabraňuje náhodnému usnutí počítače. Během přepravy obvykle dodává energii nepřerušitelný zdroj napájení (UPS).

Jedním z nejjednodušších způsobů, jak zachytit data, je však skutečné uložení dat RAM na disk. Různé souborové systémy, které mají žurnálovací funkce, jako je NTFS a ReiserFS, udržují velkou část dat RAM na hlavním úložném médiu během provozu a tyto soubory stránek lze znovu sestavit a rekonstruovat to, co bylo v té době v RAM.

Analytické nástroje

Pro počítačové forenzní vyšetřování existuje řada otevřených zdrojů a komerčních nástrojů. Typická forenzní analýza zahrnuje manuální kontrolu materiálu na médiu, kontrolu podezřelých informací v registru Windows, hledání a prolomení hesel, vyhledávání klíčových slov souvisejících s trestným činem a extrahování e-mailů a obrázků ke kontrole. Autopsy (software) , Belkasoft Evidence Center , COFEE , EnCase jsou některé z nástrojů používaných v digitální forenzní oblasti.

Certifikace

Existuje několik počítačových forenzních certifikací, jako je ISFCE Certified Computer Examiner, Digital Forensics Investigation Professional (DFIP) a IACRB Certified Computer Forensics Examiner.

Nezávislá certifikace nejvyššího prodejce (zejména v rámci EU) je považována za [ CCFP - Certified Cyber ​​Forensics Professional [1] ].

Jiní, kteří stojí za zmínku pro USA nebo APAC, jsou: Mezinárodní asociace počítačových vyšetřovacích specialistů nabízí program Certified Computer Examiner .

International Society of Forensic Computer Examiners nabízí program Certified Computer Examiner .

Mnoho komerčních forenzních softwarových společností nyní také nabízí proprietární certifikace svých produktů. Například Guidance Software nabízející certifikaci (EnCE) na svém nástroji EnCase, AccessData nabízející certifikaci (ACE) na svém nástroji FTK, PassMark Software nabízející certifikaci na svém nástroji OSForensics a certifikace X-Ways Software Technology (X-PERT) pro jejich software, X-Ways Forensics.

Viz také

• Certifikovaný počítačový examinátor
• Certifikovaný soudní vyšetřovatel počítačů
• Counter forensics
• Kryptoanalýza
• Remanence dat
• Šifrování disku
• Šifrování
• Skrytý soubor a skrytý adresář
• Audit informačních technologií
• Časy MAC
• Steganalýza
• USA v. Arnold

Reference

Další čtení

• Praktický průvodce počítačovou forenzní technikou, první vydání (brožovaný), David Benton (autor), Frank Grindstaff (autor)
• Casey, Eoghan; Stellatos, Gerasimos J. (2008). "Dopad šifrování celého disku na digitální forenzní analýzu". Recenze operačních systémů . 42 (3): 93–98. CiteSeerX  10.1.1.178.3917 . doi : 10.1145 / 1368506.1368519 .
• YiZhen Huang; YangJing Long (2008). "Rozpoznávání demosaikingu s aplikacemi v ověřování digitálních fotografií na základě kvadratického pixelového korelačního modelu" (PDF) . Proc. Konference IEEE o počítačovém vidění a rozpoznávání vzorů : 1–8. Archivovány z původního (PDF) 17. 06. 2010 . Citováno 2009-12-18 .
• Incident Response and Computer Forensics, Second Edition (Paperback) Chris Prosise (autor), Kevin Mandia (autor), Matt Pepe (autor) „Pravda je cizí než fikce ...“ (více)
• Ross, S .; Gow, A. (1999). Digitální archeologie? Záchrana zanedbaných nebo poškozených datových zdrojů (PDF) . Bristol & London: British Library and Joint Information Systems Committee. ISBN 978-1-900508-51-3.
• George M. Mohay (2003). Počítačová a vniknutí forenzní . Artech House. p. 395. ISBN 978-1-58053-369-0.
• Chuck Easttom (2013). Forenzní systém, vyšetřování a reakce . Jones & Bartlett. p. 318. ISBN 978-1284031058. Archivovány od originálu dne 2013-06-14 . Citováno 2013-09-23 .

Související deníky

• Transakce IEEE v oblasti forenzní informace a bezpečnosti
• Journal of Digital Forensics, Security and Law
• International Journal of Digital Crime and Forensics
• Journal of Digital Investigation
• International Journal of Digital Evidence
• International Journal of Forensic Computer Science
• Journal of Digital Forensic Practice
• Kryptologie
• Forenzní deník malých digitálních zařízení