Процесс цифровой криминалистики

Процесс цифровой криминалистики — это признанный научный и криминалистический процесс, используемый в цифровых криминалистических расследованиях. ^{[ 1 ]}^{[ 2 ]} Исследователь-криминалист Эоган Кейси определяет это как ряд шагов от первоначального оповещения об инциденте до сообщения о результатах. ^{[ 3 ]} Этот процесс преимущественно используется в компьютерных и мобильных криминалистических расследованиях и состоит из трех этапов: сбор данных , анализ и отчетность .

Цифровые носители, изъятые для расследования, могут стать «экспонатом» в юридической терминологии, если они будут признаны «надежными». Следователи используют научный метод для восстановления цифровых доказательств в поддержку или опровержение гипотезы как в суде, так и в гражданском процессе . ^{[ 2 ]}

Персонал

Этапы процесса цифровой криминалистики требуют различной специальной подготовки и знаний. Существует два основных уровня персонала: ^{[ 3 ]}

Цифровой судебно-медицинский эксперт: Технические специалисты собирают или обрабатывают улики на местах преступлений. Эти специалисты обучены правильному обращению с технологиями (например, тому, как сохранять доказательства). От технических специалистов может потребоваться проведение «живого анализа» доказательств. Были созданы различные инструменты для упрощения этой процедуры, такие как EnCase, Velociraptor и FTK.

Эксперты по цифровым доказательствам: Эксперты специализируются на одной области цифровых доказательств; либо на широком уровне (например, компьютерная или сетевая криминалистика и т. д.), либо в качестве узкого специалиста (например, анализ изображений)

Модели процессов

Было предпринято множество попыток разработать модель процесса, но до сих пор ни одна из них не получила универсального признания. Частично причина этого может быть связана с тем, что многие модели процессов были разработаны для конкретной среды, например, правоохранительных органов, и поэтому их нельзя было легко применить в других средах, таких как реагирование на инциденты. ^{[ 4 ]} Это список основных моделей с 2001 года в хронологическом порядке: ^{[ 4 ]}

Абстрактная цифровая модель судебной экспертизы (Рейт и др., 2002 г.)
Интегрированный цифровой процесс расследования (Carrier & Spafford, 2003) [1]
Расширенная модель расследования киберпреступлений (Сиардуайн, 2004 г.)
Расширенная модель процесса цифрового расследования (Baryamureeba & Tushabe, 2004) [2]. Архивировано 1 апреля 2018 г. на Wayback Machine.
Модель цифрового анализа места преступления (Роджерс, 2004 г.)
Иерархическая, основанная на целях структура процесса цифровых расследований (Beebe & Clark, 2004).
Основы цифрового расследования (Кон и др., 2006) [3]
Четырехэтапный процесс судебно-медицинской экспертизы (Кент и др., 2006 г.)
FORZA - Структура цифрового криминалистического расследования (Ионг, 2006 г.) [4] Архивировано 8 августа 2017 г. на Wayback Machine.
Потоки процессов обучения и проведения киберкриминалистики (Вентер, 2006 г.)
Модель общего процесса (Freiling & Schwittay, (2007) [5]
Модель процесса повышения надежности двумерных доказательств (Хатир и др., 2008) Модель процесса повышения надежности двумерных доказательств для цифровой криминалистики | Запросить PDF
Система цифровых криминалистических расследований (Selamat и др., 2008 г.)
Модель систематического цифрового криминалистического расследования (SRDFIM) (Агарвал и др., 2011) (PDF) Модель систематического цифрового криминалистического расследования
Модель расширенного сбора данных (ADAM): модель процесса для цифровой судебной практики (Адамс, 2012 г.) Исследовательский портал

Захват

До проведения фактической экспертизы цифровые носители будут конфискованы. В уголовных делах этим часто занимаются сотрудники правоохранительных органов , прошедшие техническую подготовку для обеспечения сохранности доказательств. В гражданских делах это обычно будет офицер роты, часто неподготовленный. Различные законы регулируют изъятие заархивированных 21 августа 2014 г. на Wayback Machine материалов, . В уголовных делах закон, касающийся ордеров на обыск применяется . В гражданском судопроизводстве предполагается, что компания может исследовать свое собственное оборудование без ордера, при условии сохранения конфиденциальности и прав человека сотрудников.

Приобретение

После изъятия экспонатов создается точная копия носителя на уровне сектора (или «криминалистический дубликат») носителя, обычно с помощью устройства блокировки записи . Процесс дублирования называется визуализацией или сбором . ^{[ 5 ]} Дубликат создается с помощью дубликатора жесткого диска или программных инструментов создания изображений, таких как DCFLdd , IXimager , Guymager , TrueBack, EnCase , FTK Imager или FDAS. Затем исходный диск возвращается в безопасное хранилище для предотвращения несанкционированного доступа.

Полученное изображение проверяется с помощью SHA-1 или MD5 хеш-функций . В критические моменты анализа средства массовой информации проверяются еще раз, чтобы убедиться, что доказательства все еще находятся в исходном состоянии. Процесс проверки изображения с помощью хэш-функции называется «хешированием».

Учитывая проблемы, связанные с созданием образов больших дисков, нескольких сетевых компьютеров, файловых серверов, которые невозможно отключить, и облачных ресурсов, были разработаны новые методы, сочетающие процессы цифрового криминалистического сбора и электронного обнаружения .

Анализ

После получения содержимое файлов изображений (жесткого диска) анализируется для выявления доказательств, которые либо подтверждают, либо противоречат гипотезе, либо на наличие признаков фальсификации (чтобы скрыть данные). ^{[ 6 ]} В 2002 году Международный журнал цифровых доказательств назвал этот этап «углубленным систематическим поиском доказательств, связанных с предполагаемым преступлением». ^{[ 7 ]} Напротив, Брайан Кэрриер в 2006 году описывает более «интуитивную процедуру», при которой сначала выявляются очевидные доказательства, после чего «проводятся тщательные поиски, чтобы начать заполнять дыры». ^{[ 8 ]}

В ходе анализа следователь обычно восстанавливает вещественные доказательства, используя ряд различных методологий (и инструментов), часто начиная с восстановления удаленных материалов. Эксперты используют специальные инструменты (EnCase, ILOOKIX, FTK и т. д.) для просмотра и восстановления данных. Тип восстановленных данных варьируется в зависимости от расследования, но примеры включают электронную почту, журналы чатов, изображения, историю Интернета или документы. Данные можно восстановить из доступного дискового пространства, удаленного (нераспределенного) пространства или из файлов кэша операционной системы. ^{[ 3 ]}

Для восстановления доказательств используются различные типы методов, обычно включающие ту или иную форму поиска по ключевым словам в полученном файле изображения, либо для выявления совпадений с соответствующими фразами, либо для фильтрации известных типов файлов. Определенные файлы (например, графические изображения) имеют определенный набор байтов, которые определяют начало и конец файла. Если он идентифицирован, удаленный файл можно восстановить. ^{[ 3 ]} Многие криминалистические инструменты используют хеш-подписи для идентификации важных файлов или исключения известных (безопасных) файлов; полученные данные хешируются и сравниваются с предварительно составленными списками, такими как набор справочных данных (RDS) из Национальной справочной библиотеки программного обеспечения. ^{[ 5 ]}

На большинстве типов носителей, включая стандартные магнитные жесткие диски, после безопасного удаления данных их невозможно восстановить. ^{[ 9 ]}^{[ 10 ]}

После восстановления доказательств информация анализируется для реконструкции событий или действий и получения выводов - работа, которую часто может выполнить менее специализированный персонал. ^{[ 7 ]} Цифровые следователи, особенно в уголовных расследованиях, должны гарантировать, что выводы основаны на данных и их собственных экспертных знаниях. ^{[ 3 ]} В США, например, Федеральные правила доказывания гласят, что квалифицированный эксперт может давать показания «в форме заключения или иным образом» при условии, что:

(1) показания основаны на достаточных фактах или данных, (2) показания являются продуктом надежных принципов и методов и (3) свидетель надежно применил принципы и методы к фактам дела. ^{[ 11 ]}

Отчетность

По завершении расследования информация часто предоставляется в форме, удобной для людей, не обладающих техническими знаниями . Отчеты могут также включать аудиторскую информацию и другую метадокументацию. ^{[ 3 ]}

После завершения отчеты обычно передаются тем, кто заказывает расследование, например правоохранительным органам (по уголовным делам) или компании-работодателю (по гражданским делам), которые затем решают, использовать ли доказательства в суде. Как правило, для уголовного суда пакет отчета будет состоять из письменного экспертного заключения о доказательствах, а также самих доказательств (часто представленных на цифровых носителях). ^{[ 3 ]}

Ссылки

^ « Электронное руководство по расследованию места преступления: руководство для служб экстренного реагирования» (PDF) . Национальный институт юстиции. 2001.
^ Jump up to: ^а ^б Разное (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованиям . Академическая пресса. п. 567. ИСБН 978-0-12-374267-4 . Проверено 4 сентября 2010 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 0-12-163104-4 .
^ Jump up to: ^а ^б Адамс, Ричард (2012). « Усовершенствованная модель сбора данных (ADAM): модель процесса для цифровой судебной практики» (PDF) .
^ Jump up to: ^а ^б Маартен Ван Хоренбек (24 мая 2006 г.). «Расследование технологических преступлений» . Архивировано из оригинала 17 мая 2008 года . Проверено 17 августа 2010 г.
^ Кэрриер, Б. (2001). «Определение инструментов цифровой судебной экспертизы и анализа» . Семинар по цифровым исследованиям II. CiteSeerX 10.1.1.14.8953 .
^ Jump up to: ^а ^б М Рейт; С. Карр; Г Гюнш (2002). «Экспертиза цифровых криминалистических моделей» . Международный журнал цифровых доказательств. CiteSeerX 10.1.1.13.9683 .
^ Кэрриер, Брайан Д. (7 июня 2006 г.). «Основные концепции цифровой криминалистической экспертизы» .
^ «Очистка диска: одного прохода достаточно» . 17 марта 2009 г. Архивировано из оригинала 16 марта 2010 г. Проверено 27 ноября 2011 г.
^ «Очистка диска – достаточно одного прохода – часть 2 (на этот раз со скриншотами)» . 18 марта 2009 г. Архивировано из оригинала 23 декабря 2011 г.
^ «Федеральные правила доказывания №702» . Архивировано из оригинала 19 августа 2010 года . Проверено 23 августа 2010 г.

Внешние ссылки

Министерство юстиции США – Судебно-медицинская экспертиза цифровых доказательств: руководство для правоохранительных органов
ФБР – Цифровые доказательства: стандарты и принципы
Уоррен Г. Круз; Джей Г. Хейзер (2002). Компьютерная криминалистика: основы реагирования на инциденты . Аддисон-Уэсли. стр. 392 . ISBN 0-201-70719-5 .

Дальнейшее чтение

Кэрриер, Брайан Д. (февраль 2006 г.). «Риски живой цифровой криминалистической экспертизы» . Коммуникации АКМ . 49 (2): 56–61. дои : 10.1145/1113034.1113069 . ISSN 0001-0782 . S2CID 16829457 . Проверено 31 августа 2010 г.

[first-1] « Электронное руководство по расследованию места преступления: руководство для служб экстренного реагирования» (PDF) . Национальный институт юстиции. 2001.

[handbook-2] Jump up to: ^а ^б Разное (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованиям . Академическая пресса. п. 567. ИСБН 978-0-12-374267-4 . Проверено 4 сентября 2010 г.

[casey-3] Jump up to: ^а ^б ^с ^д ^и ^ж ^г Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 0-12-163104-4 .

[adams-4] Jump up to: ^а ^б Адамс, Ричард (2012). « Усовершенствованная модель сбора данных (ADAM): модель процесса для цифровой судебной практики» (PDF) .

[horenbeeck-5] Jump up to: ^а ^б Маартен Ван Хоренбек (24 мая 2006 г.). «Расследование технологических преступлений» . Архивировано из оригинала 17 мая 2008 года . Проверено 17 августа 2010 г.

[carrier-6] Кэрриер, Б. (2001). «Определение инструментов цифровой судебной экспертизы и анализа» . Семинар по цифровым исследованиям II. CiteSeerX 10.1.1.14.8953 .

[ijde-2002-7] Jump up to: ^а ^б М Рейт; С. Карр; Г Гюнш (2002). «Экспертиза цифровых криминалистических моделей» . Международный журнал цифровых доказательств. CiteSeerX 10.1.1.13.9683 .

[df-basics-8] Кэрриер, Брайан Д. (7 июня 2006 г.). «Основные концепции цифровой криминалистической экспертизы» .

[9] «Очистка диска: одного прохода достаточно» . 17 марта 2009 г. Архивировано из оригинала 16 марта 2010 г. Проверено 27 ноября 2011 г.

[10] «Очистка диска – достаточно одного прохода – часть 2 (на этот раз со скриншотами)» . 18 марта 2009 г. Архивировано из оригинала 23 декабря 2011 г.

[rule702-11] «Федеральные правила доказывания №702» . Архивировано из оригинала 19 августа 2010 года . Проверено 23 августа 2010 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

v т и Цифровая криминалистика
Филиалы	Компьютерная криминалистика Экспертиза мобильных устройств Сетевая криминалистика Криминалистика базы данных Криминалистика программного обеспечения
Аппаратное обеспечение	Судебный контроллер диска
Программное обеспечение	ADF Solutions Специалист по расследованию цифровых улик EnCase Прежде всего ФТК ПТК Криминалистика Комплект сыщика Инструментарий коронера КОФЕ Хэшкипер Xplico
Сертификация	Сертифицированный судебный компьютерный эксперт (CFCE) Глобальная сертификация обеспечения информации
Процессы	Процесс цифровой криминалистики Сбор данных Цифровые доказательства обнаружение электронных данных Антикомпьютерная криминалистика
Организации	Национальная справочная библиотека программного обеспечения Центр киберпреступности Министерства обороны Национальное подразделение по борьбе с преступлениями в сфере высоких технологий (NHTCU) Австралийский центр по борьбе с преступностью в сфере высоких технологий (AHTCC)
Люди	Мэри Эйкен Энни Антон Ребекка Бах Джош Бранти Эоган Кейси Только Фарид Симсон Гарфинкель Клиффорд Столл Роберт Зейдман
Глоссарий терминов цифровой криминалистики