Криминалистический поиск

Криминалистический поиск — новая область компьютерной криминалистики . Криминалистический поиск фокусируется на данных, созданных пользователем, таких как файлы электронной почты, записи мобильных телефонов, офисные документы, PDF-файлы и другие файлы, которые легко интерпретируются человеком.

Криминалистический поиск отличается от компьютерной криминалистической экспертизы тем, что он не направлен на просмотр или анализ системных файлов более низкого уровня, таких как реестр , файлы ссылок или проблемы на уровне диска, которые чаще всего связаны с традиционным компьютерным криминалистическим анализом.

Цель

Судебно-медицинский поиск возник благодаря ряду факторов, в том числе:

Улучшения в технологиях, позволяющие менее квалифицированным пользователям осуществлять поиск и анализ данных, которые раньше выполнялись только экспертом по компьютерной криминалистике. (Эта тенденция наблюдается во многих отраслях). ^{[ нужна ссылка ]}
Необходимость снизить высокую стоимость проведения полного компьютерного криминалистического анализа компьютера пользователя, когда в большинстве случаев доказательства, обнаруженные в данных, созданных пользователем, являются наиболее полезными и всем, что требуется. ^{[ нужна ссылка ]}
Рост облачных вычислений , в результате которого произошел переход от хранения данных на локальном компьютерном оборудовании к хранению данных в любом количестве удаленных мест. ^[1]
Нехватка квалифицированных компьютерных криминалистов.
Необходимость рассмотрения накопившихся дел в большинстве полицейских ведомств, где компьютерная информация требует проверки. ^[2]^[3]
Необходимость привлечения других видов экспертизы для правильной оценки доказательств, например, знаний правил бухгалтерского учета, юридических знаний и т. д.

Цели

Цель программного обеспечения для судебно-медицинского поиска - позволить человеку, обладающему лишь общими знаниями о компьютерах, но имеющим навыки анализа документов или методов расследования, выполнять и искать созданную пользователем информацию, хранящуюся в электронном виде (ESI). Данные, которые обычно считаются созданными пользователем ESI, состоят из электронных писем, документов, изображений и других типов файлов, созданных пользователем, в отличие от данных, созданных операционной системой компьютера (т. е. файлов реестра, файлов ссылок, нераспределенного пространства). контролируются или создаются компьютером, а не пользователем). Целью анализа данных, созданных пользователем, является поиск информации, которая может быть использована для принятия решений в рамках расследования. ^{[ нужна ссылка ]}

Программное обеспечение для криминалистического поиска

Программное обеспечение для криминалистического поиска отличается от использования собственных приложений (например, Outlook) или программного обеспечения для поиска на рабочем столе (например, Google Desktop ) для поиска данных тем, что во время обработки или поиска в данные не вносятся никакие изменения, которые могут повлиять на результаты или исказить результаты. Программное обеспечение для криминалистического поиска также позволит получить доступ к базовым метаданным элементов, недоступных через собственное приложение. Хорошим примером этого могут быть метаданные в документах MS Word. ^[4] Ряд программных продуктов для криминалистического поиска смогут выполнять восстановление данных в различных типах файлов электронной почты.

Некоторые примеры того, как использование собственного приложения или приложения, не являющегося судебно-медицинской экспертизой, может повлиять на данные:

Открытие документа Microsoft Word в Microsoft Word может изменить даты создания, изменения или последнего доступа в документе. Это может привести к тому, что в качестве доказательства будут представлены неправильные даты.
Просмотр данных в некоторых собственных приложениях приведет к срабатыванию системного антивирусного программного обеспечения, которое снова изменит данные или доказательства.
Неспособность заморозить доказательства до открытия файлов в сочетании с тем фактом, что простое открытие файлов меняет их, может сделать и сделало важные доказательства недействительными. ^[5]

Программное обеспечение для криминалистического поиска стало популярным как метод сокращения времени и затрат на поиск и анализ больших наборов данных за счет сосредоточения внимания на пользовательских данных, которые чаще всего дают доказательства или результаты. ^{[ нужна ссылка ]}

Электронная почта имеет тенденцию быть личной, обильной и откровенной. Для большинства взрослых электронная почта является основным средством письменного общения и часто используется в качестве доказательства. ^[6] Новое поколение инструментов разрабатывается для решения проблем, с которыми сталкиваются специалисты в области цифровой криминалистики и обнаружения электронных данных. ^[7]

Другие виды обзора

Программное обеспечение для криминалистического поиска сравнивают с программным обеспечением для проверки электронных данных , однако это не совсем так. Программное обеспечение для проверки eDiscovery, работая со многими однотипными компьютерными записями и опциями поиска, предлагает дополнительные функциональные возможности по сравнению с программным обеспечением для судебно-медицинского поиска. Такие функции, как редактирование и юридическое хранение, являются стандартными в программном обеспечении для проверки eDiscovery. Это также тот случай, когда программное обеспечение Forensic Search не отвечает более высоким задачам, изложенным в широко распространенной эталонной модели электронного обнаружения (EDRM). Такие задачи, как идентификация, сбор, резервирование или представление, как правило, не охватываются программным обеспечением для криминалистического поиска. ^{[ нужна ссылка ]}

Однако настоящая проверка eDiscovery обычно является прерогативой квалифицированных юристов или компаний. ^[8]^[9]

Использование термина «Обнаружение электронных данных» в некоторых кругах стало общим термином для обработки и поиска информации, хранящейся в электронном виде (ESI). Однако это не является истинным представлением термина eDiscovery. Для более детального понимания eDiscovery хорошим ориентиром является эталонная модель электронного обнаружения (EDRM). Можно сказать, что судебно-медицинский поиск более тесно связан с ранней оценкой дела (ECA), чем с обнаружением электронных данных, поскольку ECA не требует строгости полной проверки обнаружения электронных данных. ^{[ нужна ссылка ]}

Доказательная ценность данных, созданных пользователем, по сравнению с другими типами данных

При представлении данных в отчете, который может быть использован для принятия решения или в качестве доказательства, важно, чтобы данные были представлены правильно, чтобы читатель мог их понять. В случае создания отчетов по данным, созданным системой, таким как файлы реестра, файлы ссылок и другие данные, созданные системой, это может оказаться дорогостоящим занятием. Также может случиться так, что нет однозначного ответа или объяснения. ^{[ нужна ссылка ]}

Примером этого может быть попытка объяснить непрофессионалу метод и приемы декодирования ключа UserAssist в системном реестре Windows. Ключ UserAssist может хранить большой объем информации о действиях пользователя компьютера. Однако, чтобы объяснить этот ключ, рецензент должен уметь идентифицировать ключ и правильно интерпретировать его настройку. Ключи часто кодируются ROT 13 . ^[10]

Как только эти ключи будут декодированы в удобочитаемые форматы, рецензент должен показать, как настройка связана с делом. Часто просмотр сотен и даже тысяч настроек часто отнимает много времени, а иногда дает лишь очень косвенные, а иногда и спорные результаты. При просмотре данных, созданных пользователями, таких как электронная почта или контракты, отчетность и понимание результатов зачастую гораздо проще. Неквалифицированный пользователь обычно хорошо понимает, как работает электронная почта, и использует ее в повседневной работе. Человек с юридическим образованием поймет договор и не нуждается для этого в специальных судебных знаниях. Это может привести к значительному снижению затрат на проверку и уменьшению количества спорных или косвенных выводов. ^{[ нужна ссылка ]}

Высокоуровневая функциональность программного обеспечения для криминалистического поиска

Возможности программного обеспечения для судебно-медицинской экспертизы направлены на то, чтобы дать пользователю возможность одновременно искать и просматривать ряд данных и файлов пользователей.

К особенностям программного обеспечения для криминалистического поиска относятся: ^{[ нужна ссылка ]}

Способность обрабатывать различные типы данных, позволяющие рецензенту осуществлять поиск с небольшими знаниями в области компьютерной криминалистики или вообще без них.
Поиск по ключевым словам по всем обрабатываемым данным и типам данных
Возможность создания сложных поисков, таких как включение или исключение данных.
Использование MD5 и других алгоритмов для поиска и идентификации файлов и данных.
Возможность фильтрации на основе метаданных, таких как даты, адреса электронной почты и типы файлов.
Возможность просматривать различные данные, введенные в одних и тех же результатах поиска.
Возможность просмотра всех результатов в одном пользовательском интерфейсе
Возможность экспорта элементов в различные форматы, например электронную почту, Word, HTML.
Возможность создавать общие отчеты

Изменения в компьютерной криминалистике

Существует множество новых и развивающихся областей компьютерной криминалистики, таких как облачная криминалистика, криминалистика мобильных телефонов, криминалистика сетей, анализ памяти, криминалистика браузера, криминалистическая сортировка и интернет-криминалистика. ^[11] В не столь отдаленном прошлом наиболее распространенной ролью компьютерного эксперта-криминалиста было посещение дома, места работы или центра обработки данных человека для криминалистического «изображения» человека. ^[12] все компьютеры или устройства, которые могут быть задействованы в деле. Это было классифицировано как этап сбора. ^{[ нужна ссылка ]}

После завершения этапа сбора эти изображения были проверены, и соответствующий ESI был предоставлен заинтересованным сторонам. Это требовало от компьютерного криминалиста наличия большого опыта и подготовки в следующих областях:

Определение того, какой компьютер, приложения или устройства могут быть задействованы
Как разобрать компьютер и извлечь жесткие диски компьютера не причинив повреждений.
Как правильно сделать судебно-медицинский снимок, чтобы сохранить цепочку поставок
Как использовать программное обеспечение судебно-медицинской экспертизы для правильной интерпретации и предоставления результатов

Этот процесс был трудоемким и дорогостоящим. Основная роль компьютерного эксперта-криминалиста заключается в исследовании компьютерных доказательств (ESI). Они, возможно, не были так хорошо знакомы со всем делом или целями, как агент по делу, детектив, судебный бухгалтер или криминалист. Это часто приводило к неточному или трудоемкому выявлению правильных доказательств между разными сторонами. То, что сразу же заинтересует детектива, хорошо знающего дело и вовлеченных сторон, может остаться незамеченным экспертом по компьютерной криминалистике. Примером может служить электронное письмо от подозреваемого по другому делу подозреваемому по этому делу или контактные/телефонные звонки свидетелю от подозреваемого. ^{[ нужна ссылка ]}

Проблема усугубляется тем, что резко увеличился объем данных, которые должен собрать эксперт по компьютерной криминалистике. В настоящее время часто случается, что образ жесткого диска компьютера невозможно создать, например, если компьютер, содержащий улики, слишком велик или систему невозможно выключить для создания образа, поскольку это критически важный сервер, например в качестве сервера электронной почты или файлового сервера компании. Развитие облачных вычислений также усложнило сбор доказательств. Данные, требующие сбора и проверки, могут находиться в облаке. В этом случае нет компьютера, доступного для изображения. Затем судебно-медицинскому эксперту необходимо собрать информацию с помощью криминалистического программного обеспечения, предназначенного для работы с определенными поставщиками облачных услуг. ^[13]

Короче говоря, за последние несколько лет сбор доказательств существенно изменился. Признавая эти проблемы, обсуждалась концепция гибридной криминалистики и создание инструментов, использующих другой подход к сбору данных. Концепция гибридной криминалистики заключается в выборочном сборе данных из «живых» систем таким образом, чтобы их можно было рассматривать как надежные доказательства в суде. ^[14]

Барьеры на пути внедрения судебно-медицинской экспертизы в правоохранительные органы

Правоохранительные организации, как и многие другие организации, делятся на подразделения, специализирующиеся на определенных навыках. В области компьютерной криминалистики/киберпреступности эти подразделения берут на себя ответственность за все аспекты ESI. Этим подразделениям обычно не хватает времени и ресурсов. ^{[ нужна ссылка ]}

Несмотря на то, что время и ресурсы невелики, основные знания в подразделении исходят от офицеров или консультантов с опытом работы более 7 лет (это предшествует большинству доступных степеней в области компьютерной криминалистики). Эти офицеры со временем ознакомились с методологией использования пакета программного обеспечения для судебно-медицинской экспертизы, поскольку это все, что им предлагалось, когда они начинали работать на местах. Следовательно, когда появляются новые офицеры или ресурсы, именно программное обеспечение для судебно-медицинской экспертизы имеет приоритет над более новым, более конкретным программным обеспечением и новыми типами судебно-медицинской экспертизы. ^{[ нужна ссылка ]}

Ссылки

^ Кроуфорд, Стефани (8 августа 2011 г.). "HowStuffWorks "Действительно ли мои файлы в безопасности, если я храню их в облаке?" " . Computer.howstuffworks.com . Проверено 24 октября 2012 г.
^ «Отдел по расследованию компьютерных преступлений в штате Мэн заставляет авторов детской порнографии оставаться на улицах — штат — Bangor Daily News — BDN Maine» . Bangordailynews.com. 25 ноября 2011 г. Проверено 24 октября 2012 г.
^ Matrix Group International, Inc. Александрия, Вирджиния, 2003. «Просмотр статьи» . Журнал «Начальник полиции» . Проверено 24 октября 2012 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка ) CS1 maint: числовые имена: список авторов ( ссылка )
^ «Microsoft Word бьет Тони Блэра по заднице» . Computerbytesman.com. Архивировано из оригинала 18 октября 2012 г. Проверено 24 октября 2012 г.
^ Райан, Дэниел Дж.; Галь, Шпанцер. «Правовые аспекты цифровой криминалистики» (PDF) . Проверено 26 января 2022 г.
^ Болл, Крейг (апрель 2005 г. - июль 2013 г.). «Размышления об электронном открытии - «Мяч на вашей стороне» » (PDF) . Проверено 26 января 2022 г.
^ Ричард, Адамс; Грэм, Манн; Валери, Хоббс (2017). «ISEEK, инструмент для высокоскоростного, одновременного и распределенного сбора данных судебно-медицинской экспертизы» . Исследования онлайн . дои : 10.4225/75/5a838d3b1d27f .
^ «Мнение по этике 362: Право собственности на поставщиков услуг Discovery, не являющееся юридическим лицом» . Dcbar.org. 12 января 2012 г. Проверено 24 октября 2012 г.
^ «Коллегия адвокатов округа Колумбия: поставщики электронных документов, не являющиеся юристами, не могут заниматься юридической практикой» . ИТ-Лекс. 11 июля 2012 г. Проверено 24 октября 2012 г.
^ Стивенс, Дидье. «Помощник пользователя» . blog.didierstevens.com . Проверено 26 января 2022 г.
^ «Облегчение судебно-медицинской экспертизы» . www.e-discovery.co.nz . 26 июля 2012 года . Проверено 26 января 2022 г.
^ " 'изображение' " . www.forensicswiki.org . Архивировано из оригинала 24 октября 2012 г. Проверено 24 октября 2012 г.
^ «F-Response 4.0.4 и новый Cloud Connector» . F-response.com. 24 июля 2012 г. Проверено 24 октября 2012 г.
^ Адамс, Ричард (5 ноября 2014 г.). «Объединение цифровой криминалистики, электронного обнаружения и реагирования на инциденты» . www.slideshare.net .

[1] Кроуфорд, Стефани (8 августа 2011 г.). "HowStuffWorks "Действительно ли мои файлы в безопасности, если я храню их в облаке?" " . Computer.howstuffworks.com . Проверено 24 октября 2012 г.

[2] «Отдел по расследованию компьютерных преступлений в штате Мэн заставляет авторов детской порнографии оставаться на улицах — штат — Bangor Daily News — BDN Maine» . Bangordailynews.com. 25 ноября 2011 г. Проверено 24 октября 2012 г.

[3] Matrix Group International, Inc. Александрия, Вирджиния, 2003. «Просмотр статьи» . Журнал «Начальник полиции» . Проверено 24 октября 2012 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка ) CS1 maint: числовые имена: список авторов ( ссылка )

[4] «Microsoft Word бьет Тони Блэра по заднице» . Computerbytesman.com. Архивировано из оригинала 18 октября 2012 г. Проверено 24 октября 2012 г.

[5] Райан, Дэниел Дж.; Галь, Шпанцер. «Правовые аспекты цифровой криминалистики» (PDF) . Проверено 26 января 2022 г.

[6] Болл, Крейг (апрель 2005 г. - июль 2013 г.). «Размышления об электронном открытии - «Мяч на вашей стороне» » (PDF) . Проверено 26 января 2022 г.

[7] Ричард, Адамс; Грэм, Манн; Валери, Хоббс (2017). «ISEEK, инструмент для высокоскоростного, одновременного и распределенного сбора данных судебно-медицинской экспертизы» . Исследования онлайн . дои : 10.4225/75/5a838d3b1d27f .

[8] «Мнение по этике 362: Право собственности на поставщиков услуг Discovery, не являющееся юридическим лицом» . Dcbar.org. 12 января 2012 г. Проверено 24 октября 2012 г.

[9] «Коллегия адвокатов округа Колумбия: поставщики электронных документов, не являющиеся юристами, не могут заниматься юридической практикой» . ИТ-Лекс. 11 июля 2012 г. Проверено 24 октября 2012 г.

[10] Стивенс, Дидье. «Помощник пользователя» . blog.didierstevens.com . Проверено 26 января 2022 г.

[11] «Облегчение судебно-медицинской экспертизы» . www.e-discovery.co.nz . 26 июля 2012 года . Проверено 26 января 2022 г.

[12] " 'изображение' " . www.forensicswiki.org . Архивировано из оригинала 24 октября 2012 г. Проверено 24 октября 2012 г.

[13] «F-Response 4.0.4 и новый Cloud Connector» . F-response.com. 24 июля 2012 г. Проверено 24 октября 2012 г.

[14] Адамс, Ричард (5 ноября 2014 г.). «Объединение цифровой криминалистики, электронного обнаружения и реагирования на инциденты» . www.slideshare.net .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]