Jump to content

Цифровая криминалистика

Это хорошая статья. Нажмите здесь для получения дополнительной информации.

в эфире фотографии FLETC , где стандарты цифровой криминалистики США были разработаны в 1980-х и 90-х годах.
Часть серии о
Судебная медицина
Физиологический
Социальные
Криминалистика
Цифровая криминалистика
Связанные дисциплины
Похожие статьи

Цифровая криминалистика (иногда известная как цифровая криминалистика ) — это отрасль криминалистики, охватывающая восстановление, расследование, исследование и анализ материалов, обнаруженных на цифровых устройствах, часто связанных с мобильными устройствами и компьютерными преступлениями . [1] [2] Термин «цифровая криминалистика» первоначально использовался как синоним компьютерной криминалистики, но расширился и стал охватывать исследование всех устройств, способных хранить цифровые данные . [1] Уходящая корнями в революцию персональных компьютеров конца 1970-х и начала 1980-х годов, эта дисциплина развивалась бессистемно в течение 1990-х годов, и только в начале 21 века появилась национальная политика.

Цифровые криминалистические расследования имеют множество применений. Наиболее распространенным является поддержка или опровержение гипотезы в уголовных или гражданских судах. Уголовные дела связаны с предполагаемыми нарушениями законов, которые определены законодательством, исполняются полицией и преследуются государством, например, убийство, кража и нападение на человека. С другой стороны, гражданские дела касаются защиты прав и собственности отдельных лиц (часто связанных с семейными спорами), но также могут быть связаны с договорными спорами между коммерческими организациями, в которых форма цифровой криминалистики называется электронным обнаружением (э-открытием). может быть задействован.

Криминалистика может также использоваться в частном секторе, например, во время внутренних корпоративных расследований или расследований вторжений (специальное исследование характера и масштабов несанкционированного вторжения в сеть ).

Технический аспект расследования разделен на несколько подотраслей, связанных с типом задействованных цифровых устройств: компьютерная криминалистика, сетевая криминалистика , криминалистический анализ данных и криминалистическая экспертиза мобильных устройств . [3] Типичный процесс судебно-медицинской экспертизы включает в себя изъятие, судебно-медицинскую визуализацию (получение) и анализ цифровых носителей с последующим составлением отчета о собранных доказательствах.

Помимо выявления прямых доказательств преступления, цифровая криминалистика может использоваться для приписывания доказательств конкретным подозреваемым, подтверждения алиби или заявлений, определения намерений , идентификации источников (например, в делах об авторских правах) или аутентификации документов. [4] Расследования имеют гораздо более широкий охват, чем другие области судебно-медицинской экспертизы (где обычная цель состоит в том, чтобы дать ответы на ряд более простых вопросов), часто затрагивающие сложные временные рамки или гипотезы. [5]

История [ править ]

До 1970-х годов преступления, связанные с компьютерами, рассматривались с использованием существующих законов. Первые компьютерные преступления были признаны в Законе Флориды о компьютерных преступлениях 1978 года. [6] который включал законодательство против несанкционированного изменения или удаления данных в компьютерной системе. [7] В течение следующих нескольких лет спектр совершаемых компьютерных преступлений увеличился, и были приняты законы, регулирующие вопросы авторского права , конфиденциальности/преследований (например, киберзапугивания , веселой пощечины , киберпреследования и онлайн-хищников ) и детской порнографии . [8] [9] Лишь в 1980-х годах федеральные законы начали включать компьютерные преступления. Канада была первой страной, принявшей закон в 1983 году. [7] За этим последовал Федеральный закон США о компьютерном мошенничестве и злоупотреблениях в 1986 году, австралийские поправки к законам о преступлениях в 1989 году и Британский закон о неправомерном использовании компьютеров в 1990 году. [7] [9]

рост отрасли 1980–1990 - е годы :

Рост компьютерной преступности в 1980-е и 1990-е годы заставил правоохранительные органы начать создавать специализированные группы, обычно на национальном уровне, для решения технических аспектов расследований. Например, в 1984 году ФБР создало группу компьютерного анализа и реагирования был создан отдел компьютерных преступлений , а в следующем году в составе отдела по борьбе с мошенничеством британской столичной полиции . Многие из первых членов этих групп были не только профессионалами в правоохранительных органах, но и любителями компьютеров и стали ответственными за первоначальные исследования и руководство в этой области. [10] [11]

Одним из первых практических (или, по крайней мере, опубликованных) примеров цифровой криминалистики было преследование Клиффом Столлом хакера Маркуса Гесса в 1986 году. Столл, в расследовании которого использовались методы компьютерной и сетевой криминалистики, не был специализированным экспертом. [12] Многие из первых судебно-медицинских экспертиз проводились по тому же профилю. [13]

На протяжении 1990-х годов существовал большой спрос на эти новые базовые исследовательские ресурсы. Нагрузка на центральные органы привела к созданию групп регионального и даже местного уровня, чтобы помочь справиться с этой нагрузкой. Например, Британское национальное подразделение по борьбе с преступлениями в сфере высоких технологий в 2001 году было создано для обеспечения национальной инфраструктуры по борьбе с компьютерными преступлениями, персонал которого располагался как в центре Лондона, так и в различных региональных полицейских силах (подразделение было преобразовано в Агентство по борьбе с серьезной организованной преступностью). (SOCA) в 2006 году). [11]

В этот период наука о цифровой криминалистике выросла из специальных инструментов и методов, разработанных этими любителями-практиками. В этом отличие от других дисциплин судебной экспертизы, которые возникли на основе работы научного сообщества. [1] [14] Лишь в 1992 году термин «компьютерная криминалистика» стал использоваться в академической литературе (хотя до этого он использовался неофициально); статья Коллиера и Спола попыталась оправдать эту новую дисциплину в мире судебной медицины. [15] [16] Столь быстрое развитие привело к отсутствию стандартизации и обучения. В своей книге 1995 года « Преступления в сфере высоких технологий: расследование дел, связанных с компьютерами » К. Розенблатт написал следующее:

Изъятие, сохранение и анализ доказательств, хранящихся на компьютере, является самой большой криминалистической задачей, с которой столкнулись правоохранительные органы в 1990-х годах. Хотя большинство судебно-медицинских экспертиз, таких как снятие отпечатков пальцев и тестирование ДНК, выполняются специально обученными экспертами, задача сбора и анализа компьютерных доказательств часто поручается патрульным офицерам и детективам. [17]

-е: Разработка 2000 стандартов

С 2000 года в ответ на необходимость стандартизации различные органы и агентства опубликовали рекомендации по цифровой криминалистике. Научная рабочая группа по цифровым доказательствам (SWGDE) подготовила в 2002 году документ « Лучшие практики компьютерной криминалистики» , за которым в 2005 году последовала публикация стандарта ISO ( ISO 17025 , Общие требования к компетентности испытательных и калибровочных лабораторий ). . [7] [18] [19] В 2004 году вступил в силу международный договор под эгидой Европы, Конвенция о киберпреступности , с целью согласовать национальные законы о компьютерных преступлениях, методы расследования и международное сотрудничество. Договор подписали 43 страны (включая США, Канаду, Японию, Южную Африку, Великобританию и другие европейские страны) и ратифицировали 16.

Уделялось внимание и вопросу обучения. Коммерческие компании (часто разработчики программного обеспечения для судебно-медицинской экспертизы) начали предлагать программы сертификации, а цифровой судебно-медицинский анализ был включен в качестве темы в британский специализированный учебный центр для следователей Centrex . [7] [11]

В конце 1990-х годов мобильные устройства стали более доступными, выйдя за рамки простых устройств связи, и оказались богатыми формами информации даже для преступлений, традиционно не связанных с цифровой криминалистикой. [20] Несмотря на это, цифровой анализ телефонов отстает от традиционных компьютерных средств массовой информации, во многом из-за проблем, связанных с проприетарным характером устройств. [21]

Акцент также сместился на интернет-преступность, особенно на риск кибервойн и кибертерроризма . В отчете Командования объединенных сил США за февраль 2010 года был сделан следующий вывод:

Через киберпространство враги будут атаковать промышленность, научные круги, правительство, а также вооруженные силы в воздухе, на суше, на море и в космосе. Во многом так же, как авиация изменила поле боя во Второй мировой войне, киберпространство разрушило физические барьеры, защищающие страну от атак на ее торговлю и коммуникации. [22]

В области цифровой криминалистики по-прежнему существуют нерешенные проблемы. В статье Петерсона и Шеноя 2009 года «Цифровая криминалистическая экспертиза: хорошее, плохое и безадресное» выявлено предвзятое отношение к операционным системам Windows в исследованиях цифровой криминалистики. [23] В 2010 году Симсон Гарфинкель определил проблемы, с которыми в будущем столкнутся цифровые расследования, включая растущий размер цифровых носителей, широкую доступность шифрования для потребителей, растущее разнообразие операционных систем и форматов файлов, рост числа людей, владеющих несколькими устройствами, и правовые ограничения для следователей. В документе также выявлены сохраняющиеся проблемы с обучением, а также непомерно высокая стоимость выхода на поле. [12]

Разработка инструментов криминалистики [ править ]

Основная статья: Список инструментов цифровой криминалистики

В 1980-е годы существовало очень мало специализированных инструментов цифровой криминалистики. Следовательно, следователи часто проводили анализ медиафайлов в реальном времени, проверяя компьютеры изнутри операционной системы, используя существующие инструменты системного администратора для извлечения доказательств. Эта практика сопряжена с риском изменения данных на диске, случайно или иным образом, что приводит к заявлениям о подделке доказательств. В начале 1990-х годов для решения этой проблемы был создан ряд инструментов.

Потребность в таком программном обеспечении впервые была осознана в 1989 году в Федеральном учебном центре правоохранительных органов , что привело к созданию IMDUMP. [24] (Майкл Уайт) и в 1990 году SafeBack [25] (разработано компанией Sydex). Подобное программное обеспечение было разработано и в других странах; DIBS (аппаратное и программное решение) было коммерчески выпущено в Великобритании в 1991 году, а Роб Маккемиш бесплатно предоставил образ фиксированного диска австралийским правоохранительным органам. [10] Эти инструменты позволили экспертам создать точную копию цифрового носителя для работы, оставив исходный диск нетронутым для проверки. К концу 1990-х годов, когда спрос на цифровые доказательства вырос, были разработаны более совершенные коммерческие инструменты, такие как EnCase и FTK , позволяющие аналитикам исследовать копии носителей без использования какой-либо криминалистической экспертизы в реальном времени. [7] В последнее время усилилась тенденция к «анализу оперативной памяти», что привело к появлению таких инструментов, как WindowsSCOPE .

Совсем недавно такой же прогресс в разработке инструментов произошел и для мобильных устройств ; Первоначально следователи получали доступ к данным непосредственно на устройстве, но вскоре появились специальные инструменты, такие как XRY или Radio Tactics Aceso. [7]

Судебно-медицинский процесс [ править ]

Портативный блокировщик записи Tableau, подключенный к жесткому диску.
Основная статья: Процесс цифровой криминалистики

Цифровая криминалистическая экспертиза обычно состоит из 3 этапов:

Сбор информации обычно не предполагает получение образа энергозависимой памяти (ОЗУ) компьютера, если только это не делается в рамках расследования реагирования на инцидент. [28] Обычно задача включает в себя создание точной копии носителя на уровне сектора (или «криминалистического дубликата») носителя, часто с использованием устройства блокировки записи для предотвращения изменения оригинала. Однако рост размеров носителей данных и такие разработки, как облачные вычисления, [29] привели к более широкому использованию «живых» сборов, при которых получается «логическая» копия данных, а не полный образ физического устройства хранения. [26] Как полученное изображение (или логическая копия), так и исходный носитель/данные хешируются ( с использованием такого алгоритма, как SHA-1 или MD5 ), а значения сравниваются для проверки точности копии. [30]

Альтернативный (и запатентованный) подход (получивший название «гибридная судебная экспертиза»). [31] или «распределенная судебная экспертиза» [32] ) сочетает в себе процессы цифровой криминалистики и электронного обнаружения. Этот подход был воплощен в коммерческом инструменте под названием ISEEK, который был представлен вместе с результатами испытаний на конференции в 2017 году. [31]

На этапе анализа следователь собирает доказательства, используя ряд различных методологий и инструментов. В 2002 году статья в International Journal of Digital Evidence назвала этот шаг «углубленным систематическим поиском доказательств, связанных с предполагаемым преступлением». [1] В 2006 году судебно-медицинский эксперт Брайан Кэрриер описал «интуитивную процедуру», при которой сначала выявляются очевидные доказательства, а затем «проводятся тщательные поиски, чтобы начать заполнять дыры». [5]

Фактический процесс анализа может различаться в зависимости от расследования, но общие методологии включают проведение поиска по ключевым словам на цифровых носителях (в файлах, а также в нераспределенном и резервном пространстве ), восстановление удаленных файлов и извлечение информации из реестра (например, для получения списка учетных записей пользователей или подключенные USB-устройства).

Собранные доказательства анализируются, чтобы реконструировать события или действия и прийти к выводам - ​​работа, которую часто может выполнить менее специализированный персонал. [1] По завершении расследования данные представляются, обычно в форме письменного отчета, в непрофессионала . терминах [1]

Приложение [ править ]

изображения Exif Пример метаданных , которые можно использовать для доказательства его происхождения.

Цифровая криминалистика широко используется как в уголовном праве, так и в частных расследованиях. Традиционно это ассоциировалось с уголовным правом, где в суде собираются доказательства в поддержку или опровержение гипотезы. Как и в других областях судебной экспертизы, это часто является частью более широкого расследования, охватывающего ряд дисциплин. В некоторых случаях собранные доказательства используются как форма сбора разведывательной информации для целей, отличных от судебного разбирательства (например, для обнаружения, выявления или пресечения других преступлений). В результате сбор разведывательной информации иногда проводится в соответствии с менее строгими судебно-медицинскими стандартами.

В гражданских судебных процессах или корпоративных делах цифровая криминалистика является частью процесса электронного обнаружения (или обнаружения электронных данных). Судебно-медицинские процедуры аналогичны процедурам, используемым в уголовных расследованиях, часто с другими юридическими требованиями и ограничениями. За пределами судов цифровая криминалистика может стать частью внутренних корпоративных расследований.

Типичным примером может служить несанкционированное вторжение в сеть . Специализированная судебно-медицинская экспертиза характера и масштаба нападения проводится как мероприятие по ограничению ущерба, как для установления степени любого вторжения, так и для попытки идентифицировать нападавшего. [4] [5] Такие атаки обычно проводились по телефонным линиям в 1980-х годах, но в современную эпоху они обычно распространяются через Интернет. [33]

Основное внимание в цифровых криминалистических расследованиях уделяется восстановлению объективных доказательств преступной деятельности ( это называется actus reus на юридическом языке ). Однако разнообразный спектр данных, хранящихся в цифровых устройствах, может помочь в других областях исследований. [4]

Атрибуция
Метаданные и другие журналы могут использоваться для приписывания действий конкретному лицу. Например, личные документы на диске компьютера могут идентифицировать его владельца.
Алиби и заявления
Информация, предоставленная участвующими сторонами, может быть перепроверена с цифровыми доказательствами. Например, в ходе расследования убийств в Сохаме алиби преступника было опровергнуто, когда записи мобильного телефона человека, с которым он якобы был, показали, что в тот момент ее не было в городе.
Намерение
Помимо поиска объективных доказательств совершения преступления, расследование также может использоваться для доказательства намерения (известного под юридическим термином mens rea ). Например, интернет-история осужденного убийцы Нила Энтвистла включала ссылки на сайт, посвященный тому, как убивать людей .
Оценка источника
Файловые артефакты и метаданные могут использоваться для определения происхождения определенного фрагмента данных; например, более старые версии Microsoft Word включали в файлы глобальный уникальный идентификатор, который идентифицировал компьютер, на котором он был создан. Доказательство того, был ли файл создан на проверяемом цифровом устройстве или получен из другого источника (например, из Интернета), может быть очень важным. [4]
Аутентификация документа
Что касается «Оценки источника», метаданные, связанные с цифровыми документами, можно легко изменить (например, изменив часы компьютера, вы можете повлиять на дату создания файла). Аутентификация документов связана с обнаружением и выявлением фальсификации таких сведений.

Ограничения [ править ]

Одним из основных ограничений судебно-медицинской экспертизы является использование шифрования; это мешает первоначальному исследованию, при котором соответствующие доказательства можно найти с помощью ключевых слов. Законы, обязывающие людей раскрывать ключи шифрования, все еще относительно новы и противоречивы. [12] Но всегда чаще встречаются решения по подбору паролей или обходу шифрования, например, в смартфонах или ПК, где с помощью методов загрузчика содержимое устройства может быть сначала получено, а затем принудительно использовано, чтобы найти пароль или ключ шифрования.

соображения Юридические

Экспертиза цифровых медиа регулируется национальным и международным законодательством. В частности, в случае гражданских расследований законы могут ограничивать возможности аналитиков по проведению экспертиз. Часто существуют ограничения на мониторинг сети или чтение личных сообщений. [34] В ходе уголовного расследования национальное законодательство ограничивает объем информации, который может быть изъят. [34] Например, в Соединенном Королевстве изъятие доказательств правоохранительными органами регулируется законом ПАСЕ . [7] На раннем этапе своего существования «Международная организация по компьютерным доказательствам» (IOCE) была одним из агентств, которое работало над установлением совместимых международных стандартов для изъятия доказательств. [35]

В Великобритании те же законы, касающиеся компьютерных преступлений, могут также затрагивать следователей-криминалистов. 1990 года Закон о неправомерном использовании компьютеров запрещает несанкционированный доступ к компьютерным материалам. Это особенно беспокоит следователей по гражданским делам, у которых больше ограничений, чем у правоохранительных органов.

Право человека на неприкосновенность частной жизни — это одна из областей цифровой криминалистики, которая до сих пор в значительной степени не решена судами. Закон США о конфиденциальности в области электронных коммуникаций накладывает ограничения на способность правоохранительных органов или следователей по гражданским делам перехватывать доказательства и получать к ним доступ. Закон проводит различие между хранимыми сообщениями (например, архивами электронной почты) и передаваемыми сообщениями (например, VOIP ). Последнее, поскольку считается скорее вторжением в частную жизнь, получить ордер на него труднее. [7] [17] ECPA также влияет на способность компаний проверять компьютеры и коммуникации своих сотрудников — аспект, который до сих пор обсуждается относительно степени, в которой компания может осуществлять такой мониторинг. [7]

Статья 5 Европейской конвенции о правах человека устанавливает ограничения конфиденциальности, аналогичные ECPA, и ограничивает обработку и обмен личными данными как внутри ЕС, так и с внешними странами. Возможность правоохранительных органов Великобритании проводить цифровые криминалистические расследования законодательно закреплена в Законе о регулировании полномочий по расследованию . [7]

доказательства Цифровые

Цифровые доказательства могут принимать различные формы
Основная статья: Цифровые доказательства

При использовании в суде цифровые доказательства подпадают под те же правовые нормы, что и другие формы доказательств, поскольку суды обычно не требуют более строгих правил. [7] [36] В Соединенных Штатах Федеральные правила доказывания используются для оценки допустимости цифровых доказательств . Законы ПАСЕ Соединенного Королевства и Законы о гражданских доказательствах содержат аналогичные руководящие принципы, а многие другие страны имеют свои собственные законы. Федеральные законы США ограничивают изъятие предметов, имеющих только очевидную доказательную ценность. Признается, что это не всегда возможно установить с помощью цифровых носителей до обследования. [34]

Законы, касающиеся цифровых доказательств, касаются двух вопросов:

  • Целостность — это гарантия того, что акт изъятия и приобретения цифровых носителей не изменит доказательства (ни оригинал, ни копию).
  • Подлинность – подразумевает возможность подтвердить целостность информации; например, что изображение на носителе соответствует первоначальным доказательствам. [34]

Легкость, с которой цифровые носители могут быть изменены, означает, что документирование цепочки поставок от места преступления, через анализ и, в конечном итоге, до суда (форма контрольного журнала ) важно для установления подлинности доказательств. [7]

Адвокаты утверждают, что, поскольку цифровые доказательства теоретически могут быть изменены, это подрывает их надежность. Американские судьи начинают отвергать эту теорию: в деле США против Боналло суд постановил, что «тот факт, что можно изменить данные, содержащиеся в компьютере, явно недостаточен для установления ненадежности». [7] [37] В Соединенном Королевстве соблюдаются рекомендации, подобные тем, которые выпущены ACPO, чтобы документировать подлинность и целостность доказательств.

Цифровые следователи, особенно в уголовных расследованиях, должны гарантировать, что выводы основаны на фактических доказательствах и их собственных экспертных знаниях. [7] В США, например, Федеральные правила доказывания гласят, что квалифицированный эксперт может давать показания «в форме заключения или иным образом» при условии, что:

(1) показания основаны на достаточных фактах или данных, (2) показания являются продуктом надежных принципов и методов и (3) свидетель надежно применил принципы и методы к фактам дела. [38]

Каждое подразделение цифровой криминалистики может иметь свои собственные конкретные рекомендации по проведению расследований и обработке доказательств. Например, во время конфискации или захвата мобильных телефонов может потребоваться поместить их в щит Фарадея , чтобы предотвратить дальнейший радиотрафик к устройству. В Великобритании судебно-медицинская экспертиза компьютеров по уголовным делам осуществляется в соответствии с рекомендациями ACPO . [7] Существуют также международные подходы к предоставлению рекомендаций по обращению с электронными доказательствами . «Руководство по электронным доказательствам» Совета Европы предлагает основу для правоохранительных и судебных органов в странах, которые стремятся разработать или усовершенствовать свои собственные руководящие принципы для идентификации и обработки электронных доказательств. [39]

Инструменты расследования

Приемлемость цифровых доказательств зависит от инструментов, используемых для их извлечения. В США судебно-медицинские инструменты подчиняются стандарту Даубера , согласно которому судья несет ответственность за обеспечение приемлемости используемых процессов и программного обеспечения.

В статье 2003 года Брайан Кэрриер утверждал, что руководящие принципы Добера требуют публикации и рецензирования кодекса инструментов судебной экспертизы. Он пришел к выводу, что «инструменты с открытым исходным кодом могут более четко и полно соответствовать требованиям руководства, чем инструменты с закрытым исходным кодом». [40]

В 2011 году Джош Бранти заявил, что научная проверка технологии и программного обеспечения, связанных с проведением цифровой судебно-медицинской экспертизы, имеет решающее значение для любого лабораторного процесса. Он утверждал, что «наука цифровой криминалистики основана на принципах повторяемости процессов и качественных доказательств, поэтому знание того, как разработать и правильно поддерживать хороший процесс проверки, является ключевым требованием для любого цифрового судебно-медицинского эксперта, чтобы защитить свои методы в суде». [41]

Одним из ключевых вопросов, связанных с проверкой инструментов судебной экспертизы, является определение «базового уровня» или контрольной точки для тестирования/оценки инструментов. Предпринимались многочисленные попытки предоставить среду для тестирования функциональности криминалистических инструментов, таких как программа Computer Forensic Tool Testing (CFTT), разработанная NIST». [42]

Чтобы учесть различные среды, в которых работают специалисты, также было предпринято множество попыток создать структуру для настройки сред тестирования/оценки. [43] [44] [45] Эти ресурсы ориентированы на одну или ограниченное количество целевых систем. Однако они плохо масштабируются, когда предпринимаются попытки протестировать/оценить инструменты, предназначенные для крупных сетей или облака, которые с годами стали более распространенными в расследованиях. По состоянию на 2024 год единственной структурой, которая решает проблему использования удаленных агентов судебно-медицинскими инструментами для распределенной обработки/сбора, является структура, разработанная Адамсом. [46]

Филиалы [ править ]

Расследование цифровой криминалистики не ограничивается получением данных только с компьютера, поскольку преступники нарушают законы, а небольшие цифровые устройства (например, планшеты, смартфоны, флэш-накопители) в настоящее время широко используются. Некоторые из этих устройств имеют энергозависимую память, а некоторые — энергонезависимую. Доступны достаточные методологии для извлечения данных из энергозависимой памяти, однако отсутствует подробная методология или структура для извлечения данных из источников энергонезависимой памяти. [47] В зависимости от типа устройств, носителей или артефактов цифровая криминалистическая экспертиза подразделяется на различные типы.

Компьютерная криминалистика [ править ]

Основная статья: Компьютерная криминалистика
Частный детектив и сертифицированный специалист по цифровой криминалистике, создающий изображение жесткого диска в полевых условиях для судебно-медицинской экспертизы.

Цель компьютерной криминалистики — объяснить текущее состояние цифрового артефакта; например, компьютерная система, носитель информации или электронный документ. [48] Дисциплина обычно охватывает компьютеры, встроенные системы (цифровые устройства с элементарной вычислительной мощностью и встроенной памятью) и статическую память (например, USB-накопители).

Компьютерная криминалистика может иметь дело с широким спектром информации; от журналов (например, истории Интернета) до реальных файлов на диске. В 2007 году прокуратура использовала электронную таблицу, найденную на компьютере Джозефа Эдварда Дункана, чтобы доказать преднамеренность и добиться смертной казни . [4] Шэрон Лопатка был опознан в 2006 году после того, как на ее компьютере были обнаружены его электронные письма с подробным описанием пыток и фантазий о смерти. Убийца [7]

Экспертиза мобильных устройств [ править ]

Основная статья: Криминалистика мобильных устройств
Мобильные телефоны в сумке для улик Великобритании

Криминалистика мобильных устройств — это подраздел цифровой криминалистики, связанный с восстановлением цифровых доказательств или данных с мобильного устройства . Он отличается от компьютерной криминалистики тем, что мобильное устройство будет иметь встроенную систему связи (например, GSM ) и, как правило, собственные механизмы хранения данных. Расследования обычно сосредоточены на простых данных, таких как данные о звонках и сообщениях (SMS/электронная почта), а не на тщательном восстановлении удаленных данных. [7] [49] Данные СМС , полученные при расследовании мобильного устройства, помогли оправдать Патрика Лумумбу в убийстве Мередит Керчер . [4]

Мобильные устройства также полезны для предоставления информации о местоположении; либо с помощью встроенного GPS/отслеживания местоположения, либо с помощью журналов сотовой связи , которые отслеживают устройства в пределах их радиуса действия. Такая информация была использована для розыска похитителей Томаса Онофри в 2006 году. [4]

Сетевая криминалистика [ править ]

Основная статья: Сетевая криминалистика

Сетевая криминалистика занимается мониторингом и анализом трафика компьютерных сетей , как локальных , так и WAN / Интернет , с целью сбора информации, сбора доказательств или обнаружения вторжений. [50] Трафик обычно перехватывается на уровне пакетов и либо сохраняется для последующего анализа, либо фильтруется в режиме реального времени. В отличие от других областей цифровой криминалистики, сетевые данные часто нестабильны и редко регистрируются, что делает эту дисциплину часто реакционной.

В 2000 году ФБР заманило компьютерных хакеров Алексея Иванова и Горшкова в США для фиктивного собеседования. Отслеживая сетевой трафик с компьютеров пары, ФБР определило пароли, позволяющие им собирать доказательства непосредственно с российских компьютеров. [7] [51]

Судебно-медицинский анализ данных [ править ]

Основная статья: Судебно-медицинский анализ данных

Судебно-медицинский анализ данных — это раздел цифровой криминалистики. Он исследует структурированные данные с целью обнаружения и анализа моделей мошеннических действий, возникающих в результате финансовых преступлений.

изображений Экспертиза цифровых

цифровых Криминалистика изображений (или судебно-медицинский анализ изображений) — это раздел цифровой криминалистики, который занимается исследованием и проверкой подлинности и содержания изображения. [52] Они могут варьироваться от аэрографических фотографий сталинской эпохи до тщательно продуманных дипфейковых видеороликов. [53] [54] Это имеет широкие последствия для самых разных преступлений, для определения достоверности информации, представленной в гражданских и уголовных процессах, а также для проверки изображений и информации, которые распространяются через новости и социальные сети. [53] [55] [56] [54]

Криминалистика базы данных [ править ]

Основная статья: Криминалистика баз данных

Криминалистика баз данных — это раздел цифровой криминалистики, занимающийся судебно-медицинским исследованием баз данных и их метаданных . [57] В ходе расследований используется содержимое базы данных, файлы журналов и данные оперативной памяти для построения временной шкалы или восстановления соответствующей информации.

Криминалистика Интернета вещей [ править ]

Основная статья: Криминалистика Интернета вещей

Криминалистика Интернета вещей — это отрасль цифровой криминалистики, целью которой является выявление и извлечение цифровой информации с устройств, принадлежащих к области Интернета вещей , для использования в криминалистических расследованиях в качестве потенциального источника доказательств. [58]

См. также [ править ]

Ссылки [ править ]

  1. Перейти обратно: Перейти обратно: а б с д и ж М Рейт; С. Карр; Г Гюнш (2002). «Экспертиза цифровых криминалистических моделей». Международный журнал цифровых доказательств . CiteSeerX   10.1.1.13.9683 .
  2. ^ Кэрриер, Б. (2001). «Определение инструментов цифровой судебной экспертизы и анализа». Международный журнал цифровых доказательств . 1 : 2003. CiteSeerX   10.1.1.14.8953 .
  3. ^ «Различные отрасли цифровой криминалистики» . БлюВойант . 08.03.2022.
  4. Перейти обратно: Перейти обратно: а б с д и ж г Разное (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованиям . Академическая пресса. п. 567. ИСБН  978-0-12-374267-4 .
  5. Перейти обратно: Перейти обратно: а б с Кэрриер, Брайан Д. (7 июня 2006 г.). «Основные концепции цифровой криминалистической экспертизы» . Архивировано из оригинала 26 февраля 2010 года.
  6. ^ «Закон Флориды о компьютерных преступлениях, вероятно, первый закон США против компьютерных преступлений, становится законом» . История информации . 1978. Архивировано из оригинала 12 июня 2010 г.
  7. Перейти обратно: Перейти обратно: а б с д и ж г час я дж к л м н тот п д р с т Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN  978-0-12-163104-8 .
  8. ^ Аарон Филлип; Дэвид Коуэн; Крис Дэвис (2009). Разоблачение взлома: компьютерная криминалистика . МакГроу Хилл Профессионал. п. 544. ИСБН  978-0-07-162677-4 . Проверено 27 августа 2010 г.
  9. Перейти обратно: Перейти обратно: а б М, МЭ «Краткая история компьютерных преступлений: А» (PDF) . Норвичский университет . Архивировано (PDF) из оригинала 21 августа 2010 года . Проверено 30 августа 2010 г.
  10. Перейти обратно: Перейти обратно: а б Мохай, Джордж М. (2003). Криминалистика компьютеров и вторжений . Артеххаус. п. 395 . ISBN  978-1-58053-369-0 .
  11. Перейти обратно: Перейти обратно: а б с Питер Соммер (январь 2004 г.). «Будущее борьбы с киберпреступностью». Компьютерное мошенничество и безопасность . 2004 (1): 8–12. дои : 10.1016/S1361-3723(04)00017-X . ISSN   1361-3723 .
  12. Перейти обратно: Перейти обратно: а б с Симсон Л. Гарфинкель (август 2010 г.). «Цифровая криминалистика: ближайшие 10 лет» . Цифровое расследование . 7 : S64–S73. дои : 10.1016/j.diin.2010.05.009 . ISSN   1742-2876 .
  13. ^ Линда Волонино; Рейнальдо Анзалдуа (2008). Компьютерная криминалистика для чайников . Для чайников . п. 384. ИСБН  978-0-470-37191-6 .
  14. ^ Г.Л. Палмер; Я Ученый; H Вид (2002). «Криминалистический анализ в цифровом мире» . Международный журнал цифровых доказательств . Проверено 2 августа 2010 г.
  15. ^ Уайлдинг, Э. (1997). Компьютерные доказательства: Справочник по судебно-медицинским расследованиям . Лондон: Свит и Максвелл. п. 236. ИСБН  978-0-421-57990-3 .
  16. ^ Коллиер, Пенсильвания; Спаул, Би Джей (1992). «Судебно-медицинская методика противодействия компьютерной преступности». Компьютеры и право .
  17. Перейти обратно: Перейти обратно: а б КС Розенблатт (1995). Преступления в сфере высоких технологий: расследование дел с участием компьютеров . Публикации КСК. ISBN  978-0-9648171-0-4 . Проверено 4 августа 2010 г.
  18. ^ «Лучшие практики компьютерной криминалистики» (PDF) . СВГДЕ. Архивировано из оригинала (PDF) 27 декабря 2008 года . Проверено 4 августа 2010 г.
  19. ^ «ИСО/МЭК 17025:2005» . ИСО. Архивировано из оригинала 5 августа 2011 года . Проверено 20 августа 2010 г.
  20. ^ С.Г. Пунджа (2008). «Анализ мобильных устройств» (PDF) . Журнал криминалистики малых цифровых устройств . Архивировано из оригинала (PDF) 28 июля 2011 г.
  21. ^ Ризван Ахмед (2008). «Мобильная криминалистика: обзор, инструменты, будущие тенденции и проблемы с точки зрения правоохранительных органов» (PDF) . 6-я Международная конференция по электронному управлению . Архивировано (PDF) из оригинала 03 марта 2016 г.
  22. ^ «Совместная операционная среда». Архивировано 10 августа 2013 г. на Wayback Machine , отчет выпущен 18 февраля 2010 г., стр. 34–36.
  23. ^ Петерсон, Гилберт; Шеной, Суджит (2009). «Цифровая судебно-медицинская экспертиза: хорошее, плохое и нерешенное». Достижения в цифровой криминалистике V . ИФИП: Достижения в области информационных и коммуникационных технологий. Том. 306. Спрингер Бостон. стр. 17–36. Бибкод : 2009adf5.conf...17B . дои : 10.1007/978-3-642-04155-6_2 . ISBN  978-3-642-04154-9 .
  24. ^ Мохай, Джордж М. (2003). Криминалистика компьютеров и вторжений . Артех Хаус. ISBN  9781580536301 .
  25. ^ ФАТХ, Алим А.; Хиггинс, Кэтлин М. (февраль 1999 г.). Судебно-медицинские лаборатории: Справочник по планированию, проектированию, строительству и переезду объектов . Издательство ДИАНА. ISBN  9780788176241 .
  26. Перейти обратно: Перейти обратно: а б Адамс, Ричард (2013). « Усовершенствованная модель сбора данных (ADAM): модель процесса для цифровой криминалистической практики» . Университет Мердока. Архивировано (PDF) из оригинала 14 ноября 2014 г.
  27. ^ « Электронное руководство по расследованию места преступления: руководство для служб быстрого реагирования» (PDF) . Национальный институт юстиции. 2001. Архивировано (PDF) из оригинала 15 февраля 2010 г.
  28. ^ «Поймать призрака: как обнаружить эфемерные улики с помощью анализа Live RAM» . Белкасофт Исследования. 2013.
  29. ^ Адамс, Ричард (2013). « Появление облачных хранилищ и потребность в новой модели процесса цифровой криминалистики» (PDF) . Университет Мердока.
  30. ^ Маартен Ван Хоренбек (24 мая 2006 г.). «Расследование технологических преступлений» . Архивировано из оригинала 17 мая 2008 года . Проверено 17 августа 2010 г.
  31. Перейти обратно: Перейти обратно: а б Ричард, Адамс; Грэм, Манн; Валери, Хоббс (2017). ISEEK — инструмент для высокоскоростного, одновременного и распределенного сбора данных судебно-медицинской экспертизы . 15-я Австралийская конференция по цифровой криминалистике, 5–6 декабря 2017 г. Перт, Западная Австралия.
  32. ^ Хёльц, Бруно В.П.; Ралха, Селия Гедини; Гивергезе, Раджив (8 марта 2009 г.). «Искусственный интеллект применительно к компьютерной криминалистике». Материалы симпозиума ACM по прикладным вычислениям 2009 года . АКМ. стр. 883–888. дои : 10.1145/1529282.1529471 . ISBN  9781605581668 . S2CID   5382101 .
  33. ^ Уоррен Г. Круз; Джей Г. Хейзер (2002). Компьютерная криминалистика: основы реагирования на инциденты . Аддисон-Уэсли. п. 392 . ISBN  978-0-201-70719-9 .
  34. Перейти обратно: Перейти обратно: а б с д Сара Мокас (февраль 2004 г.). «Создание теоретической основы для исследований в области цифровой криминалистики». Цифровое расследование . 1 (1): 61–68. CiteSeerX   10.1.1.7.7070 . дои : 10.1016/j.diin.2003.12.004 . ISSN   1742-2876 .
  35. ^ Канеллис, Панайотис (2006). Цифровая преступность и криминалистика в киберпространстве . Идея Групп Инк (IGI). п. 357. ИСБН  978-1-59140-873-4 .
  36. ^ США против. Боналло , 858 F.2d 1427 ( 9-й округ 1988 г.).
  37. ^ «Федеральные правила доказывания №702» . Архивировано из оригинала 19 августа 2010 года . Проверено 23 августа 2010 г.
  38. ^ «Электронный справочник по доказательствам» . Совет Европы. Апрель 2013 г. Архивировано из оригинала 27 декабря 2013 г.
  39. ^ Бранти, Джош (март 2011 г.). «Проверка инструментов и программного обеспечения для судебно-медицинской экспертизы: Краткое руководство для цифрового судебно-медицинского эксперта» . Судебно-медицинский журнал. Архивировано из оригинала 22 апреля 2017 г.
  40. ^ «Программа тестирования инструментов компьютерной криминалистики (CFTT)» . Отдел программного обеспечения и систем Группа качества программного обеспечения . NIST Лаборатория информационных технологий . 8 мая 2017 г.
  41. ^ https://www.researchgate.net/publication/236681282_On-scene_Triage_open_source_forensic_tool_chests_Are_they_efficient ?
  42. ^ https://research.tees.ac.uk/ws/portalfiles/portal/4355231/621551.pdf
  43. ^ Хильдебрандт, Марио; Кильц, Стефан; Диттманн, Яна (2011). «Общая схема оценки программного обеспечения для судебно-медицинской экспертизы» . 2011 Шестая международная конференция по управлению инцидентами в сфере ИТ-безопасности и ИТ-криминалистике . стр. 92–106. дои : 10.1109/IMF.2011.11 . ISBN  978-1-4577-0146-7 .
  44. ^ https://espace.curtin.edu.au/bitstream/handle/20.500.11937/93974/Adams%20RB%202023%20Public.pdf?sequence=1&isAllowed=y
  45. ^ Янсен, Уэйн (2004). «Айерс» (PDF) . Специальное издание NIST . НИСТ. doi : 10.6028/NIST.SP.800-72 . Архивировано (PDF) из оригинала 12 февраля 2006 г. Проверено 26 февраля 2006 г.
  46. ^ Ясиншак; Р.Ф. Эрбахер; Д.Г. Маркс; ММ Поллитт (2003). «Компьютерно-криминалистическое образование». Безопасность и конфиденциальность IEEE . 1 (4): 15–23. дои : 10.1109/MSECP.2003.1219052 .
  47. ^ «Расследование технологических преступлений :: Мобильная криминалистика» . Архивировано из оригинала 17 мая 2008 года . Проверено 18 августа 2010 г.
  48. ^ Гэри Палмер, Дорожная карта цифровых криминалистических исследований, отчет DFRWS 2001, Первый семинар по цифровым криминалистическим исследованиям, Ютика, Нью-Йорк, 7–8 августа 2001 г., страницы 27–30
  49. ^ «Двум россиянам предъявлены обвинения в хакерстве» . Москва Таймс . 24 апреля 2001 г. Архивировано из оригинала 22 июня 2011 г. Проверено 3 сентября 2010 г.
  50. ^ Бернс, Мэтт (6 марта 2020 г.). «Краткое руководство по криминалистике цифровых изображений» . Камера-криминалистика . Проверено 21 декабря 2022 г.
  51. Перейти обратно: Перейти обратно: а б Фарид, Хани (15 сентября 2019 г.). «Экспертиза изображений» . Ежегодный обзор Vision Science . 5 (1): 549–573. doi : 10.1146/annurev-vision-091718-014827 . ISSN   2374-4642 . ПМИД   31525144 . S2CID   202642073 . Проверено 21 декабря 2022 г.
  52. Перейти обратно: Перейти обратно: а б Уолдроп, М. Митчелл (16 марта 2020 г.). «Синтетические медиа: настоящая проблема с дипфейками» . Знающий журнал . Ежегодные обзоры. doi : 10.1146/knowable-031320-1 . Проверено 19 декабря 2022 г.
  53. ^ Павелец, М (2022). «Дипфейки и демократия (теория): как синтетические аудиовизуальные средства дезинформации и разжигания ненависти угрожают основным демократическим функциям» . Цифровое общество: этика, социально-правовая политика и управление цифровыми технологиями . 1 (2): 19. дои : 10.1007/s44206-022-00010-6 . ПМЦ   9453721 . ПМИД   36097613 .
  54. ^ Вестерлунд, Мика (2019). «Появление технологии Deepfake: обзор» . Обзор управления технологическими инновациями . 9 (11): 39–52. дои : 10.22215/timreview/1282 . ISSN   1927-0321 . S2CID   214014129 .
  55. ^ Оливье, Мартин С. (март 2009 г.). «О контексте метаданных в криминалистике баз данных». Цифровое расследование . 5 (3–4): 115–123. CiteSeerX   10.1.1.566.7390 . дои : 10.1016/j.diin.2008.10.001 .
  56. ^ М. Стоянова; Ю. Николудакис; С. Панагиотакис; Э. Паллис; Э. Маркакис (2020). «Обзор криминалистики Интернета вещей (IoT): проблемы, подходы и открытые проблемы» . Опросы и учебные пособия IEEE по коммуникациям . 22 (2): 1191–1221. дои : 10.1109/COMST.2019.2962586 . S2CID   213028057 .

Дальнейшее чтение [ править ]

Связанные журналы [ править ]

Внешние ссылки [ править ]

Викискладе есть медиафайлы по теме цифровой криминалистики .
Поищите информацию о цифровой криминалистике в Викисловаре, бесплатном словаре.
В Wikibooks есть дополнительная информация по теме: Цифровая криминалистика.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Digital_forensics&oldid=1223503633"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: e8c621e6394966de88a0b6ccb437e4fc__1715518020
URL1:https://arc.ask3.ru/arc/aa/e8/fc/e8c621e6394966de88a0b6ccb437e4fc.html
Заголовок, (Title) документа по адресу, URL1:
Digital forensics - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)