Учебники

Python Digital Forensics – Введение

Эта глава даст вам представление о том, что такое цифровая криминалистика, и ее исторический обзор. Вы также поймете, где вы можете применять цифровую экспертизу в реальной жизни и ее ограничения.

Что такое цифровая криминалистика?

Цифровая криминалистика может быть определена как отрасль криминалистики, которая анализирует, исследует, идентифицирует и восстанавливает цифровые доказательства, хранящиеся на электронных устройствах. Это обычно используется для уголовного права и частных расследований.

Например, вы можете положиться на извлечение улик из цифровой криминалистической экспертизы в случае кражи данных на электронном устройстве.

Краткий исторический обзор цифровой криминалистики

История компьютерных преступлений и исторический обзор цифровой криминалистики объяснены в этом разделе как дано ниже –

1970-е-1980-е годы: первое компьютерное преступление

До этого десятилетия компьютерное преступление не было признано. Однако, если это должно было произойти, тогда действующие законы имели дело с ними. Позже, в 1978 году, первое преступление к компьютерам было признано в Законе о компьютерных преступлениях во Флориде, который включал законодательство, запрещающее несанкционированное изменение или удаление данных в компьютерной системе. Но с течением времени, благодаря развитию технологий, спектр компьютерных преступлений также увеличился. Для того, чтобы иметь дело с преступлениями, связанных с авторским правом, неприкосновенностью частной жизни и детской порнографией, были приняты различные другие законы.

1980-е-1990-е годы: десятилетие развития

Это десятилетие было десятилетием развития цифровой криминалистики, и все из-за первого в истории расследования (1986), в котором Клифф Столл отслеживал хакера по имени Маркус Хесс. В течение этого периода были разработаны два вида дисциплин цифровой криминалистики – сначала с помощью специальных инструментов и методов, разработанных практикующими специалистами, которые восприняли это как хобби, а во втором – научное сообщество. В 1992 году термин «компьютерная криминалистика» использовался в научной литературе.

2000-е-2010-е годы: десятилетие стандартизации

После того, как цифровая криминалистика достигла определенного уровня, возникла необходимость в разработке определенных стандартов, которым можно следовать при проведении расследований. Соответственно, различные научные учреждения и органы опубликовали руководящие принципы для цифровой криминалистики. В 2002 году Научная рабочая группа по цифровым доказательствам (SWGDE) опубликовала документ под названием «Лучшие практики компьютерной криминалистики». Другим пером в кепке был международный договор под руководством Европы, а именно «Конвенция о киберпреступности», подписанная 43 странами и ратифицированная 16 странами. Даже после таких стандартов все еще существует необходимость решить некоторые проблемы, которые были выявлены исследователями.

Процесс цифровой криминалистики

С тех пор, как в 1978 году было совершено первое преступление, связанное с использованием компьютеров, масштабы цифровой преступной деятельности значительно возросли. Из-за этого приращения существует необходимость в структурированном способе борьбы с ними. В 1984 году был введен формализованный процесс, и после этого было разработано большое количество новых и усовершенствованных процессов компьютерного криминалистического расследования.

Процесс компьютерного криминалистического расследования включает три основных этапа, описанных ниже:

Этап 1: приобретение или визуализация экспонатов

Первый этап цифровой криминалистики включает сохранение состояния цифровой системы, чтобы его можно было проанализировать позже. Это очень похоже на фотографирование, образцы крови и т. Д. С места преступления. Например, это включает захват изображения выделенных и нераспределенных областей жесткого диска или ОЗУ.

Этап 2: Анализ

Входом этой фазы являются данные, полученные на этапе сбора данных. Здесь эти данные были изучены для выявления доказательств. Эта фаза дает три вида доказательств следующим образом:

  • Обвинительные доказательства – эти доказательства подтверждают данную историю.

  • Оправдательные доказательства – эти доказательства противоречат данной истории.

  • Свидетельство взлома – эти свидетельства показывают, что система была закалена, чтобы избежать идентификации. Включает проверку файлов и содержимого каталога для восстановления удаленных файлов.

Обвинительные доказательства – эти доказательства подтверждают данную историю.

Оправдательные доказательства – эти доказательства противоречат данной истории.

Свидетельство взлома – эти свидетельства показывают, что система была закалена, чтобы избежать идентификации. Включает проверку файлов и содержимого каталога для восстановления удаленных файлов.

Этап 3: презентация или отчетность

Как следует из названия, этот этап представляет заключение и соответствующие доказательства из расследования.

Применение цифровой криминалистики

Цифровая криминалистика занимается сбором, анализом и сохранением доказательств, содержащихся в любом цифровом устройстве. Использование цифровой криминалистики зависит от приложения. Как упоминалось ранее, он используется в основном в следующих двух приложениях –

Уголовное право

В уголовном праве доказательства собираются для поддержки или опровержения гипотезы в суде. Процедуры судебной экспертизы очень похожи на те, которые используются в уголовных расследованиях, но с другими юридическими требованиями и ограничениями.

Частное расследование

В основном корпоративный мир использует цифровую экспертизу для частных расследований. Он используется, когда компании подозревают, что сотрудники могут выполнять незаконные действия на своих компьютерах, что противоречит политике компании. Цифровая криминалистическая экспертиза обеспечивает один из лучших способов для компании или человека выбрать при расследовании кого-либо для цифрового неправомерного поведения.

Отрасли цифровой криминалистики

Цифровая преступность не ограничивается только компьютерами, однако хакеры и преступники используют небольшие цифровые устройства, такие как планшеты, смартфоны и т. Д., Также в очень больших масштабах. Некоторые устройства имеют энергозависимую память, в то время как другие имеют энергонезависимую память. Следовательно, в зависимости от типа устройств, цифровая криминалистика имеет следующие ветви –

Компьютерная криминалистика

Эта отрасль цифровой криминалистики занимается компьютерами, встроенными системами и статической памятью, такой как USB-накопители. Широкий спектр информации от журналов до реальных файлов на диске может быть исследован в компьютерной экспертизе.

Мобильная криминалистика

Это касается исследования данных с мобильных устройств. Эта ветвь отличается от компьютерной экспертизы в том смысле, что мобильные устройства имеют встроенную систему связи, которая полезна для предоставления полезной информации, связанной с местоположением.

Сетевая криминалистика

Это касается мониторинга и анализа трафика компьютерной сети, как локальной, так и глобальной сети (глобальная сеть) в целях сбора информации, сбора доказательств или обнаружения вторжений.

База данных Криминалистика

Эта ветвь цифровой криминалистики занимается криминалистическим изучением баз данных и их метаданных.

Навыки, необходимые для проведения цифровых криминалистических исследований

Цифровые криминалисты помогают отслеживать хакеров, восстанавливать украденные данные, отслеживать компьютерные атаки и возвращаться к их источнику, а также помогают в других типах расследований, связанных с компьютерами. Некоторые из ключевых навыков, необходимых для того, чтобы стать цифровым судебно-медицинским экспертом, описаны ниже.

Выдающиеся способности мышления

Цифровой криминалист должен быть выдающимся мыслителем и должен уметь применять различные инструменты и методологии для конкретного задания для получения результатов. Он / она должен уметь находить разные закономерности и устанавливать между ними взаимосвязи.

Технические навыки

Цифровой судебно-медицинский эксперт должен обладать хорошими технологическими навыками, потому что эта область требует знания сети, взаимодействия цифровой системы.

Страстный о кибер-безопасности

Поскольку область цифровой криминалистики – это раскрытие киберпреступлений, а это утомительная задача, нужно, чтобы кто-то стал специалистом по цифровым криминалистам.

Навыки общения

Хорошие коммуникативные навыки необходимы для координации с различными командами и извлечения недостающих данных или информации.

Умелое создание отчетов

После успешного осуществления сбора и анализа цифровой судебно-медицинский эксперт должен упомянуть все полученные данные в окончательном отчете и презентации. Следовательно, он / она должен обладать хорошими навыками составления отчетов и вниманием к деталям.

Ограничения

Цифровая криминалистическая экспертиза предлагает определенные ограничения, как обсуждено здесь –

Необходимо представить убедительные доказательства

Один из основных недостатков цифрового криминалистического расследования заключается в том, что эксперт должен соблюдать стандарты, которые необходимы для доказательств в суде, поскольку данные могут быть легко подделаны. С другой стороны, компьютерный судебный следователь должен иметь полное представление о правовых требованиях, обработке доказательств и процедурах документирования, чтобы представить убедительные доказательства в суде.

Инструменты исследования

Эффективность цифрового расследования целиком и полностью зависит от экспертизы цифрового судебного эксперта и выбора правильного инструмента расследования. Если используемый инструмент не соответствует указанным стандартам, то в суде, доказательства могут быть отклонены судьей.

Недостаток технических знаний среди аудитории

Другое ограничение заключается в том, что некоторые люди не совсем знакомы с компьютерной криминалистикой; поэтому многие люди не понимают эту область. Следователи должны быть доведены до сведения своих выводов в судах таким образом, чтобы помочь каждому понять результаты.

Стоимость

Изготовление цифровых доказательств и их сохранение обходятся очень дорого. Следовательно, этот процесс не может быть выбран многими людьми, которые не могут позволить себе стоимость.