Forensics

Forensics  är en tillämpad vetenskap för att lösa brott relaterade till datorinformation, studier av digitala bevis, metoder för att söka, erhålla och fixa sådana bevis. Forensics är en underavdelning av forensisk vetenskap .

Ordet "Forensics" eller dator forensics, kommer från latinets "foren", vilket betyder tal inför forumet, det vill säga ett tal inför domstolen, rättslig debatt. Termen "kriminalteknik" är en förkortad form av "rättsvetenskap", bokstavligen "rättsmedicinsk vetenskap", det vill säga vetenskapen om att granska bevis, som på ryska kallas forensisk vetenskap. I sin tur kallas den sektion av forensics som studerar datorbevis på engelska för "computer forensics". När det lånades, minskade ordet dess betydelse. Rysk "kriminalteknik" betyder uteslutande datorkriminalteknik [1] .

Ämnen för kriminalteknik är:

● kriminell praxis - metoder, verktyg för att begå relevanta brott, deras konsekvenser, spår kvar, gärningsmannens identitet;

● operativ, utrednings- och rättspraxis om databrott;

● metoder för expertforskning av datorinformation och i synnerhet datorprogram;

● prestationer inom kommunikations- och informationsteknikindustrin (IT), deras inverkan på samhället, samt möjligheten att använda dem både för att begå brott och för att förebygga och avslöja dem [2] .

Forensics löser följande uppgifter:

● utveckling av taktik för operativa sökaktiviteter (ORM) och utredningsåtgärder relaterade till datorinformation;

● skapande av metoder, hårdvara och mjukvaruverktyg för att samla in och undersöka bevis för databrott;

● fastställa kriminaltekniska kännetecken för brott relaterade till datorinformation.

Tillämpningsområden för kriminalteknik:

1. Utlämnande och utredning av brott där datorinformation framstår som föremål för intrång, dator som verktyg för att begå brott samt eventuell digital bevisning.

2. Insamling och prövning av bevis för tvistemål, när sådan bevisning är i form av datainformation. Detta gäller särskilt i fall av intrång i immateriella rättigheter, då föremålet för dessa rättigheter presenteras i form av datorinformation - ett datorprogram, ett annat verk i digital form, ett varumärke på Internet, ett domännamn, etc.

3. Försäkringsutredningar utförda av försäkringsbolag avseende eventuella brott mot avtalsvillkoren, försäkringsbedrägerier, särskilt när försäkringsobjektet presenteras i form av datainformation eller ett sådant objekt är ett informationssystem.

4. Företagsinterna utredningar av säkerhetsincidenter relaterade till informationssystem, samt arbete för att förhindra läckage av information innehållande affärshemligheter och andra konfidentiella uppgifter.

5. Militära och underrättelseuppgifter för att söka efter, förstöra och återställa datorinformation i samband med påverkan på fiendens informationssystem och skydd av deras system.

6. Uppgifterna att skydda medborgarna av deras personliga information i elektronisk form, självförsvar av deras rättigheter när det är kopplat till elektroniska dokument och informationssystem.

Klassificering av dator forensics

Computer forensics är en undergrupp av forensics som behandlar bevis som finns i datorer och digitala medier. Målet med datorforensik är att undersöka digitala medier ur ett forensiskt perspektiv för att identifiera, bevara, återställa, analysera och presentera fakta och åsikter om digital information.

Även om det oftast förknippas med att utreda en mängd olika databrott, kan datorkriminalteknik också användas i civilrättsliga tvister. Disciplinen inkluderar tekniker och principer som liknar dataåterställning, men med ytterligare riktlinjer och tekniker utvecklade för att skapa ett revisionsspår.

Datakriminaltekniska bevis är i allmänhet föremål för samma regler och praxis som andra digitala bevis.

Nätverkskriminalteknik är en delmängd av digital forensik relaterad till övervakning och analys av datornätverkstrafik för att samla in information, juridiska bevis eller intrångsdetektering [3] . Till skillnad från andra områden inom digital forensik, handlar onlineutredningar om förändrad och dynamisk information. Nätverkstrafik överförs och går sedan förlorad, så nätverksforensik är ofta en proaktiv undersökning [4] .

Rättsmedicinsk dataanalys är en delmängd av kriminalteknik som handlar om studier av strukturerad ekonomisk brottslighet. Syftet med studien är att upptäcka och analysera bedrägerier. Data från applikationssystem eller från underliggande databaser kallas strukturerad data.

Ostrukturerad data, å andra sidan, hämtas från kommunikations- och kontorsapplikationer eller från mobila enheter. Dessa data har inte en heltäckande struktur och analysen av dem involverar användning av nyckelord eller visning av kommunikationsmönster. Analysen av ostrukturerad data kallas vanligen för datorforensik.

Forensics för mobila enheter är en underavdelning av forensik som handlar om sökning, utvinning och fixering av digitala bevis tillgängliga i mobila enheter som mobiltelefoner, smartphones, surfplattor, etc. [5]

Hardware forensic examination (Hardware forensic) - undersökning av hårdvara och teknisk utrustning. Denna riktning är den minst populära och svåraste. Detta inkluderar att analysera lågnivådata (mikrokontroller, firmware eller BIOS), undersöka enhetens specifika egenskaper, till exempel frekvensområdet för Wi-Fi-sändaren eller den interna enheten för skummaren installerad på bankomater.

Stadier av den rättsmedicinska processen

Den rättsmedicinska processen delas vanligtvis in i fyra steg:

1) samling;

2) forskning;

3) analys;

4) presentation.

I det första skedet samlas både själva informationen och bärarna av datorinformation in. Samlingen bör åtföljas av attribution (taggning), som anger källor och ursprung för data och objekt. Under insamlingsprocessen måste informationens säkerhet och integritet (oföränderlighet) och i vissa fall även dess konfidentialitet säkerställas. Vid insamling måste man ibland vidta särskilda åtgärder för att fånga kortlivad (flyktig) information, till exempel aktuella nätverksanslutningar eller innehållet i datorns RAM.

I det andra steget genomförs en expertstudie av den insamlade informationen (bärarobjekt). Det inkluderar att extrahera/läsa information från media, avkoda och isolera från den den som är relevant för fallet. Vissa studier kan automatiseras till viss del. Men experten måste fortfarande arbeta med huvudet och händerna i detta skede. Samtidigt måste också integriteten hos information från de studerade medierna säkerställas.

I det tredje steget analyseras den valda informationen för att få svar på de frågor som ställs till experten eller specialisten. Analysen bör endast använda vetenskapliga metoder, vars tillförlitlighet bekräftas.

Det fjärde steget omfattar formalisering av resultaten av forskning och analys i den form som fastställts i lag och som är förståelig för icke-specialister [2] .

De viktigaste verktygen för kriminalteknik

1) AccessDataForensicToolkit - programvara för att utföra datorkriminalteknik, för att analysera en RAM-dump, använder ett kraftfullt sökverktyg, arkiverar data och genomför en fullständig undersökning av en dator som en del av en kriminalteknisk undersökning;

2) BrowserForensicTool - ett verktyg för att extrahera information om användaråtgärder från olika webbläsare;

3) TheSleuthKit (TSK) - ett bibliotek med konsolprogram utformade för att analysera data på godtyckliga filsystem. Med hjälp av denna programvara kan utredare identifiera och återställa raderade data från bilder tagna under en utredning eller från livesystem;

4) EncryptedDiskDetector - ett program som hjälper till att hitta dolda TrueCrypt-, PGP- och Bitlocker-krypterade volymer på den lokala datorn med hjälp av diskkrypteringssignaturen i huvudstartområdet [6] .

Berättelse

Fram till 1970-talet handlades databrott utifrån gällande lagar. För första gången, som en självständig typ av brott, införlivades databrott 1978 i lagen i delstaten Florida om databrott, som inkluderade lagstiftning mot otillåten modifiering eller radering av data i ett datorsystem. [7] Under åren har datorstödda brottstyper ökat, vilket leder till lagar som reglerar upphovsrätt, integritet/trakasserier (t.ex. nätmobbning, glad smisk, nätförföljelse och rovdjur på nätet) och övergrepp mot barn. pornografi [8] . Arkiverad (PDF)) Det var inte förrän på 1980-talet som databrott började inkluderas i federala lagar. Kanada var det första landet som antog en sådan lag 1983. [9] Detta följdes av USA:s federala lag från 1986 "Computer Fraud and Abuse Act", sedan 1989 har ändringar i Australiens lagstiftning om relevanta brott varit i kraft. I Förenade kungariket Storbritannien har lagen om missbruk av datorer varit i kraft sedan 1990 [10] .

1980-1990-talen: utveckling av branschen

Tillväxten av databrott på 80- och 90-talen av 1900-talet gjorde att brottsbekämpande myndigheter i enskilda stater skapade specialstyrkor för att lösa de tekniska aspekterna av att utreda databrott. Till exempel, i USA, 1984 lanserade FBI ett "Computer Analysis and Response Team", och året därpå skapades en Fraud Squad och lanserades i Storbritanniens Metropolitan Police. Förutom att vara yrkesverksamma inom brottsbekämpning, var många av de tidiga medlemmarna i dessa grupper också datorentusiaster och blev ansvariga för den initiala forskningen och riktningen inom detta område [11] .

Ett av de första (eller åtminstone publicerade) exemplen på användning av digital forensics i brottsutredningar var Cliff Stolls jakt på hackaren Markus Hess 1986. Stoll, som inte var en specialutbildad databrottsexpert, använde dator- och nätverksforensiska metoder. [12] Under hela 1990-talet fanns en stark efterfrågan på nya basresurser för att utreda cyberbrott. Under denna period gjorde utvecklingen av vetenskapen om datorforensik det möjligt att överge användningen av verktyg och metoder som utvecklats av amatörutövare, vilket står i kontrast till andra kriminaltekniska discipliner som utvecklats av det vetenskapliga samfundet [13] . Det var inte förrän 1992 som termen "computer forensics" officiellt användes i den akademiska litteraturen. Så Collier P. A. och Spole B. J. I sin artikel "Forensic Methodology for Combating Computer Crime" försökte rättfärdiga den nya disciplinen inför den rättsmedicinska vetenskapens värld [14] . Denna snabba utveckling har lett till bristande standardisering och utbildning. I sin bok från 1995 High Tech Crime: Investigating Cases Involving Computers.

C. Rosenblatt skrev: Beslag, bevarande och analys av bevis som lagrats på en dator är det största kriminaltekniska problemet som brottsbekämpande myndigheter stod inför på 1990-talet. Även om de flesta kriminaltekniska tester, såsom fingeravtryck och DNA-testning, utförs av specialutbildade granskare, överlåts ofta uppgiften att samla in och analysera databevis åt patrullpoliser och kriminalare [15] .

2000-talet: Utveckling av standarder

Sedan 2000 har det funnits ett behov av standardisering, olika instanser och myndigheter börjar publicera dokument som fastställer riktlinjer för digital forensik. The Scientific Working Group on Digital Evidence (SWGDE) utarbetade en rapport 2002 om "Best Practices in Computer Forensics" följt av en publikation 2005 - ISO-standard (ISO 17025, "Allmänna krav för kompetensen hos test- och kalibreringslaboratorier") [16 ] . SWDE. Arkiverad från originalet (PDF) den 27 december 2008. 2004 trädde Cyberbrottskonventionen i kraft. Syftet med undertecknarna av detta dokument var att harmonisera sina nationella lagar om databrott, undersökningsmetoder och internationellt samarbete. Konventionen har undertecknats av 43 länder (inklusive USA, Kanada, Japan, Sydafrika, Storbritannien och andra europeiska länder) och ratificerats av 16.

Inte utan inkludering av datorkriminalteknik i utbildningsprogrammen för experter. Kommersiella företag (utvecklare av kriminalteknisk programvara) har börjat erbjuda certifieringsprogram och digital kriminalteknik har införlivats i läroplanen för ett specialistcenter i Storbritannien. Centrex [17] . Sedan slutet av 1990-talet har mobila enheter blivit mer kompakta och funktionsrika, överträffat enkla kommunikationsenheter i tekniska termer, och har visat sig vara rika informationskällor, vilket gör det möjligt att begå brott som inte traditionellt förknippas med digital kriminalteknik [18] . Trots ovanstående omständigheter har den digitala analysen av bärbar elektronik släpat efter traditionella datormedia på grund av enheternas proprietära karaktär [19] . Senare flyttades fokus till att begå kriminella handlingar på Internet, vilket resulterade i uppkomsten av en ny aspekt av hybridkrig, såväl som uppkomsten av ett sådant fenomen som cyberterrorism.

I en rapport från februari 2010 pekade United States Joint Forces Command på uppkomsten av nya hot som härrör från universell informatisering, i synnerhet konstaterade rapporten följande: Genom cyberrymden kommer fiender att rikta sig mot industri, akademi, regering, såväl som militären. i luften, på land, till havs och i rymden. På ungefär samma sätt som flyget förändrade slagfältet under andra världskriget, bröt utvecklingen av cyberrymden ner de barriärer som skyddade ett land från attacker mot dess handel och kommunikationer [20] .

Det finns fortfarande olösta problem inom området digital forensics.

År 2009 publicerades en rapport av Peterson och Shenoy "Digital forensic research: the good, the bad and the inconclusive", enligt vilken bland rättsmedicinska experter en partiskhet mot Windows-operativsystem avslöjades i digital forensisk forskning [21] . 2010 uttryckte Simson Garfinkel de utmaningar som digitala utredningar kommer att möta i framtiden. Dessa inkluderade: den växande volymen digitala medier, den allmänna tillgängligheten till kryptering för användare, olika operativsystem och filformat, det ökade ägandet av flera enheter och juridiska restriktioner för utredare. Även bland Simson påpekade Garfinkel att det finns ett starkt incitament för flera specifika leverantörer att implementera sina forskningsresultat i samband med komplexa kriminaltekniska sviter eller applikationer. Dessa leverantörer undviker till stor del den verktygsbaserade Unix-filosofin och föredrar istället att bygga Microsoft Office-liknande applikationer. Detta tillvägagångssätt kan göra det lättare att utbilda användare och bidra till att blockera produkten, men det ökar också kostnaderna för domänen som helhet [22] .

Anteckningar

  1. N. N. Fedotov: Forensics - Computer forensics - M .: Legal world, 2007. - 433 sid.
  2. 1 2 N. N. Fedotov: Forensics - Computer forensics - M .: Legal World, 2007. - 432 sid.
  3. Gary Palmer, Roadmap for Digital Forensic Research, DFRWS Report 2001, First Digital Forensic Research Workshop, Utica, New York, 7-8 augusti 2001, pp(c)27-30.
  4. Casey, Johann (2004). Digitala bevis och datorbrott, andra upplagan. Elsevier. ISBN 0-12-163104-4
  5. Golik K. N. Forensisk undersökning av mobila enheter // Modern jurisprudens: aktuella frågor, prestationer och innovationer. Penza. - 2019. - 206-208 sid.
  6. Medvedev Ilya Valerievich Computer forensics "Forensics" och cyberbrottslighet i Ryssland // Prologue: Journal of Law. 2013. Nr 3. URL: https://cyberleninka.ru/article/n/kompyuternaya-kriminalistika-forenzika-i-kiberprestupnost-v-rossii (Datum för åtkomst: 2021-05-26
  7. ( https://web.archive.org/web/20100612064428/http://www.clas.ufl.edu/docs/flcrimes/chapter2_1.html)[6 ] (Casey, Johann (2004). Digitala bevis och databrott, andra upplagan Elsevier ISBN 978-0-12-163104-8 .)
  8. (Aaron Phillip; David Cowan; Chris Davis (2009). Exposing Hacking: Computer Forensics. McGraw Hill Professional. s. 544. ISBN 978-0-07-162677-4 .) [8] (M., M. E En kort historia om datorbrott: A (PDF) Norwich University.
  9. (Casey, Johann (2004). Digital Evidence and Computer Crimes, andra upplagan. Elsevier. ISBN 978-0-12-163104-8 .)
  10. (Casey, Johann (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8 .) [8] (M., M. E. "A Brief History of Computer Crime: A " (PDF). Norwich University. Arkiverad (PDF)))
  11. . (Mohai, George M. (2003). Computer Forensics and Intrusion Forensics. Artechhouse. s.395. ISBN 978-1-58053-369-0 .) [10] (Peter Sommer (januari 2004). " Framtiden of Fighting Cybercrime Computer Fraud and Security 2004 (1): 8-12 Doi:10.1016/S1361-3723 (04) 00017-X ISSN 1361-3723)
  12. (Simson L. Garfinkel (augusti 2010). "Digital Forensics Research: The Next 10 Years." Digital Investigation. 7: S64 - S73. Doi:10.1016 / j.diin.2010.05.009. ISSN 1742-2876.
  13. (M Reith; C Carr; G. Gunsch (2002). "Digital Forensic Model Examination". International Journal of Digital Evidence. CiteSeerX 10.1.1.13.9683.) [13](G. L. Palmer; I am a Scientist; H View (2002) "Forensic Analysis in the Digital World" International Journal of Digital Evidence.)
  14. (Wilding, E. (1997). Computer Evidence: Handbook of Forensic Investigations. London: Sweet & Maxwell. s. 236. ISBN 978-0-421-57990-3 .) [15] (Collier, PA.; Spaul , BJ (1992) "Forensic Technique for Combating Computer Crime" Computers and the Law.)
  15. ^ (K. S. Rosenblatt (1995). High Tech Crimes: Investigating Cases Involving Computers. KSK Publications. ISBN 978-0-9648171-0-4 .)
  16. Casey, Johann (2004). Digitala bevis och datorbrott, andra upplagan. Elsevier. ISBN 978-0-12-163104-8 . "Bästa praxis inom datorforensik" (PDF).
  17. Casey, Johann (2004). Digitala bevis och datorbrott, andra upplagan. Elsevier. ISBN 978-0-12-163104-8 . Peter Sommer (januari 2004). "Framtiden för att bekämpa cyberbrottslighet". Datorbedrägeri och säkerhet. 2004(1): 8-12. Doi:10.1016/S1361-3723(04)00017-X. ISSN 1361-3723.
  18. Mohai, George M. (2003). Datorkriminalteknik och intrångskriminalteknik. Artechhouse. 395. ISBN 978-1-58053-369-0 .
  19. Rizwan Ahmed (2008). "Mobil Forensics: Översikt, verktyg, framtida trender och utmaningar från ett brottsbekämpande perspektiv" (PDF). Sjätte internationella konferensen om elektronisk styrning. Arkiverad (PDF) från originalet daterat 2016-03-03.
  20. "Cooperativ Operating Environment" Arkiverad 2013-08-10 på Wayback Machine, rapport släppt 18 februari 2010, s. 34-36.
  21. Peterson, Gilbert; Shenoy, Sujit (2009). Digital kriminalteknisk forskning: det goda, det dåliga och det likgiltiga. Framsteg inom Digital Forensics V. IFIP Framsteg inom informations- och kommunikationsteknik. 306. Springer Boston. s. 17-36. Bibcode:2009adf5.conf...17B. Doi:10.1007/978-3-642-04155-6_2. ISBN 978-3-642-04154-9 .
  22. Simson L. Garfinkel (augusti 2010). "Digital Forensics Research: The Next 10 Years". digital utredning. 7: S64 - S73. Doi: 10.1016 / j.diin.2010.05.009. ISSN 1742-2876