Что такое компьютерная криминалистика

Компьютерная криминалистика (ComputerEmergencyReadinessTeam, CERT) определяется как «дисциплина, сочетающая элементы права и компьютерной науки для сбора и анализа данных из компьютерных систем, сетей, беспроводных коммуникаций и устройств хранения данных таким образом, чтобы они были допустимы в качестве доказательств в суде».

Поскольку криминалистика сама по себе определяется как научные тесты и методы, используемые для обнаружения и раскрытия преступлений, вы можете увидеть, как мир науки, правоохранительных органов и компьютеров тесно пересекается. Если учесть постоянно растущее число случаев киберпреступлений, то неудивительно, что компьютерная криминалистика привлекает к себе повышенный интерес и внимание.

Проще говоря, компьютерная криминалистика — это цифровая версия давно известной процедуры раскрытия преступлений, связанных с компьютерами.

Что делает компьютерная криминалистика и каковы ее этапы

Компьютерная криминалистика собирает и сохраняет доказательства с устройств, имеющих отношение к рассматриваемому юридическому вопросу. Следователи проводят структурированное расследование, сохраняя задокументированную цепочку доказательств, чтобы установить, что произошло на рассматриваемом устройстве и кто был инициатором этого.

Следователи по компьютерной криминалистике используют множество патентованных программных приложений и методов для изучения копии носителя информации целевой системы, ищут скрытые папки и нераспределенное дисковое пространство на предмет наличия поврежденных, удаленных или зашифрованных файлов. Если следователи находят какие-либо улики на цифровой копии, они тщательно фиксируются в документе под названием «отчет об обнаружении». Затем эта информация сверяется с исходными данными в рамках подготовки к возможным судебным разбирательствам, включающим дачу показаний, раскрытие информации или реальный судебный процесс.

Типичная компьютерная экспертиза состоит из шести этапов:

Готовность

Каждый, кто видел криминальные драмы в кино и на телевидении, знает, что следователи должны проявлять осторожность при обращении с уликами, чтобы они не оказались скомпрометированными и бесполезными в уголовном расследовании. Подготовка и готовность — лучшие способы избежать этого подводного камня. Следователи должны пройти обучение, тестирование, проверку своего оборудования и программного обеспечения и убедиться, что их инструменты и приложения исправны для выполнения поставленной задачи. Они также должны знать границы закона и как справляться с неожиданностями (например, следователи обнаружили детскую порнографию на жестком диске, когда искали инсайдерскую торговлю).

Оценка

После завершения подготовки наступает время инструктажа о деталях задания и его целях. Этот инструктаж включает оценку рисков, распределение ресурсов, вопросы охраны здоровья и безопасности, потенциальные конфликты интересов и распределение ролей между членами команды. Этот этап также включает в себя раскрытие соответствующих деталей, фактов или особенностей дела, особенно если команда расследует кибератаку.

Сбор данных

Существует две формы данных, собираемых компьютерной криминалистикой. Первая — постоянные данные, которые хранятся на локальном жестком диске или другом носителе. Эти данные сохраняются, даже если система выключена. Вторая форма данных — это непостоянные данные, которые находятся в транзитной памяти или памяти устройства, но теряются, если система выключается.

Обнаружение

Этот этап предполагает сбор доказательств и скрытых данных из любых компьютерных систем и других областей организации, пострадавших от кибератаки. Следователи выявляют и защищают зараженные или соответствующие устройства и проводят интервью с сотрудниками ИТ-отдела или пострадавшими конечными пользователями.

Сбор

Устройства хранения данных и другие необходимые вещественные доказательства собираются, маркируются и запечатываются в устойчивые к вскрытию контейнеры для безопасной транспортировки в лабораторию судебной экспертизы. В лаборатории улики изучаются гораздо тщательнее, чем это можно было бы сделать на месте.

Анализ

На этом этапе происходит обнаружение и извлечение информации, собранной на предыдущем этапе. Следователи тщательно и детально изучают собранные скрытые данные и другие улики. Это исследование помогает следователям выяснить, откуда произошло нападение, кто и как его совершил, а также как можно избежать инцидентов в будущем. На этом этапе происходит непосредственное расследование, и для его завершения используется множество различных методов и инструментов. Однако при проведении анализа необходимо придерживаться следующих рекомендаций:

• Каждый шаг должен быть записан и задокументирован
• Анализ должен быть точным
• Анализ должен быть беспристрастным и объективным
• Следственная группа должна обосновать использование соответствующих методов и инструментов в анализе
• Аналитики должны выполнить задачу в установленные сроки и с использованием выделенных ресурсов.

Презентация

После того как следователи завершат анализ, наступает время для составления отчета. Команда компьютерных криминалистов готовит отчет с подробным описанием своих выводов и представляет его ИТ-команде пострадавшей организации. Следователи также создают второй документ для использования в суде. Этот второй отчет обычно составляется менее техническим языком, поскольку отчет будут читать не специалисты. Документ также должен включать стратегии и рекомендации, которые ИТ-отделу стоит предпринять для предотвращения подобных инцидентов в будущем.

Обзор

Специалисты по компьютерной экспертизе должны проанализировать все данные, ища пути повышения производительности и эффективности в будущих расследованиях. Этот обзор включает в себя указание на то, что было сделано правильно, и, если возможно, на то, что было сделано неправильно.

Почему компьютерная криминалистика важна

Мы уже говорили о том, что мир Интернета все чаще вторгается в нашу личную жизнь. Поскольку не все люди являются дружелюбными и законопослушными, справедливо будет сказать, что преступное поведение также все чаще проникает в интернет. Поскольку сбор цифровых доказательств осуществляется иначе, чем физических, «реальных», нам необходима область знаний, специализирующаяся на поиске, сборе и анализе цифровых доказательств.

Кроме того, анализируя информацию, связанную с киберпреступлениями, специалисты по цифровой криминалистике помогают специалистам по кибербезопасности и ИТ-специалистам создавать более эффективные средства защиты систем и данных. Считайте это примером обучения на своих ошибках.

Цифровые доказательства также все чаще используются в уголовных судебных делах, включая такие правонарушения, как мошенничество или хранение детской порнографии. Лучший способ собрать доказательства деятельности людей — это пойти туда, где они находятся.

Таким образом, мы видим еще один пример того, как технологические преимущества и меняющееся поведение людей приводят к изменениям в реальных профессиях и требуют, чтобы они развивались в ногу со временем.

Для чего используется компьютерная криминалистика

Итак, мы знаем, зачем нужна компьютерная криминалистика, но каковы ее конкретные области применения?

Вот несколько примеров использования, которые демонстрируют ценность этой дисциплины:

Обнаружение данных

Специалисты по компьютерной экспертизе помогают правоохранительным органам обнаружить важные данные с изъятых устройств, таких как ноутбуки или мобильные телефоны. Эта информация может помочь в преследовании как цифровых, так и реальных преступлений.

Устранение ущерба

Компьютерная криминалистика анализирует утечки данных и сетевые атаки, чтобы понять серьезность и степень ущерба от инцидента. Получив более четкое представление о том, что произошло и что пострадало, организации могут продолжать использовать незатронутые данные.

Отслеживание хакеров

Частные компании, занимающиеся компьютерной экспертизой, помогают предприятиям выслеживать хакеров, раскрывать источники атак и помогать в определении виновных.

Сетевая безопасность

Компьютерная экспертиза также помогает укрепить безопасность сети и защитить частные серверы, предотвращая хакерские атаки в первую очередь. Инструменты криминалистики проверяют пакетные данные, помогают организациям изолировать подозрительные действия, идентифицировать хакеров и их методы, а также разработать наилучшие средства защиты от этих угроз.

Инструменты тестирования

Национальный институт стандартов и технологий разработал криминалистические инструменты для создания копий соответствующих доказательств с изъятых устройств. Эти инструменты компьютерной криминалистики служат для пробного тестирования, которое нужно, чтобы убедиться, что копирование данных проходит успешно.