Что такое компьютерная криминалистика
Компьютерная криминалистика (ComputerEmergencyReadinessTeam, CERT) определяется как «дисциплина, сочетающая элементы права и компьютерной науки для сбора и анализа данных из компьютерных систем, сетей, беспроводных коммуникаций и устройств хранения данных таким образом, чтобы они были допустимы в качестве доказательств в суде».
Поскольку криминалистика сама по себе определяется как научные тесты и методы, используемые для обнаружения и раскрытия преступлений, вы можете увидеть, как мир науки, правоохранительных органов и компьютеров тесно пересекается. Если учесть постоянно растущее число случаев киберпреступлений, то неудивительно, что компьютерная криминалистика привлекает к себе повышенный интерес и внимание.
Проще говоря, компьютерная криминалистика — это цифровая версия давно известной процедуры раскрытия преступлений, связанных с компьютерами.
Что делает компьютерная криминалистика и каковы ее этапы
Компьютерная криминалистика собирает и сохраняет доказательства с устройств, имеющих отношение к рассматриваемому юридическому вопросу. Следователи проводят структурированное расследование, сохраняя задокументированную цепочку доказательств, чтобы установить, что произошло на рассматриваемом устройстве и кто был инициатором этого.
Следователи по компьютерной криминалистике используют множество патентованных программных приложений и методов для изучения копии носителя информации целевой системы, ищут скрытые папки и нераспределенное дисковое пространство на предмет наличия поврежденных, удаленных или зашифрованных файлов. Если следователи находят какие-либо улики на цифровой копии, они тщательно фиксируются в документе под названием «отчет об обнаружении». Затем эта информация сверяется с исходными данными в рамках подготовки к возможным судебным разбирательствам, включающим дачу показаний, раскрытие информации или реальный судебный процесс.
Типичная компьютерная экспертиза состоит из шести этапов:
Готовность
Каждый, кто видел криминальные драмы в кино и на телевидении, знает, что следователи должны проявлять осторожность при обращении с уликами, чтобы они не оказались скомпрометированными и бесполезными в уголовном расследовании. Подготовка и готовность — лучшие способы избежать этого подводного камня. Следователи должны пройти обучение, тестирование, проверку своего оборудования и программного обеспечения и убедиться, что их инструменты и приложения исправны для выполнения поставленной задачи. Они также должны знать границы закона и как справляться с неожиданностями (например, следователи обнаружили детскую порнографию на жестком диске, когда искали инсайдерскую торговлю).
Оценка
После завершения подготовки наступает время инструктажа о деталях задания и его целях. Этот инструктаж включает оценку рисков, распределение ресурсов, вопросы охраны здоровья и безопасности, потенциальные конфликты интересов и распределение ролей между членами команды. Этот этап также включает в себя раскрытие соответствующих деталей, фактов или особенностей дела, особенно если команда расследует кибератаку.
Сбор данных
Существует две формы данных, собираемых компьютерной криминалистикой. Первая — постоянные данные, которые хранятся на локальном жестком диске или другом носителе. Эти данные сохраняются, даже если система выключена. Вторая форма данных — это непостоянные данные, которые находятся в транзитной памяти или памяти устройства, но теряются, если система выключается.
Обнаружение
Этот этап предполагает сбор доказательств и скрытых данных из любых компьютерных систем и других областей организации, пострадавших от кибератаки. Следователи выявляют и защищают зараженные или соответствующие устройства и проводят интервью с сотрудниками ИТ-отдела или пострадавшими конечными пользователями.
Сбор
Устройства хранения данных и другие необходимые вещественные доказательства собираются, маркируются и запечатываются в устойчивые к вскрытию контейнеры для безопасной транспортировки в лабораторию судебной экспертизы. В лаборатории улики изучаются гораздо тщательнее, чем это можно было бы сделать на месте.
Анализ
На этом этапе происходит обнаружение и извлечение информации, собранной на предыдущем этапе. Следователи тщательно и детально изучают собранные скрытые данные и другие улики. Это исследование помогает следователям выяснить, откуда произошло нападение, кто и как его совершил, а также как можно избежать инцидентов в будущем. На этом этапе происходит непосредственное расследование, и для его завершения используется множество различных методов и инструментов. Однако при проведении анализа необходимо придерживаться следующих рекомендаций:
- Каждый шаг должен быть записан и задокументирован
- Анализ должен быть точным
- Анализ должен быть беспристрастным и объективным
- Следственная группа должна обосновать использование соответствующих методов и инструментов в анализе
- Аналитики должны выполнить задачу в установленные сроки и с использованием выделенных ресурсов.
Презентация
После того как следователи завершат анализ, наступает время для составления отчета. Команда компьютерных криминалистов готовит отчет с подробным описанием своих выводов и представляет его ИТ-команде пострадавшей организации. Следователи также создают второй документ для использования в суде. Этот второй отчет обычно составляется менее техническим языком, поскольку отчет будут читать не специалисты. Документ также должен включать стратегии и рекомендации, которые ИТ-отделу стоит предпринять для предотвращения подобных инцидентов в будущем.
Обзор
Специалисты по компьютерной экспертизе должны проанализировать все данные, ища пути повышения производительности и эффективности в будущих расследованиях. Этот обзор включает в себя указание на то, что было сделано правильно, и, если возможно, на то, что было сделано неправильно.
Почему компьютерная криминалистика важна
Мы уже говорили о том, что мир Интернета все чаще вторгается в нашу личную жизнь. Поскольку не все люди являются дружелюбными и законопослушными, справедливо будет сказать, что преступное поведение также все чаще проникает в интернет. Поскольку сбор цифровых доказательств осуществляется иначе, чем физических, «реальных», нам необходима область знаний, специализирующаяся на поиске, сборе и анализе цифровых доказательств.
Кроме того, анализируя информацию, связанную с киберпреступлениями, специалисты по цифровой криминалистике помогают специалистам по кибербезопасности и ИТ-специалистам создавать более эффективные средства защиты систем и данных. Считайте это примером обучения на своих ошибках.
Цифровые доказательства также все чаще используются в уголовных судебных делах, включая такие правонарушения, как мошенничество или хранение детской порнографии. Лучший способ собрать доказательства деятельности людей — это пойти туда, где они находятся.
Таким образом, мы видим еще один пример того, как технологические преимущества и меняющееся поведение людей приводят к изменениям в реальных профессиях и требуют, чтобы они развивались в ногу со временем.
Для чего используется компьютерная криминалистика
Итак, мы знаем, зачем нужна компьютерная криминалистика, но каковы ее конкретные области применения?
Вот несколько примеров использования, которые демонстрируют ценность этой дисциплины:
Обнаружение данных
Специалисты по компьютерной экспертизе помогают правоохранительным органам обнаружить важные данные с изъятых устройств, таких как ноутбуки или мобильные телефоны. Эта информация может помочь в преследовании как цифровых, так и реальных преступлений.
Устранение ущерба
Компьютерная криминалистика анализирует утечки данных и сетевые атаки, чтобы понять серьезность и степень ущерба от инцидента. Получив более четкое представление о том, что произошло и что пострадало, организации могут продолжать использовать незатронутые данные.
Отслеживание хакеров
Частные компании, занимающиеся компьютерной экспертизой, помогают предприятиям выслеживать хакеров, раскрывать источники атак и помогать в определении виновных.
Сетевая безопасность
Компьютерная экспертиза также помогает укрепить безопасность сети и защитить частные серверы, предотвращая хакерские атаки в первую очередь. Инструменты криминалистики проверяют пакетные данные, помогают организациям изолировать подозрительные действия, идентифицировать хакеров и их методы, а также разработать наилучшие средства защиты от этих угроз.
Инструменты тестирования
Национальный институт стандартов и технологий разработал криминалистические инструменты для создания копий соответствующих доказательств с изъятых устройств. Эти инструменты компьютерной криминалистики служат для пробного тестирования, которое нужно, чтобы убедиться, что копирование данных проходит успешно.