Python Digital Forensics - Einführung
In diesem Kapitel erhalten Sie eine Einführung in die digitale Forensik und ihre historische Übersicht. Sie werden auch verstehen, wo Sie die digitale Forensik im wirklichen Leben und ihre Grenzen anwenden können.
Was ist digitale Forensik?
Digitale Forensik kann als Zweig der forensischen Wissenschaft definiert werden, der die digitalen Beweise auf elektronischen Geräten analysiert, untersucht, identifiziert und wiederherstellt. Es wird häufig für das Strafrecht und private Ermittlungen verwendet.
Sie können sich beispielsweise auf Beweise für digitale Forensik-Extrakte verlassen, falls jemand Daten auf einem elektronischen Gerät stiehlt.
Kurzer historischer Rückblick auf die digitale Forensik
Die Geschichte der Computerkriminalität und die historische Überprüfung der digitalen Forensik werden in diesem Abschnitt wie folgt erläutert:
1970er bis 1980er Jahre: Erste Computerkriminalität
Vor diesem Jahrzehnt wurde keine Computerkriminalität erkannt. Wenn es jedoch passieren soll, haben sich die damals geltenden Gesetze mit ihnen befasst. Später, 1978, wurde die erste Computerkriminalität im Florida Computer Crime Act anerkannt, der Gesetze gegen unbefugte Änderung oder Löschung von Daten auf einem Computersystem enthielt. Im Laufe der Zeit nahm jedoch aufgrund des technologischen Fortschritts auch die Zahl der begangenen Computerkriminalität zu. Um Verbrechen im Zusammenhang mit Urheberrecht, Datenschutz und Kinderpornografie zu bekämpfen, wurden verschiedene andere Gesetze verabschiedet.
1980er-1990er Jahre: Entwicklungsdekade
Dieses Jahrzehnt war das Entwicklungsjahrzehnt für die digitale Forensik, alles aufgrund der ersten Untersuchung (1986), in der Cliff Stoll den Hacker namens Markus Hess verfolgte. In dieser Zeit entwickelten sich zwei Arten von Disziplinen der digitalen Forensik - die erste wurde mithilfe von Ad-hoc-Tools und -Techniken entwickelt, die von Praktikern entwickelt wurden, die sie als Hobby betrachteten, während die zweite von der wissenschaftlichen Gemeinschaft entwickelt wurde. Im Jahr 1992 wurde der Begriff“Computer Forensics”wurde in der akademischen Literatur verwendet.
2000er-2010er Jahre: Jahrzehnt der Normung
Nach der Entwicklung der digitalen Forensik bis zu einem gewissen Grad mussten einige spezifische Standards festgelegt werden, die bei der Durchführung von Untersuchungen eingehalten werden können. Dementsprechend haben verschiedene wissenschaftliche Stellen und Gremien Richtlinien für die digitale Forensik veröffentlicht. Im Jahr 2002 veröffentlichte die Wissenschaftliche Arbeitsgruppe für digitale Evidenz (SWGDE) ein Papier mit dem Titel „Best Practices for Computer Forensics“. Eine weitere Feder in der Kappe war nämlich ein von Europa geführter internationaler Vertrag“The Convention on Cybercrime”wurde von 43 Nationen unterzeichnet und von 16 Nationen ratifiziert. Selbst nach solchen Standards müssen noch einige Probleme gelöst werden, die von Forschern festgestellt wurden.
Prozess der digitalen Forensik
Seit der ersten Computerkriminalität im Jahr 1978 haben die digitalen kriminellen Aktivitäten stark zugenommen. Aufgrund dieses Zuwachses besteht ein Bedarf an strukturiertem Umgang mit ihnen. 1984 wurde ein formalisiertes Verfahren eingeführt, und danach wurde eine große Anzahl neuer und verbesserter Verfahren zur Untersuchung der Computerforensik entwickelt.
Ein computerforensischer Untersuchungsprozess umfasst drei Hauptphasen, wie nachstehend erläutert:
Phase 1: Erwerb oder Bildgebung von Exponaten
In der ersten Phase der digitalen Forensik wird der Status des digitalen Systems gespeichert, damit es später analysiert werden kann. Es ist dem Fotografieren, Blutproben usw. von einem Tatort sehr ähnlich. Beispielsweise wird ein Image von zugewiesenen und nicht zugewiesenen Bereichen einer Festplatte oder eines RAM erfasst.
Phase 2: Analyse
Die Eingabe dieser Phase sind die Daten, die in der Erfassungsphase erfasst wurden. Hier wurden diese Daten untersucht, um Beweise zu identifizieren. Diese Phase liefert drei Arten von Beweisen:
Inculpatory evidences - Diese Beweise stützen eine bestimmte Geschichte.
Exculpatory evidences - Diese Beweise widersprechen einer bestimmten Geschichte.
Evidence of tampering- Diese Beweise zeigen, dass das System temperiert wurde, um eine Identifizierung zu vermeiden. Dazu gehört das Überprüfen der Dateien und des Verzeichnisinhalts auf die Wiederherstellung der gelöschten Dateien.
Phase 3: Präsentation oder Berichterstattung
Wie der Name schon sagt, präsentiert diese Phase die Schlussfolgerung und die entsprechenden Beweise aus der Untersuchung.
Anwendungen der digitalen Forensik
Die digitale Forensik befasst sich mit dem Sammeln, Analysieren und Bewahren der Beweise, die in jedem digitalen Gerät enthalten sind. Die Verwendung der digitalen Forensik hängt von der Anwendung ab. Wie bereits erwähnt, wird es hauptsächlich in den folgenden beiden Anwendungen verwendet:
Strafrecht
Im Strafrecht werden die Beweise gesammelt, um eine Hypothese vor Gericht zu stützen oder abzulehnen. Forensische Verfahren sind denen bei strafrechtlichen Ermittlungen sehr ähnlich, unterliegen jedoch unterschiedlichen gesetzlichen Anforderungen und Einschränkungen.
Privatermittlung
Hauptsächlich nutzt die Unternehmenswelt die digitale Forensik für private Ermittlungen. Es wird verwendet, wenn Unternehmen den Verdacht haben, dass Mitarbeiter auf ihren Computern illegale Aktivitäten ausführen, die gegen die Unternehmensrichtlinien verstoßen. Die digitale Forensik bietet einen der besten Wege für Unternehmen oder Personen, um jemanden auf digitales Fehlverhalten zu untersuchen.
Zweige der digitalen Forensik
Das digitale Verbrechen ist nicht nur auf Computer beschränkt, sondern Hacker und Kriminelle verwenden auch kleine digitale Geräte wie Tablets, Smartphones usw. in sehr großem Umfang. Einige der Geräte verfügen über einen flüchtigen Speicher, während andere über einen nichtflüchtigen Speicher verfügen. Daher hat die digitale Forensik je nach Gerätetyp die folgenden Zweige:
Computer-Forensik
Dieser Zweig der digitalen Forensik befasst sich mit Computern, eingebetteten Systemen und statischen Speichern wie USB-Laufwerken. In der Computerforensik kann eine breite Palette von Informationen untersucht werden, von Protokollen bis hin zu tatsächlichen Dateien auf dem Laufwerk.
Mobile Forensik
Hier geht es um die Untersuchung von Daten von Mobilgeräten. Dieser Zweig unterscheidet sich von der Computerforensik in dem Sinne, dass mobile Geräte über ein eingebautes Kommunikationssystem verfügen, das nützlich ist, um nützliche Informationen in Bezug auf den Standort bereitzustellen.
Netzwerkforensik
Dies befasst sich mit der Überwachung und Analyse des Computernetzwerkverkehrs, sowohl lokal als auch WAN (Wide Area Network), zum Zwecke der Informationserfassung, Beweiserhebung oder Erkennung von Eindringlingen.
Datenbankforensik
Dieser Zweig der digitalen Forensik befasst sich mit der forensischen Untersuchung von Datenbanken und ihren Metadaten.
Erforderliche Fähigkeiten für die Untersuchung der digitalen Forensik
Prüfer für digitale Forensik helfen dabei, Hacker aufzuspüren, gestohlene Daten wiederherzustellen, Computerangriffe bis zu ihrer Quelle zu verfolgen und andere Arten von Untersuchungen mit Computern durchzuführen. Einige der Schlüsselkompetenzen, die erforderlich sind, um Prüfer für digitale Forensik zu werden, wie unten erläutert -
Hervorragende Denkfähigkeiten
Ein Ermittler für digitale Forensik muss ein hervorragender Denker sein und in der Lage sein, verschiedene Werkzeuge und Methoden auf eine bestimmte Aufgabe anzuwenden, um die Ausgabe zu erhalten. Er / sie muss in der Lage sein, verschiedene Muster zu finden und Korrelationen zwischen ihnen herzustellen.
Technische Fähigkeiten
Ein Prüfer für digitale Forensik muss über gute technologische Fähigkeiten verfügen, da dieses Gebiet die Kenntnis des Netzwerks und der Interaktion des digitalen Systems erfordert.
Leidenschaft für Cybersicherheit
Da es auf dem Gebiet der digitalen Forensik ausschließlich um die Aufklärung von Cyber-Verbrechen geht und dies eine mühsame Aufgabe ist, braucht es viel Leidenschaft, um ein Ass für digitale forensische Ermittler zu werden.
Kommunikationsfähigkeit
Gute Kommunikationsfähigkeiten sind ein Muss, um sich mit verschiedenen Teams abzustimmen und fehlende Daten oder Informationen zu extrahieren.
Geschickt in der Berichterstellung
Nach erfolgreicher Implementierung der Erfassung und Analyse muss ein digitaler forensischer Prüfer alle Ergebnisse im Abschlussbericht und in der Präsentation angeben. Daher muss er / sie über gute Fähigkeiten zur Berichterstellung und Liebe zum Detail verfügen.
Einschränkungen
Die digitale forensische Untersuchung bietet bestimmte Einschränkungen, wie hier erläutert -
Es müssen überzeugende Beweise vorgelegt werden
Einer der größten Rückschläge bei der Untersuchung der digitalen Forensik besteht darin, dass der Prüfer die Standards einhalten muss, die für die Beweisaufnahme vor Gericht erforderlich sind, da die Daten leicht manipuliert werden können. Auf der anderen Seite muss der computerforensische Ermittler über umfassende Kenntnisse der gesetzlichen Anforderungen, der Beweisverarbeitung und der Dokumentationsverfahren verfügen, um überzeugende Beweise vor Gericht vorlegen zu können.
Werkzeuge untersuchen
Die Wirksamkeit der digitalen Untersuchung beruht ausschließlich auf dem Fachwissen des Prüfers für digitale Forensik und der Auswahl des geeigneten Untersuchungsinstruments. Wenn das verwendete Werkzeug nicht den festgelegten Standards entspricht, können die Beweise vor Gericht vom Richter abgelehnt werden.
Mangel an technischem Wissen beim Publikum
Eine weitere Einschränkung besteht darin, dass einige Personen mit der Computerforensik nicht vollständig vertraut sind. Daher verstehen viele Menschen dieses Gebiet nicht. Die Ermittler müssen sicherstellen, dass sie ihre Ergebnisse den Gerichten so mitteilen, dass jeder die Ergebnisse besser verstehen kann.
Kosten
Die Erstellung und Aufbewahrung digitaler Beweise ist sehr kostspielig. Daher wird dieser Prozess möglicherweise nicht von vielen Menschen gewählt, die sich die Kosten nicht leisten können.