Python Digital Forensics - Wprowadzenie

W tym rozdziale dowiesz się, czym jest kryminalistyka cyfrowa, oraz omówimy jej historię. Zrozumiesz również, gdzie możesz zastosować cyfrową kryminalistykę w prawdziwym życiu i jakie są jej ograniczenia.

Co to jest Digital Forensics?

Kryminalistykę cyfrową można zdefiniować jako gałąź kryminalistyki, która analizuje, bada, identyfikuje i odzyskuje dowody cyfrowe znajdujące się na urządzeniach elektronicznych. Jest powszechnie używany w prawie karnym i prywatnych dochodzeniach.

Na przykład możesz polegać na cyfrowych materiałach śledczych na wypadek kradzieży danych na urządzeniu elektronicznym.

Krótki historyczny przegląd cyfrowej medycyny sądowej

Historia przestępstw komputerowych i historyczny przegląd kryminalistyki cyfrowej jest wyjaśniona w tej sekcji, jak podano poniżej -

1970-1980: Pierwsza przestępczość komputerowa

Przed tą dekadą nie stwierdzono przestępstw komputerowych. Gdyby jednak miało się to wydarzyć, zajmowały się nimi obowiązujące wówczas przepisy. Później, w 1978 roku, w ustawie Florida Computer Crime Act uznano pierwsze przestępstwo komputerowe, które zawierało przepisy zabraniające nieuprawnionej modyfikacji lub usuwania danych w systemie komputerowym. Jednak z biegiem czasu, w związku z rozwojem technologii, zwiększył się również zakres popełnianych przestępstw komputerowych. Aby zajmować się przestępstwami związanymi z prawami autorskimi, prywatnością i pornografią dziecięcą, przyjęto różne inne ustawy.

Lata 80.-90 .: Dekada rozwoju

Ta dekada była dekadą rozwoju cyfrowej medycyny sądowej, a wszystko to za sprawą pierwszego w historii dochodzenia (1986), w którym Cliff Stoll wyśledził hakera o imieniu Markus Hess. W tym okresie rozwinęły się dwa rodzaje cyfrowych dyscyplin kryminalistycznych - pierwsza przy pomocy narzędzi i technik ad hoc opracowanych przez praktyków, którzy potraktowali to jako hobby, a druga przez społeczność naukową. W 1992 roku termin“Computer Forensics”był używany w literaturze naukowej.

2000-2010: Dekada standaryzacji

Po rozwinięciu się kryminalistyki cyfrowej do pewnego poziomu zaistniała potrzeba ustanowienia określonych standardów, którymi można się kierować podczas prowadzenia dochodzeń. W związku z tym różne agencje i organy naukowe opublikowały wytyczne dotyczące kryminalistyki cyfrowej. W 2002 r. Naukowa grupa robocza ds. Dowodów cyfrowych (SWGDE) opublikowała artykuł zatytułowany „Najlepsze praktyki w dziedzinie informatyki śledczej”. Innym piórem w czapce był europejski traktat międzynarodowy, a mianowicie“The Convention on Cybercrime”został podpisany przez 43 kraje i ratyfikowany przez 16 krajów. Nawet po takich standardach nadal istnieje potrzeba rozwiązania niektórych problemów, które zostały zidentyfikowane przez badaczy.

Proces Digital Forensics

Od czasu pierwszego przestępstwa komputerowego w 1978 r. Nastąpił ogromny wzrost cyfrowej działalności przestępczej. W związku z tym przyrostem istnieje potrzeba zorganizowanego sposobu radzenia sobie z nimi. W 1984 r. Wprowadzono sformalizowany proces, a następnie opracowano wiele nowych i ulepszonych procesów dochodzeń w dziedzinie informatyki śledczej.

Proces dochodzenia w dziedzinie informatyki śledczej obejmuje trzy główne fazy, jak wyjaśniono poniżej:

Faza 1: Nabycie lub zobrazowanie eksponatów

Pierwsza faza kryminalistyki cyfrowej polega na zapisaniu stanu systemu cyfrowego w celu późniejszej analizy. Jest to bardzo podobne do robienia zdjęć, próbek krwi itp. Z miejsca zbrodni. Na przykład obejmuje przechwytywanie obrazu przydzielonych i nieprzydzielonych obszarów dysku twardego lub pamięci RAM.

Faza 2: Analiza

Dane wejściowe tej fazy to dane zebrane w fazie akwizycji. Tutaj dane te zostały zbadane w celu zidentyfikowania dowodów. Ta faza daje trzy rodzaje dowodów w następujący sposób -

  • Inculpatory evidences - Te dowody potwierdzają daną historię.

  • Exculpatory evidences - Te dowody są sprzeczne z daną historią.

  • Evidence of tampering- Te dowody wskazują, że system został zahartowany, aby uniknąć identyfikacji. Obejmuje badanie plików i zawartości katalogu w celu odzyskania usuniętych plików.

Faza 3: Prezentacja lub raportowanie

Jak sama nazwa wskazuje, faza ta przedstawia wnioski i odpowiednie dowody z dochodzenia.

Zastosowania Digital Forensics

Kryminalistyka cyfrowa zajmuje się gromadzeniem, analizowaniem i zabezpieczaniem dowodów zawartych w dowolnym urządzeniu cyfrowym. Korzystanie z kryminalistyki cyfrowej zależy od aplikacji. Jak wspomniano wcześniej, jest używany głównie w następujących dwóch aplikacjach -

Prawo karne

W prawie karnym dowody są gromadzone na poparcie lub przeciwstawienie się hipotezie w sądzie. Procedury kryminalistyczne są bardzo podobne do tych stosowanych w dochodzeniach karnych, ale mają inne wymagania i ograniczenia prawne.

Prywatne dochodzenie

Świat głównie korporacji korzysta z kryminalistyki cyfrowej do prywatnych dochodzeń. Jest używany, gdy firmy podejrzewają, że pracownicy mogą wykonywać na swoich komputerach nielegalną działalność, która jest sprzeczna z polityką firmy. Kryminalistyka cyfrowa zapewnia firmie lub osobie jedną z najlepszych ścieżek, którymi może kierować się podczas dochodzenia w sprawie naruszenia cyfrowego postępowania.

Działy Digital Forensics

Przestępczość cyfrowa nie ogranicza się do samych komputerów, jednak hakerzy i przestępcy używają na bardzo dużą skalę małych urządzeń cyfrowych, takich jak tablety, smartfony itp. Niektóre urządzenia mają pamięć ulotną, podczas gdy inne mają pamięć nieulotną. Dlatego w zależności od rodzaju urządzeń, kryminalistyka cyfrowa ma następujące gałęzie -

Informatyka śledcza

Ta gałąź kryminalistyki cyfrowej zajmuje się komputerami, systemami wbudowanymi i pamięciami statycznymi, takimi jak dyski USB. Szeroki zakres informacji, od dzienników po rzeczywiste pliki na dysku, można zbadać w informatyce śledczej.

Mobile Forensics

Dotyczy to badania danych z urządzeń mobilnych. Ta gałąź różni się od informatyki śledczej w tym sensie, że urządzenia mobilne mają wbudowany system komunikacji, który jest przydatny do dostarczania przydatnych informacji związanych z lokalizacją.

Network Forensics

Dotyczy to monitorowania i analizy ruchu w sieci komputerowej, zarówno lokalnej, jak i WAN (sieci rozległej) w celu gromadzenia informacji, gromadzenia dowodów lub wykrywania włamań.

Baza danych Forensics

Ta gałąź kryminalistyki cyfrowej zajmuje się badaniami kryminalistycznymi baz danych i ich metadanych.

Umiejętności wymagane do dochodzenia w dziedzinie kryminalistyki cyfrowej

Cyfrowi eksperci kryminalistyczni pomagają w śledzeniu hakerów, odzyskiwaniu skradzionych danych, śledzeniu ataków komputerowych do ich źródła oraz w innych rodzajach dochodzeń dotyczących komputerów. Niektóre z kluczowych umiejętności wymaganych do zostania egzaminatorem kryminalistyki cyfrowej, jak omówiono poniżej:

Wyjątkowe zdolności myślowe

Badacz zajmujący się kryminalistyką cyfrową musi być wybitnym myślicielem i powinien umieć zastosować różne narzędzia i metodologie w odniesieniu do konkretnego zadania w celu uzyskania wyników. Musi umieć znaleźć różne wzorce i dokonać między nimi korelacji.

Umiejętności techniczne

Egzaminator kryminalistyki cyfrowej musi mieć dobre umiejętności technologiczne, ponieważ ta dziedzina wymaga znajomości sieci i interakcji systemów cyfrowych.

Pasjonat cyberbezpieczeństwa

Ponieważ dziedzina kryminalistyki cyfrowej polega na rozwiązywaniu cyberprzestępczości i jest to żmudne zadanie, ktoś musi mieć dużo pasji, aby zostać asem śledczym w dziedzinie cyfrowej.

Zdolności do porozumiewania się

Dobre umiejętności komunikacyjne są niezbędne, aby współpracować z różnymi zespołami i wydobyć wszelkie brakujące dane lub informacje.

Umiejętność tworzenia raportów

Po pomyślnym wdrożeniu akwizycji i analizy, cyfrowy egzaminator sądowy musi wspomnieć o wszystkich ustaleniach w raporcie końcowym i prezentacji. Dlatego musi mieć dobre umiejętności tworzenia raportów i dbałość o szczegóły.

Ograniczenia

Cyfrowe dochodzenie kryminalistyczne oferuje pewne ograniczenia, o których mowa tutaj -

Trzeba przedstawić przekonujące dowody

Jedną z głównych przeszkód w dochodzeniach w zakresie kryminalistyki cyfrowej jest to, że egzaminator musi przestrzegać standardów wymaganych dla dowodów w sądzie, ponieważ dane można łatwo sfałszować. Z drugiej strony informatyk śledczy musi mieć pełną wiedzę na temat wymagań prawnych, postępowania z dowodami i procedur dokumentacyjnych, aby przedstawić przekonujące dowody w sądzie.

Narzędzia badawcze

Skuteczność dochodzenia cyfrowego zależy wyłącznie od wiedzy eksperta z zakresu medycyny sądowej i doboru odpowiedniego narzędzia śledczego. Jeśli zastosowane narzędzie nie jest zgodne z określonymi normami, to w sądzie dowody mogą zostać odrzucone przez sędziego.

Brak wiedzy technicznej wśród publiczności

Innym ograniczeniem jest to, że niektóre osoby nie są w pełni zaznajomione z informatyką śledczą; dlatego wiele osób nie rozumie tej dziedziny. Śledczy muszą mieć pewność, że przekazują swoje ustalenia sądom w taki sposób, aby pomóc wszystkim zrozumieć wyniki.

Koszt

Wytwarzanie dowodów cyfrowych i ich konserwacja jest bardzo kosztowne. Stąd ten proces może nie być wybrany przez wiele osób, których nie stać na koszty.