Python Digital Forensics - บทนำ

บทนี้จะให้ข้อมูลเบื้องต้นเกี่ยวกับสิ่งที่นิติดิจิทัลเป็นข้อมูลเกี่ยวกับและการทบทวนประวัติศาสตร์ นอกจากนี้คุณจะเข้าใจว่าคุณสามารถประยุกต์ใช้นิติวิทยาศาสตร์ดิจิทัลในชีวิตจริงและข้อ จำกัด ได้จากที่ใด

Digital Forensics คืออะไร?

นิติดิจิทัลอาจถูกกำหนดให้เป็นสาขาของนิติวิทยาศาสตร์ที่วิเคราะห์ตรวจสอบระบุและกู้คืนหลักฐานดิจิทัลที่อยู่ในอุปกรณ์อิเล็กทรอนิกส์ มักใช้สำหรับกฎหมายอาญาและการสืบสวนส่วนตัว

ตัวอย่างเช่นคุณสามารถใช้หลักฐานทางนิติวิทยาศาสตร์ดิจิทัลในกรณีที่มีคนขโมยข้อมูลบางอย่างในอุปกรณ์อิเล็กทรอนิกส์

การทบทวนทางประวัติศาสตร์โดยย่อของนิติดิจิทัล

ประวัติอาชญากรรมคอมพิวเตอร์และการทบทวนทางนิติวิทยาศาสตร์ในอดีตมีอธิบายไว้ในส่วนนี้ตามที่ระบุด้านล่าง -

1970-1980: อาชญากรรมคอมพิวเตอร์ครั้งแรก

ก่อนหน้านี้ทศวรรษที่ผ่านมาไม่มีอาชญากรรมคอมพิวเตอร์ได้รับการยอมรับ อย่างไรก็ตามหากมันควรจะเกิดขึ้นกฎหมายที่มีอยู่จะจัดการกับพวกเขา ต่อมาในปี 1978 อาชญากรรมคอมพิวเตอร์ครั้งแรกได้รับการยอมรับใน Florida Computer Crime Act ซึ่งรวมถึงการออกกฎหมายต่อต้านการแก้ไขหรือลบข้อมูลในระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต แต่เมื่อเวลาผ่านไปเนื่องจากความก้าวหน้าของเทคโนโลยีการก่ออาชญากรรมทางคอมพิวเตอร์ก็เพิ่มขึ้นด้วย ในการจัดการกับอาชญากรรมที่เกี่ยวข้องกับลิขสิทธิ์ความเป็นส่วนตัวและภาพอนาจารของเด็กได้มีการผ่านกฎหมายอื่น ๆ

ทศวรรษที่ 1980-1990: ทศวรรษแห่งการพัฒนา

ทศวรรษนี้เป็นทศวรรษแห่งการพัฒนาสำหรับนิติวิทยาศาสตร์ดิจิทัลทั้งหมดเป็นเพราะการสอบสวนครั้งแรก (1986) ที่ Cliff Stoll ติดตามแฮกเกอร์ชื่อ Markus Hess ในช่วงเวลานี้สาขาวิชานิติวิทยาศาสตร์ดิจิทัลสองประเภทได้รับการพัฒนาโดยอันดับแรกได้รับความช่วยเหลือจากเครื่องมือและเทคนิคเฉพาะกิจที่พัฒนาโดยผู้ปฏิบัติงานซึ่งถือเป็นงานอดิเรกในขณะที่กลุ่มที่สองได้รับการพัฒนาโดยชุมชนวิทยาศาสตร์ ในปีพ. ศ“Computer Forensics”ถูกใช้ในวรรณคดีวิชาการ

2000s-2010s: ทศวรรษแห่งการมาตรฐาน

หลังจากการพัฒนานิติวิทยาศาสตร์ดิจิทัลไปถึงระดับหนึ่งแล้วจำเป็นต้องมีการสร้างมาตรฐานเฉพาะบางอย่างที่สามารถปฏิบัติตามได้ในขณะที่ทำการสอบสวน ดังนั้นหน่วยงานและหน่วยงานทางวิทยาศาสตร์หลายแห่งจึงได้เผยแพร่แนวทางสำหรับนิติวิทยาศาสตร์ดิจิทัล ในปี 2545 คณะทำงานทางวิทยาศาสตร์เกี่ยวกับหลักฐานดิจิทัล (SWGDE) ได้ตีพิมพ์บทความชื่อ“ แนวทางปฏิบัติที่ดีที่สุดสำหรับนิติคอมพิวเตอร์” ขนนกอีกอันในหมวกคือสนธิสัญญาระหว่างประเทศที่นำโดยยุโรปคือ“The Convention on Cybercrime”ลงนามโดย 43 ประเทศและให้สัตยาบันโดย 16 ประเทศ แม้ว่าจะผ่านมาตรฐานดังกล่าวแล้ว แต่ก็ยังมีความจำเป็นที่จะต้องแก้ไขปัญหาบางอย่างที่นักวิจัยระบุไว้

กระบวนการนิติวิทยาศาสตร์ดิจิทัล

นับตั้งแต่เกิดอาชญากรรมคอมพิวเตอร์ครั้งแรกในปี 2521 มีกิจกรรมอาชญากรรมดิจิทัลเพิ่มขึ้นอย่างมาก เนื่องจากการเพิ่มขึ้นนี้มีความจำเป็นที่จะต้องมีโครงสร้างที่ดีในการจัดการกับสิ่งเหล่านี้ ในปีพ. ศ. 2527 ได้มีการนำกระบวนการที่เป็นทางการมาใช้และหลังจากนั้นได้มีการพัฒนากระบวนการตรวจสอบทางนิติวิทยาศาสตร์ทางคอมพิวเตอร์ใหม่ ๆ จำนวนมาก

กระบวนการตรวจสอบทางนิติวิทยาศาสตร์ของคอมพิวเตอร์เกี่ยวข้องกับสามขั้นตอนหลักดังที่อธิบายไว้ด้านล่าง -

ระยะที่ 1: การได้มาหรือการสร้างภาพของการจัดแสดง

ขั้นตอนแรกของนิติดิจิทัลเกี่ยวข้องกับการบันทึกสถานะของระบบดิจิทัลเพื่อให้สามารถวิเคราะห์ได้ในภายหลัง คล้ายกับการถ่ายรูปตัวอย่างเลือด ฯลฯ จากสถานที่เกิดเหตุเป็นอย่างมาก ตัวอย่างเช่นเกี่ยวข้องกับการจับภาพของพื้นที่ที่จัดสรรและไม่ได้จัดสรรของฮาร์ดดิสก์หรือ RAM

ระยะที่ 2: การวิเคราะห์

อินพุตของเฟสนี้คือข้อมูลที่ได้มาจากขั้นตอนการได้มา ที่นี่ข้อมูลนี้ได้รับการตรวจสอบเพื่อระบุหลักฐาน ระยะนี้ให้หลักฐานสามประเภทดังนี้ -

  • Inculpatory evidences - หลักฐานเหล่านี้สนับสนุนประวัติศาสตร์ที่กำหนด

  • Exculpatory evidences - หลักฐานเหล่านี้ขัดแย้งกับประวัติศาสตร์ที่กำหนด

  • Evidence of tampering- หลักฐานเหล่านี้แสดงให้เห็นว่าระบบมีอารมณ์เพื่อหลีกเลี่ยงการระบุตัวตน รวมถึงการตรวจสอบไฟล์และเนื้อหาไดเร็กทอรีสำหรับการกู้คืนไฟล์ที่ถูกลบ

ระยะที่ 3: การนำเสนอหรือการรายงาน

ตามชื่อที่แนะนำระยะนี้จะนำเสนอข้อสรุปและหลักฐานที่เกี่ยวข้องจากการสอบสวน

การประยุกต์ใช้นิติดิจิทัล

นิติวิทยาศาสตร์ดิจิทัลเกี่ยวข้องกับการรวบรวมวิเคราะห์และรักษาหลักฐานที่มีอยู่ในอุปกรณ์ดิจิทัลใด ๆ การใช้นิติดิจิทัลขึ้นอยู่กับการใช้งาน ดังที่ได้กล่าวไว้ก่อนหน้านี้ส่วนใหญ่จะใช้ในสองแอปพลิเคชั่นต่อไปนี้ -

กฎหมายอาญา

ในกฎหมายอาญามีการรวบรวมพยานหลักฐานเพื่อสนับสนุนหรือคัดค้านสมมติฐานในศาล ขั้นตอนทางนิติวิทยาศาสตร์คล้ายกับที่ใช้ในการสืบสวนคดีอาชญากรรมมาก แต่มีข้อกำหนดและข้อ จำกัด ทางกฎหมายที่แตกต่างกัน

การสืบสวนส่วนตัว

โลกขององค์กรส่วนใหญ่ใช้นิติดิจิทัลสำหรับการสอบสวนส่วนตัว ใช้เมื่อ บริษัท ต่างๆสงสัยว่าพนักงานอาจทำกิจกรรมที่ผิดกฎหมายบนคอมพิวเตอร์ที่ขัดต่อนโยบายของ บริษัท นิติวิทยาศาสตร์ดิจิทัลเป็นหนึ่งในเส้นทางที่ดีที่สุดสำหรับ บริษัท หรือบุคคลที่จะดำเนินการเมื่อมีการตรวจสอบบุคคลเกี่ยวกับการประพฤติมิชอบทางดิจิทัล

สาขานิติวิทยาศาสตร์ดิจิทัล

อาชญากรรมดิจิทัลไม่ได้ จำกัด อยู่ที่คอมพิวเตอร์เพียงอย่างเดียวอย่างไรก็ตามแฮกเกอร์และอาชญากรต่างก็ใช้อุปกรณ์ดิจิทัลขนาดเล็กเช่นแท็บเล็ตสมาร์ทโฟน ฯลฯ ในระดับที่ใหญ่มากเช่นกัน อุปกรณ์บางอย่างมีหน่วยความจำแบบระเหยในขณะที่อุปกรณ์อื่น ๆ มีหน่วยความจำแบบไม่ลบเลือน ดังนั้นขึ้นอยู่กับประเภทของอุปกรณ์นิติดิจิทัลมีสาขาดังต่อไปนี้ -

นิติคอมพิวเตอร์

สาขานิติวิทยาศาสตร์ดิจิทัลนี้เกี่ยวข้องกับคอมพิวเตอร์ระบบฝังตัวและหน่วยความจำแบบคงที่เช่นไดรฟ์ USB ข้อมูลที่หลากหลายตั้งแต่บันทึกไปจนถึงไฟล์จริงในไดรฟ์สามารถตรวจสอบได้ในทางนิติคอมพิวเตอร์

นิติมือถือ

ซึ่งเกี่ยวข้องกับการตรวจสอบข้อมูลจากอุปกรณ์มือถือ สาขานี้แตกต่างจากนิติคอมพิวเตอร์ในแง่ที่ว่าอุปกรณ์พกพามีระบบการสื่อสารในตัวซึ่งมีประโยชน์ในการให้ข้อมูลที่เป็นประโยชน์เกี่ยวกับสถานที่

นิติเครือข่าย

สิ่งนี้เกี่ยวข้องกับการตรวจสอบและวิเคราะห์การรับส่งข้อมูลเครือข่ายคอมพิวเตอร์ทั้งในพื้นที่และ WAN (เครือข่ายบริเวณกว้าง) เพื่อวัตถุประสงค์ในการรวบรวมข้อมูลการรวบรวมหลักฐานหรือการตรวจจับการบุกรุก

นิติฐานข้อมูล

สาขานิติวิทยาศาสตร์ดิจิทัลนี้เกี่ยวข้องกับการศึกษาทางนิติวิทยาศาสตร์ของฐานข้อมูลและข้อมูลเมตา

ทักษะที่จำเป็นสำหรับการตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัล

ผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลช่วยในการติดตามแฮกเกอร์กู้คืนข้อมูลที่ถูกขโมยติดตามการโจมตีทางคอมพิวเตอร์กลับไปยังต้นทางและช่วยในการสืบสวนประเภทอื่น ๆ ที่เกี่ยวข้องกับคอมพิวเตอร์ ทักษะสำคัญบางประการที่จำเป็นในการเป็นผู้ตรวจสอบนิติวิทยาศาสตร์ดิจิทัลตามที่กล่าวไว้ด้านล่าง -

ความสามารถในการคิดที่โดดเด่น

ผู้ตรวจสอบนิติวิทยาศาสตร์ดิจิทัลจะต้องเป็นนักคิดที่โดดเด่นและควรมีความสามารถในการใช้เครื่องมือและวิธีการต่างๆในงานที่ได้รับมอบหมายเพื่อให้ได้ผลลัพธ์ เขา / เธอต้องสามารถค้นหารูปแบบที่แตกต่างกันและสร้างความสัมพันธ์ระหว่างกันได้

ทักษะทางเทคนิค

ผู้ตรวจสอบนิติวิทยาศาสตร์ดิจิทัลต้องมีทักษะทางเทคโนโลยีที่ดีเนื่องจากสาขานี้ต้องการความรู้เกี่ยวกับเครือข่ายวิธีการโต้ตอบของระบบดิจิทัล

หลงใหลใน Cyber ​​Security

เนื่องจากสาขานิติวิทยาศาสตร์ดิจิทัลเป็นเรื่องเกี่ยวกับการแก้ปัญหาอาชญากรรมทางไซเบอร์และนี่เป็นงานที่น่าเบื่อจึงต้องการความกระตือรือร้นอย่างมากสำหรับคนที่จะมาเป็นผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัล

ความสามารถในการสื่อสาร

ทักษะการสื่อสารที่ดีเป็นสิ่งจำเป็นในการประสานงานกับทีมต่างๆและเพื่อดึงข้อมูลหรือข้อมูลที่ขาดหายไป

มีทักษะในการทำรายงาน

หลังจากการดำเนินการได้มาและการวิเคราะห์ประสบความสำเร็จผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลจะต้องกล่าวถึงผลการวิจัยทั้งหมดในรายงานขั้นสุดท้ายและการนำเสนอ ดังนั้นเขา / เธอต้องมีทักษะในการทำรายงานที่ดีและใส่ใจในรายละเอียด

ข้อ จำกัด

การตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลมีข้อ จำกัด บางประการตามที่กล่าวไว้ที่นี่ -

จำเป็นต้องสร้างหลักฐานที่น่าเชื่อถือ

ความพ่ายแพ้ที่สำคัญประการหนึ่งของการตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลคือผู้ตรวจสอบจะต้องปฏิบัติตามมาตรฐานที่จำเป็นสำหรับหลักฐานในศาลเนื่องจากข้อมูลสามารถถูกดัดแปลงได้ง่าย ในทางกลับกันผู้ตรวจสอบทางนิติวิทยาศาสตร์คอมพิวเตอร์จะต้องมีความรู้ครบถ้วนเกี่ยวกับข้อกำหนดทางกฎหมายการจัดการหลักฐานและขั้นตอนการจัดทำเอกสารเพื่อแสดงหลักฐานที่น่าเชื่อถือในศาลยุติธรรม

เครื่องมือตรวจสอบ

ประสิทธิผลของการสอบสวนทางดิจิทัลทั้งหมดขึ้นอยู่กับความเชี่ยวชาญของผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลและการเลือกเครื่องมือตรวจสอบที่เหมาะสม หากเครื่องมือที่ใช้ไม่เป็นไปตามมาตรฐานที่กำหนดในชั้นศาลผู้พิพากษาสามารถปฏิเสธพยานหลักฐานได้

ขาดความรู้ทางเทคนิคในหมู่ผู้ชม

ข้อ จำกัด อีกประการหนึ่งคือบุคคลบางคนไม่คุ้นเคยกับนิติคอมพิวเตอร์อย่างสมบูรณ์ ดังนั้นหลายคนไม่เข้าใจสาขานี้ ผู้ตรวจสอบต้องแน่ใจว่าได้แจ้งสิ่งที่ค้นพบกับศาลเพื่อช่วยให้ทุกคนเข้าใจผลลัพธ์

ค่าใช้จ่าย

การผลิตหลักฐานดิจิทัลและการเก็บรักษาไว้นั้นมีค่าใช้จ่ายสูงมาก ดังนั้นกระบวนการนี้อาจไม่ถูกเลือกโดยคนจำนวนมากที่ไม่สามารถจ่ายค่าใช้จ่ายได้