Цифровая криминалистика - Digital forensics

Часть серия на
Криминалистика
Hard disk.jpg
Цифровая криминалистика
Аэрофотоснимок FLETC, где американские стандарты цифровой криминалистики были разработаны в 1980-х и 90-х годах.

Цифровая криминалистика (иногда известный как цифровая криминалистика) является ветвью Криминалистика охватывающих восстановление и исследование материалов, обнаруженных в цифровых устройствах, часто в отношении компьютерное преступление.[1][2] Термин цифровая криминалистика изначально использовался как синоним компьютерная экспертиза но расширился, чтобы охватить исследование всех устройств, способных хранение цифровых данных.[1] С корнями в революция персональных компьютеров В конце 1970-х - начале 1980-х дисциплина развивалась случайным образом в течение 1990-х, и только в начале 21 века появилась национальная политика.

Цифровые судебные расследования имеют множество применений. Самый распространенный - поддержать или опровергнуть гипотезу до того, как уголовное или же гражданский суды. Уголовные дела связаны с предполагаемым нарушением установленных законодательством законов, которые преследуются полицией и преследуются государством, например, убийства, кражи и нападения на человека. С другой стороны, гражданские дела касаются защиты прав и собственности физических лиц (часто связанных с семейными спорами), но могут также касаться договорных споров между коммерческими организациями, когда форма цифровой судебной экспертизы, называемая электронное открытие (ediscovery) может быть задействован.

Судебная экспертиза может также применяться в частном секторе; например, во время внутренних корпоративных расследований или расследования вторжений (специальное расследование характера и масштабов несанкционированного сетевое вторжение ).

Технический аспект исследования разделен на несколько подразделов, связанных с типом задействованных цифровых устройств; компьютерная криминалистика, сетевая криминалистика, криминалистический анализ данных и судебная экспертиза мобильных устройств. Типичный процесс судебно-медицинской экспертизы включает в себя изъятие, визуализацию (получение) и анализ цифровых носителей, а также составление отчета о собранных доказательствах.

Помимо выявления прямых доказательств преступления, цифровая криминалистика может использоваться для приписывания доказательств конкретным подозреваемым, подтверждения алиби или заявления, определить намерение, определить источники (например, в случаях авторского права) или подтвердить документы.[3] Расследования намного шире по охвату, чем другие области судебно-медицинской экспертизы (где обычно цель состоит в том, чтобы дать ответы на ряд более простых вопросов), часто с участием сложных временных рамок или гипотез.[4]

История

До 1970-х годов преступления с использованием компьютеров рассматривались в соответствии с действующими законами. Первый компьютерные преступления были признаны в Законе Флориды о компьютерных преступлениях 1978 года, который включал законодательство против несанкционированного изменения или удаления данных в компьютерной системе.[5][6] В течение следующих нескольких лет спектр совершаемых компьютерных преступлений увеличился, и были приняты законы, регулирующие вопросы Авторские права, конфиденциальность / домогательства (например, кибер-издевательства, счастливый шлепок, кибер-преследование, и онлайн хищники ) и детская порнография.[7][8] Только в 1980-х годах федеральные законы начали включать компьютерные преступления. Канада была первой страной, принявшей закон в 1983 году.[6] Затем последовала Федеральная Закон о компьютерном мошенничестве и злоупотреблении в 1986 г. поправки Австралии к своим преступлениям действуют в 1989 г., а британские Закон о неправомерном использовании компьютеров в 1990 г.[6][8]

1980–1990-е годы: развитие отрасли

Рост компьютерной преступности в 1980-х и 1990-х годах вызвал Правоохранительные органы начать создание специализированных групп, обычно на национальном уровне, для решения технических аспектов расследований. Например, в 1984 г. ФБР запустил Команда компьютерного анализа и реагирования а в следующем году в британской Столичная полиция отряд мошенничества. Помимо того, что они были профессионалами в правоохранительных органах, многие из первых членов этих групп были также любителями компьютеров и стали ответственными за первоначальные исследования и направление в этой области.[9][10]

Одним из первых практических (или, по крайней мере, обнародованных) примеров цифровой криминалистики был Клиффа Столла погоня за хакером Маркус Хесс в 1986 г. Столл, в расследовании которого использовались компьютерные и сетевые методы судебной экспертизы, не был специализированным экспертом.[11] Многие из самых ранних судебно-медицинских экспертиз проходили по тому же профилю.[12]

На протяжении 1990-х годов был высокий спрос на эти новые базовые ресурсы для расследования. Нагрузка на центральные блоки приводит к созданию групп регионального и даже местного уровня, которые помогают справиться с нагрузкой. Например, британцы Национальное подразделение по борьбе с преступностью в сфере высоких технологий была создана в 2001 году для обеспечения национальной инфраструктуры компьютерной преступности; с персоналом, расположенным как в центре Лондона, так и с различными региональные полицейские силы (агрегат складывался в Агентство по борьбе с серьезной организованной преступностью (SOCA) в 2006 г.).[10]

В этот период наука цифровой криминалистики выросла из специальных инструментов и методов, разработанных этими любителями-практиками. Это контрастирует с другими дисциплинами судебной экспертизы, которые были разработаны научным сообществом.[1][13] Только в 1992 году термин «компьютерная криминалистика» использовался в академическая литература (хотя до этого использовалась неофициально); статья Коллиера и Спола попыталась оправдать эту новую дисциплину перед миром криминалистики.[14][15] Это быстрое развитие привело к отсутствию стандартизации и обучения. В своей книге 1995 года "Преступления в сфере высоких технологий: расследование дел с участием компьютеров", К. Розенблатт писал:

Изъятие, сохранение и анализ доказательств, хранящихся на компьютере, - это величайшая судебно-медицинская проблема, с которой столкнулись правоохранительные органы в 1990-х годах. Хотя большинство судебно-медицинских тестов, таких как снятие отпечатков пальцев и тестирование ДНК, выполняются специально обученными экспертами, задача сбора и анализа компьютерных доказательств часто поручается патрульным и детективам.[16]

2000-е: Разработка стандартов

Начиная с 2000 года, в ответ на потребность в стандартизации, различные органы и агентства опубликовали руководящие принципы по цифровой криминалистике. В Научная рабочая группа по цифровым свидетельствам (SWGDE) подготовил доклад 2002 года "Лучшие практики компьютерной криминалистики", за этим последовала публикация в 2005 г. ISO стандарт (ISO 17025, Общие требования к компетентности испытательных и калибровочных лабораторий).[6][17][18] Ведущий европейский международный договор, Конвенция о киберпреступности, вступил в силу в 2004 году с целью согласования национальных законов о компьютерных преступлениях, методов расследования и международного сотрудничества. Договор подписали 43 страны (включая США, Канаду, Японию, Южную Африку, Великобританию и другие европейские страны) и ратифицировали 16.

Не обошлось и без обучения. Коммерческие компании (часто разработчики программного обеспечения для криминалистической экспертизы) начали предлагать программы сертификации, и цифровой криминалистический анализ был включен в качестве темы в учебный центр для специалистов в Великобритании. Centrex.[6][10]

С конца 1990-х годов мобильные устройства стали более доступными, превзойдя простые устройства связи, и оказались богатыми формами информации даже в отношении преступлений, традиционно не связанных с цифровой криминалистикой.[19] Несмотря на это, цифровой анализ телефонов отставал от традиционных компьютерных носителей, в основном из-за проблем, связанных с проприетарным характером устройств.[20]

Акцент также сместился на преступность в Интернете, особенно на риске кибервойна и кибертерроризм. Отчет за февраль 2010 г. Командование объединенных сил США заключил:

Через киберпространство враги будут нацелены на промышленность, научные круги, правительство, а также на вооруженные силы в воздухе, на суше, на море и в космосе. Во многом так же, как авиация изменила поле битвы Второй мировой войны, киберпространство разрушило физические барьеры, защищающие страну от атак на ее торговлю и коммуникации.[21]

В области цифровой криминалистики по-прежнему существуют нерешенные проблемы. В докладе Петерсона и Шеноя «Цифровые криминалистические исследования: хорошее, плохое и безрезультатное» 2009 года было выявлено предвзятое отношение к операционным системам Windows в исследованиях цифровой криминалистики.[22] В 2010 Симсон Гарфинкель выявила проблемы, с которыми предстоит столкнуться цифровым расследованиям в будущем, включая увеличивающийся размер цифровых носителей, широкую доступность шифрования для потребителей, растущее разнообразие операционных систем и форматов файлов, увеличение числа лиц, владеющих несколькими устройствами, и юридические ограничения для следователей. В документе также указаны проблемы с непрерывным обучением, а также непомерно высокая стоимость выхода в поле.[11]

Разработка инструментов судебной экспертизы

Основная статья: Список инструментов цифровой криминалистики

В течение 1980-х годов существовало очень мало специализированных инструментов цифровой криминалистики, и поэтому следователи часто проводили живой анализ на носителях, изучение компьютеров из операционной системы с использованием существующих сисадмин инструменты для извлечения доказательств. Такая практика сопряжена с риском случайного или иного изменения данных на диске, что приводит к заявлениям о подделке улик. В начале 1990-х годов был создан ряд инструментов для решения этой проблемы.

Потребность в таком программном обеспечении впервые была признана в 1989 г. Федеральный центр подготовки сотрудников правоохранительных органов, что привело к созданию IMDUMP [23](Майкл Уайт) и в 1990 году SafeBack [24](разработан Sydex). Аналогичное программное обеспечение было разработано в других странах; DIBS (аппаратное и программное решение) было коммерчески выпущено в Великобритании в 1991 году, а Роб МакКеммиш выпустил Фиксированный образ диска бесплатно для австралийских правоохранительных органов.[9] Эти инструменты позволили экспертам создать точную копию цифрового носителя для работы, оставив оригинальный диск нетронутым для проверки. К концу 1990-х годов по мере роста спроса на цифровые доказательства более совершенные коммерческие инструменты, такие как EnCase и FTK были разработаны, что позволяет аналитикам исследовать копии носителей без использования какой-либо оперативной криминалистики.[6] В последнее время выросла тенденция к «судебной экспертизе оперативной памяти», что привело к появлению таких инструментов, как WindowsSCOPE.

Совсем недавно такой же прогресс в разработке инструментов произошел для мобильные устройства; первоначально следователи получали доступ к данным непосредственно на устройстве, но вскоре специализированные инструменты, такие как XRY или появилось Radio Tactics Aceso.[6]

Судебно-медицинский процесс

Портативный блокировщик записи Tableau, прикрепленный к жесткий диск
Основная статья: Цифровой криминалистический процесс

Цифровая криминалистическая экспертиза обычно состоит из 3 этапов: получение или визуализация экспонатов,[25] анализ и отчетность.[6][26] В идеале получение включает в себя получение изображения энергозависимой памяти (RAM) компьютера.[27] и создание точного сектор дубликат уровня (или «судебный дубликат») СМИ, часто с использованием блокировка записи устройство для предотвращения модификации оригинала. Однако рост размеров носителей и такие разработки, как облачные вычисления [28] привели к более широкому использованию «живых» захватов, посредством которых получается «логическая» копия данных, а не полный образ физического запоминающего устройства.[25] И полученное изображение (или логическая копия), и исходный носитель / данные являются хешированный (используя такой алгоритм, как SHA-1 или же MD5 ) и сравниваются значения для проверки точности копии.[29]

Альтернативный (и запатентованный) подход (получивший название гибридной криминалистики)[30] или "распределенная криминалистика"[31]) объединяет процессы цифровой криминалистики и электронного обнаружения. Этот подход был воплощен в коммерческом инструменте под названием ISEEK, который был представлен вместе с результатами тестирования на конференции в 2017 году.[30]

На этапе анализа следователь извлекает вещественные доказательства, используя ряд различных методологий и инструментов. В 2002 г. появилась статья в Международный журнал цифровых доказательств назвал этот шаг «углубленным систематическим поиском улик, относящихся к предполагаемому преступлению».[1] В 2006 г. эксперт-криминалист. Брайан Кэрриер описал «интуитивную процедуру», в которой сначала выявляются очевидные доказательства, а затем «проводятся исчерпывающие поиски, чтобы начать заполнение дыр».[4]

Фактический процесс анализа может варьироваться в зависимости от расследования, но общие методики включают поиск по ключевым словам на цифровых носителях (как в файлах, так и в нераспределенных и свободное пространство ), восстановление удаленных файлов и извлечение информации из реестра (например, для вывода списка учетных записей пользователей или подключенных USB-устройств).

Полученные свидетельства анализируются для реконструкции событий или действий и для вывода выводов - работы, которую часто может выполнить менее специализированный персонал.[1] Когда расследование завершено, данные представляются, обычно в форме письменного отчета, в миряне ' термины.[1]

Заявление

Пример изображения Exif метаданные что может быть использовано, чтобы доказать его происхождение

Цифровая криминалистика широко используется как в уголовном праве, так и в частных расследованиях. Традиционно это было связано с уголовным правом, когда доказательства собираются для поддержки или опровержения гипотезы в суде. Как и в других областях судебной экспертизы, это часто является частью более широкого расследования, охватывающего ряд дисциплин. В некоторых случаях собранные доказательства используются как форма сбора оперативной информации, используемой для других целей, помимо судебного разбирательства (например, для обнаружения, выявления или пресечения других преступлений). В результате сбор разведданных иногда проводится в соответствии с менее строгими стандартами судебной экспертизы.

В гражданских судебных процессах или корпоративных делах цифровая судебная экспертиза является частью электронное открытие (или eDiscovery) процесс. Судебно-медицинские процедуры аналогичны процедурам, используемым в уголовных расследованиях, часто с другими юридическими требованиями и ограничениями. Вне суда цифровая криминалистика может быть частью внутренних корпоративных расследований.

Типичным примером может быть подписка на неавторизованные сетевое вторжение. Специализированная судебно-медицинская экспертиза характера и масштабов нападения проводится как упражнение по ограничению ущерба, как для определения степени любого вторжения, так и для попытки идентифицировать злоумышленника.[3][4] Такие атаки обычно проводились по телефонным линиям в 1980-х годах, но в современную эпоху они обычно распространяются через Интернет.[32]

Основное внимание в расследованиях цифровой криминалистики уделяется обнаружению объективных доказательств преступной деятельности (называемой состав преступления на юридическом языке). Однако широкий спектр данных, хранящихся в цифровых устройствах, может помочь в других областях исследования.[3]

Атрибуция
Мета-данные и другие журналы могут использоваться для атрибуции действий человеку. Например, личные документы на диске компьютера могут идентифицировать его владельца.
Алиби и заявления
Информация, предоставленная участниками, может быть перепроверена с цифровыми доказательствами. Например, при расследовании дела Сохам убийства алиби преступника было опровергнуто, когда записи мобильного телефона человека, с которым он якобы находился, показали, что в это время ее не было в городе.
Намерение
Помимо поиска объективных доказательств совершения преступления, расследования также могут использоваться для доказательства умысла (известного под юридическим термином мужская реа ). Например, интернет-история осужденного убийцы. Нил Энтвистл включены ссылки на сайт, обсуждающий Как убивать людей.
Оценка источника
Файловые артефакты и метаданные могут использоваться для определения происхождения определенного фрагмента данных; например, более старые версии Microsoft Word встроил глобальный уникальный идентификатор в файлы, идентифицирующие компьютер, на котором он был создан. Очень важно доказать, был ли файл создан на исследуемом цифровом устройстве или получен из другого источника (например, из Интернета).[3]
Аутентификация документа
В отношении «оценки источника» метаданные, связанные с цифровыми документами, можно легко изменить (например, изменив часы компьютера, вы можете повлиять на дату создания файла). Аутентификация документа связана с обнаружением и выявлением фальсификации таких сведений.

Ограничения

Одним из основных ограничений судебно-медицинской экспертизы является использование шифрования; это нарушает первоначальную экспертизу, где можно найти соответствующие доказательства с помощью ключевых слов. Законы, обязывающие людей к раскрыть ключи шифрования все еще относительно новые и противоречивые.[11]

Юридические соображения

Проверка цифровых медиа регулируется национальным и международным законодательством. В частности, в отношении гражданских расследований законы могут ограничивать возможности аналитиков проводить экспертизы. Ограничения против сетевой мониторинг, или чтение личных сообщений часто существует.[33] Во время уголовного расследования национальное законодательство ограничивает объем информации, которая может быть изъята.[33] Например, в Соединенном Королевстве изъятие доказательств правоохранительными органами регулируется Акт ПАСЕ.[6] В начале своего существования в этой области «Международная организация компьютерных доказательств» (IOCE) была одним из агентств, которые работали над установлением совместимых международных стандартов для изъятия улик.[34]

В Великобритании те же законы, касающиеся компьютерных преступлений, также могут влиять на судебных следователей. 1990 год акт о злоупотреблении компьютером принимает законы против несанкционированного доступа к компьютерным материалам; это особенно важно для гражданских следователей, у которых больше ограничений, чем у правоохранительных органов.

Право человека на неприкосновенность частной жизни - это одна из областей цифровой криминалистики, по которой суды по-прежнему не принимают решения. Соединенные штаты Закон о конфиденциальности электронных коммуникаций накладывает ограничения на способность правоохранительных органов или гражданских следователей перехватывать доказательства и получать доступ к ним. В законе проводится различие между хранимой информацией (например, архивы электронной почты) и передаваемой информацией (например, VOIP ). Последнее, поскольку считается вторжением в частную жизнь, труднее получить ордер.[6][16] ECPA также влияет на способность компаний исследовать компьютеры и коммуникации своих сотрудников, и этот аспект все еще обсуждается относительно того, в какой степени компания может проводить такой мониторинг.[6]

Статья 5 Европейской конвенции о правах человека утверждает ограничения конфиденциальности, аналогичные ECPA, и ограничивает обработку и передачу личных данных как внутри ЕС, так и с другими странами. Возможность правоохранительных органов Великобритании проводить расследования в области цифровой криминалистики регулируется законодательством Закон о регулировании следственных полномочий.[6]

Цифровые доказательства

Цифровые доказательства могут иметь несколько форм
Основная статья: Цифровые доказательства

При использовании в суд цифровые доказательства подпадают под те же правовые нормы, что и другие формы доказательств; суды обычно не требуют более строгих правил.[6][35] В Соединенных Штатах Федеральные правила доказывания используются для оценки допустимость цифровых доказательств, PACE Соединенного Королевства и Гражданские доказательства имеют аналогичные руководящие принципы, и во многих других странах действуют собственные законы. Федеральные законы США ограничивают изъятие предметов, имеющих только очевидную доказательную ценность. Признается, что это не всегда возможно установить с помощью цифровых носителей до исследования.[33]

Законы, касающиеся цифровых доказательств, касаются двух вопросов: целостности и подлинности. Целостность - это гарантия того, что акт изъятия и приобретения цифровых носителей не изменяет доказательства (ни оригинал, ни копию). Под подлинностью понимается возможность подтвердить целостность информации; например, что изображение на носителе соответствует исходному свидетельству.[33] Легкость, с которой могут быть изменены цифровые носители, означает, что документирование цепочка поставок с места преступления посредством анализа и, в конечном итоге, до суда (форма контрольный журнал ) важно для установления подлинности доказательств.[6]

Адвокаты утверждали, что, поскольку цифровые доказательства теоретически можно изменить, это подрывает надежность доказательств. Судьи США начинают отвергать эту теорию, по делу США против Боналло суд постановил, что «тот факт, что можно изменить данные, содержащиеся в компьютере, явно недостаточен для установления недостоверности».[6][36] В руководящих принципах Соединенного Королевства, например, изданных ACPO соблюдаются, чтобы помочь задокументировать подлинность и целостность доказательств.

Цифровые следователи, особенно в уголовных расследованиях, должны убедиться, что выводы основаны на фактических данных и собственных экспертных знаниях.[6] В США, например, Федеральные правила доказывания гласят, что квалифицированный эксперт может давать показания «в форме заключения или иным образом» при условии, что:

(1) свидетельские показания основаны на достаточных фактах или данных, (2) свидетельские показания являются продуктом надежных принципов и методов, и (3) свидетель надежно применил принципы и методы к фактам дела.[37]

Подотрасли цифровой криминалистики могут иметь свои собственные особые правила проведения расследований и обработки доказательств. Например, мобильные телефоны могут потребоваться для размещения в Щит Фарадея во время занятия или захвата, чтобы предотвратить дальнейший радиопередачу на устройство. В Великобритании судебно-медицинская экспертиза компьютеров по уголовным делам подлежит ACPO руководящие указания.[6] Существуют также международные подходы к предоставлению рекомендаций по работе с электронными доказательствами. «Электронный справочник доказательств» Совет Европы предлагает основу для правоохранительных и судебных органов в странах, которые стремятся установить или усовершенствовать свои собственные руководящие принципы для идентификации и обработки электронных доказательств.[38]

Следственные инструменты

Допустимость цифровых доказательств зависит от инструментов, используемых для их извлечения. В США инструменты судебной экспертизы подвергаются Стандарт Добера, где судья отвечает за обеспечение приемлемости используемых процессов и программного обеспечения. В статье 2003 года Брайан Кэрриер утверждал, что руководящие принципы Даубера требуют публикации и рецензирования кода инструментов судебной экспертизы. Он пришел к выводу, что «инструменты с открытым исходным кодом могут более четко и полно соответствовать требованиям руководства, чем инструменты с закрытым исходным кодом».[39] В 2011 Джош Бранти заявил, что научная проверка технологии и программного обеспечения, связанных с проведением цифровой судебной экспертизы, имеет решающее значение для любого лабораторного процесса. Он утверждал, что «наука о цифровой криминалистике основана на принципах повторяемости процессов и качественных доказательств, поэтому знание того, как разработать и правильно поддерживать хороший процесс проверки, является ключевым требованием для любого эксперта цифровой криминалистики для защиты своих методов в суде». "[40]

ветви

Цифровая криминалистика не ограничивается только получением данных с компьютера, поскольку преступники нарушают законы, и в настоящее время широко используются небольшие цифровые устройства (например, планшеты, смартфоны, флэш-накопители). Некоторые из этих устройств имеют энергозависимую память, а некоторые - энергонезависимую. Доступны достаточные методологии для извлечения данных из энергонезависимой памяти, однако отсутствует подробная методология или структура для извлечения данных из источников энергонезависимой памяти.[41] В зависимости от типа устройств, носителей информации или артефактов цифровая криминалистическая экспертиза подразделяется на различные типы.

Компьютерная криминалистика

Основная статья: Компьютерная криминалистика
Частный следователь и сертифицированный эксперт по цифровой криминалистике, визуализирующий жесткий диск в полевых условиях для судебно-медицинской экспертизы.

Цель компьютерной криминалистики - объяснить текущее состояние цифрового артефакта; например, компьютерная система, носитель информации или электронный документ.[42] Дисциплина обычно охватывает компьютеры, встроенные системы (цифровые устройства с элементарной вычислительной мощностью и встроенной памятью) и статическая память (например, флэш-накопители USB).

Компьютерная криминалистика может работать с широким спектром информации; от журналов (например, истории Интернета) до реальных файлов на диске. В 2007 году прокуратура использовала электронная таблица восстановлен с компьютера Джозеф Э. Дункан III показывать преднамеренность и закрепить смертный приговор.[3] Шарон Лопатка убийца был идентифицирован в 2006 году после того, как на ее компьютере были найдены его электронные письма с подробным описанием пыток и фантазий о смерти.[6]

Криминалистика мобильных устройств

Основная статья: Криминалистика мобильных устройств
Мобильные телефоны в сумке с уликами Великобритании

Криминалистика мобильных устройств - это подраздел цифровой криминалистики, связанный с восстановлением цифровых доказательств или данных из мобильное устройство. Он отличается от компьютерной криминалистики тем, что мобильное устройство будет иметь встроенную систему связи (например, GSM ) и, как правило, проприетарные механизмы хранения. Исследования обычно сосредоточены на простых данных, таких как данные о звонках и сообщениях (SMS / электронная почта), а не на глубоком восстановлении удаленных данных.[6][43] SMS данные расследования мобильного устройства помогли реабилитировать Патрика Лумумбу в убийство Мередит Керчер.[3]

Мобильные устройства также полезны для предоставления информации о местоположении; либо из встроенного GPS / отслеживания местоположения, либо через сотовый сайт журналы, которые отслеживают устройства в пределах их досягаемости. Такая информация была использована для розыска похитителей Томаса Онофри в 2006 году.[3]

Сетевая криминалистика

Основная статья: Сетевая криминалистика

Сетевая криминалистика занимается мониторингом и анализом компьютерная сеть трафик, оба местный и WAN /Интернет, в целях сбора информации, сбора доказательств или обнаружения вторжений.[44] Трафик обычно перехватывается на пакет уровня и либо сохраняются для последующего анализа, либо фильтруются в реальном времени. В отличие от других областей цифровой криминалистики, сетевые данные часто изменчивы и редко регистрируются, что делает дисциплину часто реакционной.

В 2000 г. ФБР заманил компьютерных хакеров Алексея Иванова и Горшкова в США на поддельное собеседование. Контролируя сетевой трафик с компьютеров пары, ФБР идентифицировало пароли, позволяющие им собирать улики непосредственно с компьютеров в России.[6][45]

Криминалистический анализ данных

Основная статья: Криминалистический анализ данных

Криминалистический анализ данных - это отрасль цифровой криминалистики. Он изучает структурированные данные с целью выявления и анализа схем мошенничества в результате финансовых преступлений.

Криминалистика баз данных

Основная статья: Криминалистика баз данных

Криминалистика баз данных - это отрасль цифровой криминалистики, относящаяся к криминалистическому исследованию базы данных и их метаданные.[46] В исследованиях используется содержимое базы данных, файлы журналов и входящие данные.баран данные, чтобы построить график или восстановить соответствующую информацию.

Искусственный интеллект и его роль в цифровой криминалистике

Искусственный интеллект (ИИ) - это хорошо зарекомендовавшая себя область, которая помогает решать сложные в вычислительном отношении и большие проблемы. Поскольку процесс цифровой криминалистики требует анализа большого количества сложных данных; Таким образом, ИИ считается идеальным подходом для решения ряда проблем и проблем, существующих в настоящее время в цифровой криминалистике. Среди наиболее важных концепций в различных системах ИИ, связанных с онтологией, представлением и структурированием знаний. AI обладает потенциалом для предоставления необходимых знаний и помогает в стандартизации, управлении и обмене большим объемом данных, информации и знаний в области судебной экспертизы. Существующие системы цифровой криминалистики неэффективны для сохранения и хранения всех этих множественных форматов данных и недостаточны для обработки таких обширных и сложных данных, поэтому они требуют вмешательства человека, что означает вероятность задержек и ошибок. Но с инновациями в области машинного обучения это возникновение ошибки или задержки можно предотвратить. Система разработана таким образом, что помогает обнаруживать ошибки, но гораздо быстрее и с большей точностью. Несколько типов исследований подчеркнули роль различных методов ИИ и их преимущества в обеспечении основы для хранения и анализа цифровых доказательств. Среди этих методов AI включают машинное обучение (ML), NLP, распознавание речи и изображений, при этом каждый из этих методов имеет свои преимущества. Например, машинное обучение предоставляет системам возможность обучения и совершенствования без четкого программирования, например, обработка изображений и медицинская диагностика. Кроме того, методы НЛП помогают извлекать информацию из текстовых данных, например, в процессе фрагментации файлов.

Смотрите также

Рекомендации

  1. ^ а б c d е ж M Reith; C Carr; Г. Гунш (2002). «Экспертиза цифровых криминалистических моделей». Международный журнал цифровых доказательств. CiteSeerX  10.1.1.13.9683. Цитировать журнал требует | журнал = (помощь)
  2. ^ Перевозчик, B (2001). «Определение инструментов цифровой судебной экспертизы и анализа». Международный журнал цифровых доказательств. 1: 2003. CiteSeerX  10.1.1.14.8953.
  3. ^ а б c d е ж грамм Разное (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованиям. Академическая пресса. п. 567. ISBN  978-0-12-374267-4.
  4. ^ а б c Кэрриер, Брайан Д. (7 июня 2006 г.). «Основные концепции цифрового судебного расследования». В архиве из оригинала 26 февраля 2010 г.
  5. ^ "Закон Флориды о компьютерных преступлениях". Архивировано из оригинал 12 июня 2010 г.. Получено 31 августа 2010.
  6. ^ а б c d е ж грамм час я j k л м п о п q р s т Кейси, Иоган (2004). Цифровые доказательства и компьютерные преступления, второе издание. Эльзевир. ISBN  978-0-12-163104-8.
  7. ^ Аарон Филлип; Дэвид Коуэн; Крис Дэвис (2009). Разоблачение взлома: компьютерная криминалистика. McGraw Hill Professional. п. 544. ISBN  978-0-07-162677-4. Получено 27 августа 2010.
  8. ^ а б М., М. Э. "Краткая история компьютерных преступлений: A" (PDF). Норвичский университет. В архиве (PDF) из оригинала 21 августа 2010 г.. Получено 30 августа 2010.
  9. ^ а б Мохай, Джордж М. (2003). Компьютерная экспертиза и криминалистика вторжений. Artechhouse. п.395. ISBN  978-1-58053-369-0.
  10. ^ а б c Питер Соммер (январь 2004 г.). «Будущее борьбы с киберпреступностью». Компьютерное мошенничество и безопасность. 2004 (1): 8–12. Дои:10.1016 / S1361-3723 (04) 00017-X. ISSN  1361-3723.
  11. ^ а б c Симсон Л. Гарфинкель (август 2010 г.). «Исследование цифровой криминалистики: следующие 10 лет». Цифровое расследование. 7: S64 – S73. Дои:10.1016 / j.diin.2010.05.009. ISSN  1742-2876.
  12. ^ Линда Волонино; Рейнальдо Анзалдуа (2008). Компьютерная криминалистика для чайников. Для чайников. п. 384. ISBN  978-0-470-37191-6.
  13. ^ Г.Л. Палмер; Я ученый; H View (2002). «Криминалистический анализ в цифровом мире». Международный журнал цифровых доказательств. Получено 2 августа 2010.
  14. ^ Уилдинг, Э. (1997). Компьютерные доказательства: Справочник по судебным расследованиям. Лондон: Sweet & Maxwell. п. 236. ISBN  978-0-421-57990-3.
  15. ^ Collier, P.A .; Спаул, Б.Дж. (1992). «Криминалистическая методика противодействия компьютерной преступности». Компьютеры и право.
  16. ^ а б К. С. Розенблатт (1995). Преступления в сфере высоких технологий: расследование дел с участием компьютеров. Публикации KSK. ISBN  978-0-9648171-0-4. Получено 4 августа 2010.
  17. ^ «Лучшие практики компьютерной криминалистики» (PDF). SWGDE. Архивировано из оригинал (PDF) 27 декабря 2008 г.. Получено 4 августа 2010.
  18. ^ «ISO / IEC 17025: 2005». ISO. В архиве из оригинала 5 августа 2011 г.. Получено 20 августа 2010.
  19. ^ С.Г. Пунджа (2008). «Анализ мобильных устройств» (PDF). Журнал криминалистической экспертизы малых цифровых устройств. Архивировано из оригинал (PDF) на 2011-07-28.
  20. ^ Ризван Ахмед (2008). «Мобильная криминалистика: обзор, инструменты, будущие тенденции и проблемы с точки зрения правоохранительных органов» (PDF). 6-я Международная конференция по электронному управлению. В архиве (PDF) из оригинала от 03.03.2016.
  21. ^ «Совместная операционная среда» В архиве 2013-08-10 в Wayback Machine, Отчет выпущен 18 февраля 2010 г., стр. 34–36.
  22. ^ Петерсон, Гилберт; Шеной, Суджит (2009). Цифровые криминалистические исследования: хорошее, плохое и безразличное. Достижения в цифровой криминалистике V. Достижения ИФИП в области информационных и коммуникационных технологий. 306. Springer Boston. С. 17–36. Bibcode:2009adf5.conf ... 17B. Дои:10.1007/978-3-642-04155-6_2. ISBN  978-3-642-04154-9.
  23. ^ Мохай, Джордж М. (2003). Компьютерная экспертиза и криминалистика вторжений. Артек Хаус. ISBN  9781580536301.
  24. ^ ФАТХ, Алим А .; Хиггинс, Кэтлин М. (февраль 1999 г.). Лаборатории судебной экспертизы: Справочник по планированию, проектированию, строительству и перемещению объектов. Издательство ДИАНА. ISBN  9780788176241.
  25. ^ а б Адамс, Ричард (2013). "'Расширенная модель сбора данных (ADAM): модель процесса для цифровой судебной экспертизы ». Университет Мердока. В архиве (PDF) из оригинала 14.11.2014.
  26. ^ "'Электронное руководство по расследованию места преступления: руководство для служб быстрого реагирования » (PDF). Национальный институт юстиции. 2001 г. В архиве (PDF) из оригинала от 15.02.2010.
  27. ^ «Поймать призрака: как обнаружить эфемерные доказательства с помощью анализа оперативной памяти». Belkasoft Research. 2013.
  28. ^ Адамс, Ричард (2013). "'Появление облачных хранилищ и потребность в новой модели процессов цифровой криминалистики » (PDF). Университет Мердока.
  29. ^ Маартен ван Хоренбек (24 мая 2006 г.). «Расследование технологических преступлений». Архивировано из оригинал 17 мая 2008 г.. Получено 17 августа 2010.
  30. ^ а б Ричард, Адамс; Грэм, Манн; Валери, Хоббс (2017). «ISEEK, инструмент для высокоскоростного параллельного распределенного сбора криминалистических данных». Цитировать журнал требует | журнал = (помощь)
  31. ^ Hoelz, Bruno W. P .; Ралья, Селия Гедини; Гевергезе, Раджив (2008-03-08). Искусственный интеллект в компьютерной криминалистике. ACM. С. 883–888. Дои:10.1145/1529282.1529471. ISBN  9781605581668. S2CID  5382101.
  32. ^ Уоррен Г. Круз; Джей Г. Хейзер (2002). Компьютерная криминалистика: основы реагирования на инциденты. Эддисон-Уэсли. п.392. ISBN  978-0-201-70719-9.
  33. ^ а б c d Сара Мокас (февраль 2004 г.). «Создание теоретических основ для исследования цифровой криминалистики». Цифровое расследование. 1 (1): 61–68. CiteSeerX  10.1.1.7.7070. Дои:10.1016 / j.diin.2003.12.004. ISSN  1742-2876.
  34. ^ Канеллис, Панайотис (2006). Цифровая преступность и криминалистика в киберпространстве. Idea Group Inc (IGI). п. 357. ISBN  978-1-59140-873-4.
  35. ^ США против Боналло, 858 F. 2d 1427 (9-й Cir. 1988).
  36. ^ «Федеральный регламент доказывания №702». Архивировано из оригинал 19 августа 2010 г.. Получено 23 августа 2010.
  37. ^ «Электронный справочник доказательств». Совет Европы. Апрель 2013. В архиве из оригинала 27.12.2013.
  38. ^ Бранти, Джош (март 2011 г.). «Валидация инструментов и программного обеспечения для криминалистики: краткое руководство для эксперта по цифровой криминалистике». Судебно-медицинский журнал. В архиве из оригинала от 22.04.2017.
  39. ^ Янсен, Уэйн (2004). "Айерс" (PDF). Специальная публикация NIST. NIST. Дои:10.6028 / NIST.SP.800-72. В архиве (PDF) из оригинала 12 февраля 2006 г.. Получено 26 февраля 2006.
  40. ^ Ясинзак; РФ Эрбахер; DG Marks; М. М. Поллитт (2003). «Обучение компьютерной криминалистике». Безопасность и конфиденциальность IEEE. 1 (4): 15–23. Дои:10.1109 / MSECP.2003.1219052.
  41. ^ "Расследование технологических преступлений :: Мобильная криминалистика". Архивировано из оригинал 17 мая 2008 г.. Получено 18 августа 2010.
  42. ^ Гэри Палмер, Дорожная карта для цифровых криминалистических исследований, отчет DFRWS 2001, Первый семинар по цифровым судебным исследованиям, Ютика, Нью-Йорк, 7–8 августа 2001 г., стр. 27–30
  43. ^ «Двое россиян обвиняются во взломе». Москва Таймс. 24 апреля 2001 г. В архиве из оригинала 22 июня 2011 г.. Получено 3 сентября 2010.
  44. ^ Оливье, Мартин С. (март 2009 г.). «О контексте метаданных в экспертизе баз данных». Цифровое расследование. 5 (3–4): 115–123. CiteSeerX  10.1.1.566.7390. Дои:10.1016 / j.diin.2008.10.001.

дальнейшее чтение

Связанные журналы

внешняя ссылка