Криминалистический поиск - Forensic search

Криминалистический поиск это новая область компьютерная экспертиза. Криминалистический поиск фокусируется на данных, созданных пользователями, таких как файлы электронной почты, записи сотовых телефонов, офисные документы, PDF-файлы и другие файлы, которые легко интерпретируются человеком.

Криминалистический поиск отличается от компьютерного криминалистического анализа тем, что он не пытается просматривать или анализировать системные файлы нижнего уровня, такие как реестр, связать файлы или проблемы на уровне диска, которые чаще всего связаны с традиционным компьютерным криминалистическим анализом.

Почему поиск в криминалистике

Криминалистический поиск возник благодаря ряду факторов, в том числе:

  • Усовершенствования в технологиях, позволяющие менее квалифицированным пользователям выполнять поиск и анализ данных, которые ранее выполнялись бы только экспертом-компьютерщиком. (Эта тенденция прослеживается во многих отраслях).
  • Необходимость снизить высокую стоимость проведения полного компьютерного криминалистического анализа компьютера пользователя, когда в большинстве случаев доказательства, обнаруженные в данных, созданных пользователем, наиболее полезны и все, что требуется.
  • Подъем Облачные вычисления который стал свидетелем перехода от хранения данных на локальном компьютерном оборудовании к хранению данных в любом количестве удаленных мест.[1]
  • Отсутствие квалифицированных компьютерных криминалистов
  • Необходимость решения проблемы накопившихся дел в большинстве полицейских агентств, где компьютерная информация требует проверки.[2][3]
  • Необходимость привлечения других видов экспертизы для надлежащей оценки доказательств, например: знание правил бухгалтерского учета, юридические знания и т. д.

Цели криминалистического поиска

Задача программного обеспечения судебного поиска состоит в том, чтобы позволить человеку, обладающему только общими знаниями о компьютерах, но опытному в проверке документов или методах расследования, выполнять и искать созданные пользователем Информация, хранящаяся в электронном виде (ESI). Данные, которые обычно считаются созданными пользователем, ESI состоят из электронных писем, документов, изображений и других типов файлов, созданных пользователем, в отличие от данных, созданных операционной системой компьютера (то есть файлов реестра, файлов ссылок, нераспределенного пространства. контролируются или создаются компьютером, а не пользователем). Целью просмотра данных, созданных пользователями, является поиск информации, которая может использоваться для принятия решений в рамках расследования.

Преимущества программного обеспечения для криминалистического поиска

Программное обеспечение для интеллектуального поиска отличается от использования собственных приложений (например, Outlook) или поиск на рабочем столе программное обеспечение (например, Google Desktop ) для поиска данных, чтобы в процессе обработки или поиска не было внесено никаких изменений, которые могут повлиять на результаты или исказить выводы. Программное обеспечение интеллектуального поиска также позволит получить доступ к базовым метаданным элементов, недоступных через собственное приложение. Хорошим примером этого могут быть метаданные в документах MS Word.[4] Ряд программных продуктов Forensic Search сможет выполнять восстановление данных для различных типов файлов электронной почты.

Некоторые примеры того, как использование собственного приложения или не-криминалистического приложения может повлиять на данные:

  • Открытие документа Microsoft Word в Microsoft Word может изменить дату создания, изменения или последнего доступа в документе. Это может привести к тому, что в доказательствах будут указаны неверные даты.
  • Просмотр данных в некоторых собственных приложениях вызовет запуск системного антивируса, снова изменяя данные или изменяя доказательства.
  • Неспособность заморозить доказательства до открытия файлов в сочетании с тем фактом, что простое открытие файлов меняет их, может сделать критические доказательства недействительными.[5]

Другие типы обзора

Программное обеспечение для криминалистического поиска сравнивают с eDiscovery просмотрите программное обеспечение, однако это не совсем так. Программное обеспечение для обзора eDiscovery, работая со многими аналогичными типами компьютерных записей и опциями поиска, предлагает дополнительные функции по сравнению с программным обеспечением Forensic Search. Такие функции, как редактирование и юридическое удержание, являются стандартными в программном обеспечении для просмотра электронных данных. Также бывает, что программное обеспечение интеллектуального поиска не соответствует задачам более высокого уровня, изложенным в широко принятой эталонной модели электронного обнаружения (EDRM). Такие задачи, как идентификация, сбор, сохранение или представление, как правило, не выполняются программным обеспечением для интеллектуального поиска.

Однако настоящая проверка eDiscovery обычно является прерогативой квалифицированных практикующих юристов или компаний.[6][7]

Использование термина eDiscovery стало универсальным в некоторых кругах для обработки и поиска информации, хранящейся в электронном виде (ESI). Однако это неверное представление о термине eDiscovery. Для более подробного понимания eDiscovery, Эталонная модель электронного обнаружения (EDRM) является хорошее руководство.

Можно сказать, что судебно-медицинский поиск более тесно связан с Ранняя оценка случая (ECA) чем eDiscovery, поскольку ECA не требует тщательной проверки полного обнаружения электронных данных.

Доказательная ценность данных, созданных пользователем, по сравнению с другими типами данных

При представлении данных как части отчета, который может использоваться для формирования решения или в качестве доказательства, важно, чтобы данные были правильно представлены, чтобы читатель мог их понять.

В случае создания отчетов о данных, созданных системой, таких как файлы реестра, файлы ссылок и другие данные, созданные системой, это может быть дорогостоящим мероприятием. Также может быть случай, когда нет однозначного ответа или объяснения.

Примером этого может быть попытка объяснить непрофессионалу метод и приемы декодирования Ключ UserAssist в системном реестре Windows. Клавиша UserAssist может содержать большой объем информации о действиях пользователя компьютера. Однако, чтобы объяснить этот ключ, рецензент должен уметь идентифицировать ключ и правильно интерпретировать настройку ключа. Ключи часто кодируются ROT 13.

После того, как эти ключи декодированы в форматы, удобочитаемые человеком, рецензент должен показать, как настройка связана с случаем. Часто требуется много времени, чтобы просмотреть сотни, даже тысячи настроек, которые иногда дают лишь очень косвенные, а иногда и спорные результаты.

При просмотре данных, созданных пользователями, таких как электронная почта или контракты, составление отчетов и понимание результатов часто намного проще. Полуквалифицированный пользователь обычно хорошо понимает, как работает электронная почта, поскольку он использует ее в своей повседневной работе. Юридическое лицо понимает договор и не нуждается для этого в специальных судебных знаниях. Это может привести к гораздо меньшим затратам на проверку и менее спорным или косвенным выводам.

Функциональность высокого уровня программного обеспечения для судебного поиска

Функции программного обеспечения для криминалистического поиска сосредоточены на том, чтобы позволить пользователю одновременно искать и просматривать ряд данных и файлы пользователей.

Отличительными особенностями программного обеспечения для судебного поиска являются:

  • Способность обрабатывать различные типы данных, что позволяет рецензенту выполнять их поиск с небольшими знаниями компьютерной криминалистики или без них
  • Поиск по ключевым словам по всем обрабатываемым данным и типам данных
  • Возможность создавать сложные поисковые запросы, такие как включение или исключение данных
  • Использование MD5 и других алгоритмов для поиска и идентификации файлов и данных
  • Возможность фильтрации на основе метаданных, таких как даты, адреса электронной почты и типы файлов.
  • Возможность просматривать разные данные, введенные в одних и тех же результатах поиска.
  • Возможность просматривать все результаты в одном пользовательском интерфейсе
  • Возможность экспортировать элементы в различные форматы, например электронную почту, Word, HTML.
  • Возможность создавать общие отчеты

Изменения в компьютерной криминалистике

Существует много новых и появляющихся областей компьютерной криминалистики, таких как облачная экспертиза, криминалистика мобильных телефонов, криминалистика сети, анализ памяти, криминалистика браузеров, судебная сортировка и криминалистика Интернета.[8] В недалеком прошлом наиболее распространенной ролью компьютерного судебно-медицинского эксперта было посещение дома, места работы или центра обработки данных человека для проведения судебно-медицинской экспертизы. 'изображение' все компьютеры или устройства, которые могут быть задействованы в деле. Это было отнесено к этапу сбора.

После завершения этапа сбора эти изображения были просмотрены, и заинтересованным сторонам был предоставлен соответствующий ESI. Для этого следователь компьютерной криминалистики должен иметь большой опыт и подготовку в следующих областях:

  • Определение того, какой компьютер, приложения или устройства могут быть задействованы
  • Как разобрать компьютер и извлечь жесткие диски компьютера, не повредив его.
  • Как правильно сделать криминалистический снимок, чтобы соблюсти цепочку ответственности
  • Как использовать программное обеспечение для криминалистической экспертизы для правильной интерпретации и предоставления результатов

Этот процесс был трудоемким и дорогостоящим. Основная роль компьютерного судебно-медицинского эксперта - исследовать компьютерные доказательства (ESI). Возможно, они не были так хорошо знакомы со всем делом или целями, как агент по расследованию, детектив, судебный бухгалтер или криминалист. Это часто приводило к неидеальной или трудоемкой идентификации правильных доказательств между разными сторонами. То, что сразу вызовет интерес детектива с глубоким знанием дела и вовлеченных сторон, может остаться незамеченным экспертом компьютерной криминалистики. Примером может быть электронное письмо от подозреваемого в другом случае подозреваемому в этом случае или контактные / телефонные звонки свидетелю от подозреваемого.

Проблема усугубляется тем, что значительно увеличился объем данных, которые необходимо собрать эксперту по компьютерной криминалистике. В настоящее время часто бывает так, что жесткий диск компьютера не может быть создан, например, если компьютер, содержащий доказательства, слишком велик, или система не может быть выключена для создания образа, поскольку это критически важный сервер, такой как в качестве почтового сервера или файлового сервера компании. Подъем Облачные вычисления также добавил проблем к сбору доказательств. Данные, требующие сбора и анализа, могут находиться в облаке. В этом случае компьютер для изображения недоступен. Затем судебному эксперту необходимо собрать информацию с помощью программного обеспечения для судебной экспертизы, разработанного для работы с определенными поставщиками облачных услуг.[9]

Короче говоря, сбор доказательств значительно изменился за последние несколько лет. Признавая эти проблемы, была обсуждена концепция гибридной криминалистики и создание инструментов, которые используют другой подход к сбору данных. Концепция гибридной криминалистики - это выборочный сбор данных из «живых» систем таким образом, чтобы их можно было рассматривать в суде как надежные доказательства.[10]

Барьеры на пути применения криминалистического поиска в правоохранительных органах

Правоохранительные организации, как и многие другие организации, разделены на подразделения по конкретным навыкам. В области компьютерной криминалистики / киберпреступности эти подразделения берут на себя ответственность за все аспекты ESI. Как обсуждалось в пункте 5 «Почему экспертный поиск», эти подразделения обычно бедны по времени и не имеют ресурсов.

Несмотря на то, что время и ресурсы ограничены, основные знания в подразделении исходят от офицеров или консультантов с опытом работы более 7 лет (это предшествует большинству доступных степеней компьютерной криминалистики). Эти офицеры со временем ознакомились с методологией использования пакета программного обеспечения для криминалистического анализа, поскольку это все, что им предлагалось, когда они начинали работу в полевых условиях. Следовательно, когда появляются новые сотрудники или ресурсы, приоритет отдается программному обеспечению для судебно-медицинской экспертизы по сравнению с более новым, более конкретным программным обеспечением и новыми типами областей судебной экспертизы.

Вывод

Программное обеспечение для судебного поиска стало популярным как метод сокращения времени и затрат на поиск и анализ больших наборов данных за счет сосредоточения внимания на пользовательских данных, которые чаще всего дают доказательства или результаты.

Электронная почта - такое соблазнительное и убедительное доказательство. Это личное, обильное и откровенное. Для большинства взрослых электронная почта является основным средством письменного общения. Когда юристы думают об «электронном открытии», они жаждут именно электронной почты. Поэтому неудивительно, что трафик электронной почты является наиболее востребованным и обсуждаемым ESI.[11]

Новое поколение инструментов разрабатывается для решения проблем, с которыми сталкиваются специалисты в области цифровой криминалистики и электронного поиска.[12]

Рекомендации

  1. ^ Кроуфорд, Стефани (08.08.2011). "HowStuffWorks" Действительно ли мои файлы в безопасности, если я храню их в облаке?"". Computer.howstuffworks.com. Получено 2012-10-24.
  2. ^ «Отставание в штате Мэн отдела компьютерных преступлений держит детскую порнографию на улицах - Государство - Бангор Daily News - БДН Мэн». Bangordailynews.com. 2011-11-25. Получено 2012-10-24.
  3. ^ Matrix Group International, Inc. Александрия, Вирджиния, 2003 г. http://www.matrixgroup.net. "Просмотреть статью". Журнал начальника полиции. Получено 2012-10-24.CS1 maint: несколько имен: список авторов (связь)
  4. ^ «Microsoft Word байтов Тони Блэра в заднице». Computerbytesman.com. Архивировано из оригинал на 2012-10-18. Получено 2012-10-24.
  5. ^ http://euro.ecom.cmu.edu/program/law/08-732/Evidence/RyanShpantzer.pdf
  6. ^ «Мнение 362 по этике: Право собственности на поставщиков услуг Discovery, не являющихся юристами». Dcbar.org. 2012-01-12. Получено 2012-10-24.
  7. ^ «Коллегия адвокатов округа Колумбия: поставщики электронных документов, не являющиеся юристами, не могут применять закон». IT-Lex. 2012-07-11. Получено 2012-10-24.
  8. ^ [1]
  9. ^ «F-Response 4.0.4 и новый Cloud Connector». F-response.com. 2012-07-24. Получено 2012-10-24.
  10. ^ Д-р Ричард Адамс (05.11.2014). «Объединение цифровой криминалистики, электронного обнаружения и реагирования на инциденты». Цитировать журнал требует | журнал = (помощь)
  11. ^ http://www.craigball.com/BIYC.pdf
  12. ^ Ричард, Адамс; Грэм, Манн; Валери, Хоббс (2017). «ISEEK, инструмент для высокоскоростного параллельного распределенного сбора криминалистических данных». Исследование в Интернете. Дои:10.4225 / 75 / 5a838d3b1d27f.