co je počítačová forenzní analýza?
počítačová forenzní analýza je aplikace vyšetřovacích a analytických technik pro shromažďování a uchování důkazů z konkrétního výpočetního zařízení způsobem, který je vhodný pro prezentaci u soudu. Cílem počítačové forenzní analýzy je provést strukturované vyšetřování a udržovat zdokumentovaný řetězec důkazů, aby se přesně zjistilo, co se stalo na výpočetním zařízení a kdo za to byl zodpovědný.
počítačová forenzní věda-která je někdy označována jako počítačová forenzní věda – je v podstatě obnova dat s pokyny pro dodržování právních předpisů, aby byly informace přípustné v soudním řízení. Pojmy digitální forenzní a kybernetická forenzní jsou často používány jako synonyma pro počítačovou forenzní.
digitální forenzní analýza začíná shromažďováním informací způsobem, který udržuje jejich integritu. Vyšetřovatelé poté analyzují data nebo systém, aby zjistili, zda byla změněna, jak byla změněna a kdo provedl změny. Použití počítačové forenzní techniky není vždy spojeno se zločinem. Forenzní proces se také používá jako součást procesů obnovy dat ke shromažďování dat z havarovaného serveru, neúspěšné jednotky, přeformátovaného operačního systému (OS) nebo jiné situace, kdy systém neočekávaně přestal fungovat.
proč je počítačová forenzní analýza důležitá?
v systému občanského a trestního soudnictví pomáhá počítačová forenzní analýza zajistit integritu digitálních důkazů předložených v soudních případech. Vzhledem k tomu, že počítače a další zařízení pro sběr dat se používají častěji ve všech aspektech života, digitální důkazy-a forenzní proces používaný ke shromažďování, uchovávání a vyšetřování-se staly důležitějšími při řešení trestných činů a dalších právních otázek.
průměrný člověk nikdy nevidí mnoho informací, které moderní zařízení shromažďují. Například počítače v autech neustále shromažďují informace o tom, kdy řidič brzdí, posouvá a mění rychlost, aniž by si toho řidič byl vědom. Tyto informace se však mohou ukázat jako kritické při řešení právní záležitosti nebo trestného činu a počítačová forenzní analýza často hraje roli při identifikaci a uchovávání těchto informací.
digitální důkazy nejsou užitečné pouze při řešení zločinů digitálního světa, jako je krádež dat, narušení sítě a nedovolené online transakce. Používá se také k řešení zločinů ve fyzickém světě, jako je vloupání, napadení, nehody a vraždy.
podniky často používají vícevrstvou správu dat, správu dat a strategii zabezpečení sítě, aby chránily proprietární informace. Mít data, která jsou dobře spravovaná a bezpečná, může pomoci zefektivnit forenzní proces, pokud by se tato data někdy vyšetřovala.
podniky také používají počítačovou forenzní analýzu ke sledování informací souvisejících se systémem nebo sítí, které lze použít k identifikaci a stíhání kybernetických útočníků. Podniky mohou také použít digitální forenzní experty a procesy, které jim pomohou s obnovou dat v případě selhání systému nebo sítě způsobené přírodní nebo jinou katastrofou.
jak se svět stává více závislým na digitálních technologiích pro základní funkce života, počítačová kriminalita roste. Počítačoví forenzní specialisté tak již nemají monopol na poli. Podívejte se, jak policie ve Velké Británii přijímá počítačové forenzní techniky, aby držela krok s rostoucí mírou počítačové kriminality.
typy počítačové forenzní analýzy
existují různé typy počítačových forenzních vyšetření. Každý se zabývá specifickým aspektem informačních technologií. Některé z hlavních typů zahrnují následující:
- forenzní databáze. Zkoumání informací obsažených v databázích, jak Dat, tak souvisejících metadat.
- e-mailová forenzní analýza. Obnova a analýza e-mailů a dalších informací obsažených v e-mailových platformách, jako jsou plány a kontakty.
- malware forensics. Prosévání kódu k identifikaci možných škodlivých programů a analýze jejich užitečného zatížení. Takové programy mohou zahrnovat trojské koně, ransomware nebo různé viry.
- forenzní paměť. Shromažďování informací uložených v paměti RAM a mezipaměti počítače.
- mobilní forenzní. Zkoumání mobilních zařízení k načtení a analýze informací, které obsahují, včetně kontaktů, příchozích a odchozích textových zpráv, obrázků a video souborů.
- Síťová forenzní analýza. Hledáte důkazy sledováním síťového provozu pomocí nástrojů, jako je firewall nebo systém detekce narušení.
jak počítačová forenzní analýza funguje?
forenzní vyšetřovatelé obvykle dodržují standardní postupy, které se liší v závislosti na kontextu forenzního vyšetřování,vyšetřovaného zařízení nebo informací, které vyšetřovatelé hledají. Tyto postupy obecně zahrnují následující tři kroky:
- sběr dat. Elektronicky uložené informace musí být shromažďovány způsobem, který udržuje jejich integritu. To často zahrnuje fyzickou izolaci vyšetřovaného zařízení, aby se zajistilo, že nemůže být náhodně kontaminováno nebo s ním manipulováno. Zkoušející vytvoří digitální kopii, nazývanou také forenzní obraz, paměťového média zařízení, a poté uzamknou původní zařízení v bezpečném nebo jiném zabezpečeném zařízení, aby si zachovali svůj původní stav. Šetření se provádí na digitální kopii. V ostatních případech mohou být veřejně dostupné informace použity pro forenzní účely, jako jsou Facebook příspěvky nebo veřejné poplatky Venmo za nákup nelegálních produktů nebo služeb zobrazených na webových stránkách Vicemo.
- analýza. Vyšetřovatelé analyzují digitální kopie paměťových médií ve sterilním prostředí, aby shromáždili informace pro případ. V tomto procesu se používají různé nástroje, včetně pitvy Basis Technology pro vyšetřování pevného disku a analyzátoru síťového protokolu Wireshark. Myš jiggler je užitečné při zkoumání počítače, aby se zabránilo usínání a ztrátě těkavých paměťových dat, která se ztratí, když počítač přejde do režimu spánku nebo ztratí napájení.
- prezentace. Forenzní vyšetřovatelé prezentují svá zjištění v soudním řízení, kde je soudce nebo porota používá k určení výsledku soudního řízení. V situaci obnovy dat forenzní vyšetřovatelé prezentují, co se jim podařilo obnovit z kompromitovaného systému.
často se v počítačových forenzních vyšetřováních používá více nástrojů k ověření výsledků, které produkují. Zjistěte, jak výzkumný pracovník společnosti Kaspersky Lab v Asii vytvořil forenzní nástroj s otevřeným zdrojovým kódem pro vzdálené shromažďování důkazů o malwaru bez ohrožení integrity systému.
techniky forenzní vyšetřovatelé používají
vyšetřovatelé používají různé techniky a proprietární forenzní aplikace k prozkoumání kopie, kterou vytvořili z kompromitovaného zařízení. Hledají skryté složky a nepřidělené místo na disku pro kopie odstraněných, šifrovaných nebo poškozených souborů. Veškeré důkazy nalezené na digitální kopii jsou pečlivě zdokumentovány ve zprávě o nálezu a ověřeny původním zařízením v rámci přípravy na soudní řízení, která zahrnují objev, depozice nebo skutečné soudní spory.
počítačové forenzní vyšetřování využívá kombinaci technik a odborných znalostí. Některé běžné techniky zahrnují následující:
- reverzní steganografie. Steganografie je běžná taktika používaná ke skrytí dat uvnitř jakéhokoli typu digitálního souboru, zprávy nebo datového toku. Počítačoví forenzní experti zvrátili pokus o steganografii analýzou hašování dat, které daný soubor obsahuje. Pokud kybernetický zločinec skrývá důležité informace uvnitř obrázku nebo jiného digitálního souboru, může vypadat stejně před a po netrénovanému oku, ale základní hash nebo řetězec dat, který představuje obrázek, se změní.
- stochastická forenzní analýza. Zde vyšetřovatelé analyzují a rekonstruují digitální aktivitu bez použití digitálních artefaktů. Artefakty jsou nezamýšlené změny dat, ke kterým dochází z digitálních procesů. Artefakty zahrnují stopy související s digitálním zločinem, například změny atributů souborů během krádeže dat. Stochastická forenzní analýza se často používá při vyšetřování porušení dat, kde je útočník považován za zasvěceného, který nemusí zanechat digitální artefakty.
- Cross-drive analýza. Tato technika koreluje a porovnává informace nalezené na více počítačových jednotkách, aby vyhledala, analyzovala a uchovala informace relevantní pro vyšetřování. Události, které vyvolávají podezření, jsou porovnávány s informacemi na jiných jednotkách, aby se hledaly podobnosti a poskytovaly kontext. Toto je také známé jako detekce anomálií.
- živá analýza. Pomocí této techniky je počítač analyzován z operačního systému, když je počítač nebo zařízení spuštěno, pomocí systémových nástrojů v počítači. Analýza se zaměřuje na Volatilní data, která jsou často uložena v mezipaměti nebo paměti RAM. Mnoho nástrojů používaných k extrakci těkavých dat vyžaduje, aby byl počítač ve forenzní laboratoři, aby si zachoval legitimitu řetězce důkazů.
- Obnova odstraněného souboru. Tato technika zahrnuje vyhledávání v počítačovém systému a paměti fragmentů souborů, které byly částečně odstraněny na jednom místě, ale zanechaly stopy jinde na stroji. Toto je někdy známé jako řezba souborů nebo řezba dat.
Zjistěte více o počítačové forenzní analytice v této kapitole z knihy Python Forensics: pracovní stůl pro vynalézání a sdílení digitální forenzní technologie od Cheta Hosmera. Ukazuje, jak používat technologii Python a cybersecurity k zachování digitálních důkazů.
jak se počítačová forenzní analýza používá jako důkaz?
počítačová forenzní technika byla používána jako důkaz donucovacími orgány a v trestním a občanském právu od 1980ů. některé pozoruhodné případy zahrnují následující:
- krádež obchodního tajemství Apple. Inženýr jménem Xiaolang Zhang v divizi autonomních automobilů společnosti Apple oznámil svůj odchod do důchodu a řekl, že se přestěhuje zpět do Číny, aby se postaral o svou starší matku. Řekl svému manažerovi, že plánuje pracovat u výrobce elektronických automobilů v Číně, což vyvolává podezření. Podle čestného prohlášení Federálního úřadu pro vyšetřování (FBI) bezpečnostní tým společnosti Apple přezkoumal Zhangovu aktivitu ve firemní síti a zjistil, že ve dnech před jeho rezignací stáhl obchodní tajemství z důvěrných firemních databází, ke kterým měl přístup. V roce 2018 byl obviněn FBI.
- Enron. V jednom z nejčastěji citovaných skandálů účetních podvodů, Enronu, USA. Energetika, komodity a služby společnost, falešně vykázala miliardy dolarů v příjmech před bankrotem v roce 2001, což způsobilo finanční škody mnoha zaměstnancům a dalším lidem, kteří investovali do společnosti. Počítačoví forenzní analytici zkoumali terabajty dat, aby pochopili složitý systém podvodů. Skandál byl významným faktorem při schvalování zákona Sarbanes-Oxley z roku 2002, který stanovil nové požadavky na dodržování účetnictví pro veřejné společnosti. Společnost vyhlásila bankrot v roce 2001.
- krádež obchodního tajemství Google. Anthony Scott Levandowski, bývalý manažer Uberu i Googlu, byl v roce 2019 obviněn z 33 případů krádeže obchodního tajemství. Od roku 2009 do roku 2016 pracoval Levandowski v programu Google self-driving car, kde stáhl tisíce souborů souvisejících s programem z firemního serveru chráněného heslem. Odešel od Googlu a vytvořil Otto, společnost s vlastním pohonem, kterou Uber koupil v roce 2016, Podle The New York Times. Levandowski se přiznal k jednomu počtu krádeží obchodního tajemství a byl odsouzen k 18 měsícům vězení a $ 851,499 v pokutách a restitucích. Levandowski dostal prezidentskou milost v lednu 2021.
- Larry Thomas. Thomas zastřelil a zabil Rito Llamas-Juarez v roce 2016 Thomas byl později odsouzen pomocí stovek Facebook příspěvků, které vytvořil pod falešným jménem Slaughtaboi Larro. Jeden z příspěvků obsahoval jeho obrázek na sobě náramek, který byl nalezen na místě činu.
- Michael Jackson. Vyšetřovatelé použili metadata a lékařské dokumenty z iPhone lékaře Michaela Jacksona, které ukázaly, že lékař Conrad Murray předepsal smrtelné množství léků Jacksonovi, který zemřel v roce 2009.
- Mikayla Munnová. Munn v roce 2016 utopila své novorozené dítě ve vaně na koleji univerzity v Manchesteru. Vyšetřovatelé našli vyhledávání Google v jejím počítači obsahující frázi „doma potrat,“ které byly použity k usvědčení.
vražda je jen jedním z mnoha typů kriminality počítačové forenzní pomoci v boji proti. Zjistěte, jak se software forenzní finanční analýzy používá k boji proti podvodům.
počítačová forenzní kariéra a certifikace
počítačová forenzní se stala vlastní oblastí vědecké odbornosti s doprovodnou výukou a certifikací. Průměrný roční plat pro vstupní počítačový forenzní analytik je asi $ 65,000, podle Salary.com. některé příklady kybernetických forenzních kariérních cest zahrnují následující:
- forenzní inženýr. Tito odborníci se zabývají fází sběru počítačového forenzního procesu, shromažďováním dat a jejich přípravou na analýzu. Pomáhají určit, jak zařízení selhalo.
- forenzní účetní. Tato pozice se zabývá trestnými činy týkajícími se praní špinavých peněz a dalších transakcí uskutečněných za účelem zakrytí nezákonné činnosti.
- analytik kybernetické bezpečnosti. Tato pozice se zabývá analýzou dat po jejich shromáždění a čerpáním poznatků,které lze později použít ke zlepšení strategie kybernetické bezpečnosti Organizace.
bakalářský titul – a někdy i magisterský titul – v informatice, kybernetické bezpečnosti nebo příbuzném oboru jsou vyžadovány od počítačových forenzních odborníků. V této oblasti je k dispozici několik certifikací, včetně následujících:
- forenzní analytik institutu kybernetické bezpečnosti. Toto pověření je určeno pro bezpečnostní profesionály s nejméně dvouletou zkušeností. Scénáře testování jsou založeny na skutečných případech.
- International Association of Computer Investigative specialist‘ Certified Forensic Computer Examiner. Tento program se zaměřuje především na ověření dovedností nezbytných k zajištění toho, aby podnik dodržoval zavedené počítačové forenzní pokyny.
- EC-Council počítač Hacking forenzní vyšetřovatel. Tato certifikace posuzuje schopnost žadatele identifikovat vetřelce a shromažďovat důkazy, které lze použít u soudu. Zahrnuje vyhledávání a zabavování informačních systémů, práci s digitálním důkazem a další kybernetické forenzní dovednosti.
- International Society of Forensic Computer Examiners‘ (ISFCE) Certified Computer Examiner. Tento forenzní zkoušející program vyžaduje školení v autorizovaném výcvikovém středisku bootcamp, a žadatelé musí podepsat etický kodex ISFCE a profesní odpovědnost.
další informace o kybernetické forenzní kariéře najdete v tomto rozhovoru s Amandou Rousseauovou, vedoucí výzkumnicí malwaru v Endgame (nyní Facebook), která začala svou kariéru prováděním počítačových forenzních vyšetřování na Ministerstvu obrany centrum kybernetické kriminality.