computer forensics (cyber forensics)

Hvad er computer forensics?

Computer forensics er anvendelsen af undersøgelses-og analyseteknikker til at indsamle og bevare beviser fra en bestemt computerenhed på en måde, der er egnet til præsentation i en domstol. Målet med Computer forensics er at udføre en struktureret undersøgelse og opretholde en dokumenteret beviskæde for at finde ud af, hvad der skete på en computerenhed, og hvem der var ansvarlig for det.

Computer forensics-som undertiden omtales som computer forensic science-hovedsagelig er Data recovery med retningslinjer for overholdelse af lovgivningen for at gøre oplysningerne tilladt i retssager. Udtrykkene digital forensics og cyber forensics bruges ofte som synonymer for computer forensics.

Digital forensics starter med indsamling af information på en måde, der opretholder sin integritet. Undersøgere analyserer derefter dataene eller systemet for at afgøre, om det blev ændret, hvordan det blev ændret, og hvem der foretog ændringerne. Brugen af Computer forensics er ikke altid bundet til en forbrydelse. Den retsmedicinske proces bruges også som en del af datagendannelsesprocesser til at indsamle data fra en nedbrudt server, mislykket drev, omformateret operativsystem (OS) eller anden situation, hvor et system uventet er stoppet med at arbejde.

Hvorfor er computer forensics vigtigt?

i det civile og strafferetlige system hjælper computer forensics med at sikre integriteten af digitale beviser, der præsenteres i retssager. Da computere og andre dataindsamlingsenheder bruges hyppigere i alle aspekter af livet, er digitale beviser-og den retsmedicinske proces, der bruges til at indsamle, bevare og undersøge det-blevet vigtigere i løsningen af forbrydelser og andre juridiske spørgsmål.

den gennemsnitlige person ser aldrig meget af den information, som moderne enheder indsamler. For eksempel indsamler computere i biler løbende oplysninger om, hvornår en chauffør bremser, skifter og ændrer hastighed uden at føreren er opmærksom. Imidlertid, disse oplysninger kan vise sig at være kritiske til løsning af en juridisk sag eller en forbrydelse, og Computer forensics spiller ofte en rolle i at identificere og bevare disse oplysninger.

digitale beviser er ikke kun nyttige til løsning af forbrydelser i den digitale verden, såsom datatyveri, netværksbrud og ulovlige onlinetransaktioner. Det bruges også til at løse fysiske verden forbrydelser, såsom indbrud, overfald, hit-and-run ulykker og mord.

virksomheder bruger ofte en flerlags datastyring, datastyring og netværkssikkerhedsstrategi for at holde proprietære oplysninger sikre. At have data, der er godt styret og sikkert, kan hjælpe med at strømline den retsmedicinske proces, hvis disse data nogensinde bliver undersøgt.

6 måder at beskytte digitale aktiver
Find ud af de seks trin til opbygning af elastisk digital aktivbeskyttelse.

virksomheder bruger også Computer forensics til at spore oplysninger relateret til et system-eller netværkskompromis, som kan bruges til at identificere og retsforfølge cyberangribere. Virksomheder kan også bruge digitale retsmedicinske eksperter og processer til at hjælpe dem med datagendannelse i tilfælde af system-eller netværksfejl forårsaget af en naturlig eller anden katastrofe.

efterhånden som verden bliver mere afhængig af digital teknologi til livets kernefunktioner, stiger cyberkriminalitet. Som sådan har computer retsmedicinske specialister ikke længere monopol på marken. Se, hvordan politiet i Storbritannien vedtager computer retsmedicinske teknikker for at holde trit med stigende satser for cyberkriminalitet.

typer af computer forensics

der findes forskellige typer computer retsmedicinske undersøgelser. Hver beskæftiger sig med et specifikt aspekt af informationsteknologi. Nogle af hovedtyperne omfatter følgende:

  • Database forensics. Undersøgelse af oplysninger i databaser, både data og relaterede metadata.
  • e-mail forensics. Gendannelse og analyse af e-mails og andre oplysninger indeholdt i e-mail-platforme, såsom tidsplaner og kontakter.
  • retsvidenskab. Sigtning gennem kode for at identificere mulige ondsindede programmer og analysere deres nyttelast. Sådanne programmer kan omfatte trojanske heste, løsepenge eller forskellige vira.
     typer af skadelige programmer
    se hele spektret af skadelige programmer, som virksomheder skal kæmpe med i dag.
  • hukommelse forensics. Indsamling af oplysninger, der er gemt i en computers random access memory (RAM) og cache.
  • mobil forensics. Undersøgelsen af mobile enheder til at hente og analysere de oplysninger, de indeholder, herunder kontakter, indgående og udgående tekstbeskeder, billeder og videofiler.
  • netværk forensics. På udkig efter beviser ved at overvåge netværkstrafik ved hjælp af værktøjer som f.eks.

Hvordan fungerer computer forensics?

retsmedicinske efterforskere følger typisk standardprocedurer, som varierer afhængigt af sammenhængen med den retsmedicinske undersøgelse, den enhed, der undersøges, eller de oplysninger, som efterforskerne leder efter. Generelt omfatter disse procedurer følgende tre trin:

  1. dataindsamling. Elektronisk lagrede oplysninger skal indsamles på en måde, der bevarer deres integritet. Dette indebærer ofte fysisk isolering af den undersøgte enhed for at sikre, at den ikke ved et uheld kan forurenes eller manipuleres. Undersøgere laver en digital kopi, også kaldet et retsmedicinsk billede, af enhedens lagringsmedier, og derefter låser de den originale enhed i et sikkert eller andet sikkert anlæg for at opretholde sin uberørte tilstand. Undersøgelsen udføres på den digitale kopi. I andre tilfælde kan offentligt tilgængelige oplysninger bruges til retsmedicinske formål, såsom Facebook-indlæg eller offentlige Venmo-gebyrer for køb af ulovlige produkter eller tjenester, der vises på Vicemos hjemmeside.
  2. analyse. Efterforskere analyserer digitale kopier af lagringsmedier i et sterilt miljø for at indsamle oplysningerne til en sag. Forskellige værktøjer bruges til at hjælpe med denne proces, herunder Baseteknologiens obduktion til harddiskundersøgelser og Netværksprotokollanalysatoren. En mus jiggler er nyttig, når man undersøger en computer for at forhindre, at den falder i søvn og mister Flygtige hukommelsesdata, der går tabt, når computeren går i dvale eller mister strøm.
  3. præsentation. De retsmedicinske efterforskere præsenterer deres fund i en retssag, hvor en dommer eller jury bruger dem til at hjælpe med at bestemme resultatet af en retssag. I en datagendannelsessituation præsenterer retsmedicinske efterforskere, hvad de var i stand til at gendanne fra et kompromitteret system.

ofte bruges flere værktøjer i computer retsmedicinske undersøgelser for at validere de resultater, de producerer. Få mere at vide om, hvordan en forsker ved Kaspersky Lab i Asien oprettede et open source-retsmedicinsk værktøj til fjernindsamling af ondsindede programmer uden at gå på kompromis med systemets integritet.

teknikker retsmedicinske efterforskere bruger

efterforskere bruger en række teknikker og proprietære retsmedicinske applikationer til at undersøge den kopi, de har lavet af en kompromitteret enhed. De søger skjulte mapper og ikke-allokeret diskplads til kopier af slettede, krypterede eller beskadigede filer. Ethvert bevis, der findes på den digitale kopi, dokumenteres omhyggeligt i en fundrapport og verificeres med den originale enhed som forberedelse til retssager, der involverer opdagelse, deponeringer eller faktisk retssag.

Computer retsmedicinske undersøgelser bruger en kombination af teknikker og ekspertviden. Nogle almindelige teknikker omfatter følgende:

  • omvendt steganografi. Steganografi er en almindelig taktik, der bruges til at skjule data inde i enhver form for digital fil, besked eller datastrøm. Computer forensic eksperter vende en steganografi forsøg ved at analysere data hashing, at den pågældende fil indeholder. Hvis en cyberkriminel skjuler vigtige oplysninger inde i et billede eller en anden digital fil, kan det se det samme før og efter for det utrænede øje, men den underliggende hash eller datastreng, der repræsenterer billedet, ændres.
  • stokastisk retsmedicin. Her analyserer og rekonstruerer efterforskere digital aktivitet uden brug af digitale artefakter. Artefakter er utilsigtede ændringer af data, der opstår fra digitale processer. Artefakter inkluderer spor relateret til en digital forbrydelse, såsom ændringer i filattributter under datatyveri. Stokastisk retsmedicin bruges ofte i databrudsundersøgelser, hvor angriberen menes at være en insider, der måske ikke efterlader digitale artefakter.
  • Cross-drive analyse. Denne teknik korrelerer og krydshenvisninger oplysninger, der findes på flere computerdrev for at søge efter, analysere og bevare oplysninger, der er relevante for en undersøgelse. Begivenheder, der rejser mistanke, sammenlignes med information om andre drev for at se efter ligheder og give kontekst. Dette er også kendt som anomali detektion.
  • levende analyse. Med denne teknik analyseres en computer inde fra operativsystemet, mens computeren eller enheden kører, ved hjælp af systemværktøjer på computeren. Analysen ser på Flygtige data, som ofte gemmes i cache eller RAM. Mange værktøjer, der bruges til at udtrække Flygtige data, kræver, at computeren er i et retsmedicinsk laboratorium for at opretholde legitimiteten af en beviskæde.
  • slettet filgendannelse. Denne teknik involverer søgning i et computersystem og hukommelse efter fragmenter af filer, der delvist blev slettet et sted, men efterlader spor andre steder på maskinen. Dette er undertiden kendt som fil udskæring eller data udskæring.

Find ud af mere om computer forensic analytics i dette kapitel fra bogen Python Forensics: en arbejdsbænk til at opfinde og dele Digital retsmedicinsk teknologi, af Chet Hosmer. Det viser, hvordan man bruger Python og cybersikkerhedsteknologi til at bevare digitale beviser.

hvordan bruges Computer forensics som bevis?

Computer forensics er blevet brugt som bevis af retshåndhævende myndigheder og i strafferet og civilret siden 1980 ‘ erne. nogle bemærkelsesværdige sager omfatter følgende:

  • Apple forretningshemmelighed tyveri. En ingeniør ved navn Siaolang i Apples autonome bilafdeling annoncerede sin pensionering og sagde, at han ville flytte tilbage til Kina for at tage sig af sin Ældre Mor. Han fortalte sin manager, at han planlagde at arbejde hos en elektronisk bilproducent i Kina, rejser mistanke. Ifølge Federal Bureau of Investigation (FBI), Apples sikkerhedsteam gennemgik Jangs aktivitet på virksomhedsnetværket og fandt i dagene før sin fratræden, at han hentede forretningshemmeligheder fra fortrolige virksomhedsdatabaser, som han havde adgang til. Han blev tiltalt af FBI i 2018.
  • Enron. I en af de mest citerede regnskabssvindelskandaler, Enron, a U. S. energy, commodities and services company rapporterede fejlagtigt milliarder af dollars i indtægter, før de gik konkurs i 2001, hvilket forårsagede økonomisk skade for mange ansatte og andre mennesker, der havde investeret i virksomheden. Computer retsmedicinske analytikere undersøgte terabyte data for at forstå den komplekse svigordning. Skandalen var en væsentlig faktor i vedtagelsen af Sarbanes-Oksley Act fra 2002, der satte nye krav til regnskabsmæssig overholdelse af offentlige virksomheder. Virksomheden erklærede konkurs i 2001.
  • Google forretningshemmelighed tyveri. Anthony Scott Levandovsky, en tidligere direktør for både Uber og Google, blev anklaget for 33 tællinger af tyveri af forretningshemmeligheder i 2019. Fra 2009 til 2016 arbejdede Levandovsky i Googles selvkørende bilprogram, hvor han hentede tusindvis af filer relateret til programmet fra en adgangskodebeskyttet virksomhedsserver. Han forlod Google og skabte Otto, et selvkørende lastbilfirma, som Uber købte i 2016. Levandovsky erklærer sig skyldig i tyveri af forretningshemmeligheder og blev idømt 18 måneders fængsel og $851.499 i bøder og tilbagebetaling. Levandovsky modtog en præsidentiel benådning i januar 2021.
  • Larry Thomas. I 2016 blev Thomas senere dømt ved hjælp af hundredvis af Facebook-indlæg, han lavede under det falske navn Slaughtaboi Larro. Et af stillingerne indeholdt et billede af ham iført et armbånd, der blev fundet på gerningsstedet.
  • Michael Jackson. Efterforskere brugte metadata og medicinske dokumenter fra Michael Jacksons læge iPhone, der viste lægen, Conrad Murray, ordinerede dødelige mængder medicin til Jackson, der døde i 2009.
  • Mikayla Munn. Munn druknede sin nyfødte baby i badekarret på sit kollegieværelse i Manchester University i 2016. Efterforskere fandt Google-søgninger på hendes computer indeholdende sætningen “hjemme abort”, som blev brugt til at dømme hende.

mord er blot en af de mange typer kriminalitet computer forensics kan hjælpe med at bekæmpe. Lær, hvordan forensic financial analysis bruges til at bekæmpe svig.

computer forensics karriere og certificeringer

Computer forensics er blevet sit eget område af videnskabelig ekspertise, med ledsagende kurser og certificering. Den gennemsnitlige årsløn for en entry-level computer forensic analyst er omkring $65.000, ifølge Salary.com. nogle eksempler på cyber-retsmedicinske karriereveje inkluderer følgende:

  • retsmedicinsk ingeniør. Disse fagfolk beskæftiger sig med indsamlingsfasen af computer retsmedicinsk proces, indsamling af data og forberedelse til analyse. De hjælper med at bestemme, hvordan en enhed mislykkedes.
  • retsmedicinsk revisor. Denne stilling beskæftiger sig med forbrydelser, der involverer hvidvaskning af penge og andre transaktioner, der er foretaget for at dække over ulovlig aktivitet.
  • cybersikkerhed analytiker. Denne position omhandler analyse af data, når de er indsamlet, og tegning af indsigt, der senere kan bruges til at forbedre en organisations cybersikkerhedsstrategi.

en bachelorgrad-og nogle gange en kandidatgrad-i datalogi, cybersikkerhed eller et beslægtet felt kræves af computer retsmedicinske fagfolk. Der er flere certificeringer tilgængelige på dette felt, herunder følgende:

  • CyberSecurity instituttets cybersikkerhed Forensic Analyst. Denne legitimationsoplysninger er designet til sikkerhed fagfolk med mindst to års erfaring. Testscenarier er baseret på faktiske tilfælde.
  • International Association of Computer Investigative Specialists’ certificeret retsmedicinsk computer eksaminator. Dette program fokuserer primært på validering af de færdigheder, der er nødvendige for at sikre, at virksomheden følger etablerede computer forensic retningslinjer.
  • EF-Rådets computer Hacking Forensic Investigator. Denne certificering vurderer en ansøgers evne til at identificere ubudne gæster og indsamle beviser, der kan bruges i retten. Det dækker søgning og beslaglæggelse af informationssystemer, der arbejder med digital proof og andre cyber forensics færdigheder.
  • International Society of Forensic Computer eksaminator (ISFCE) certificeret Computer eksaminator. Dette retsmedicinske eksaminatorprogram kræver træning på et autoriseret bootcamp – træningscenter, og ansøgere skal underskrive ISFCE ‘ s etiske kodeks og faglige ansvar.

Læs mere om en cyber forensics karriere fra denne samtale med Amanda Rousseau, senior ondsindet forsker ved Endgame (nu på Facebook), der begyndte sin karriere udfører computer forensic investigations på Department of Defense Cyber Crime Center.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.