What is computer forensics?
atk-rikostekninen tutkimus on tutkimus-ja analyysimenetelmien soveltamista tietyn tietoteknisen laitteen todistusaineiston keräämiseen ja säilyttämiseen tavalla, joka soveltuu esitettäväksi tuomioistuimessa. Tietokonetutkinnan tavoitteena on suorittaa jäsennelty tutkimus ja ylläpitää dokumentoitua todisteketjua, jotta voidaan selvittää, mitä tietokonelaitteessa tarkalleen ottaen tapahtui ja kuka oli vastuussa siitä.
Computer forensics — which is sometimes referred to the computer forensic science — oleellisesti data recovery with legal compliance guidelines to make the information acceptable in legal proceedings. Termejä digital forensics ja cyber forensics käytetään usein synonyymeinä tietokone forensics.
digitaalinen rikostutkinta alkaa tiedon keräämisellä siten, että se säilyttää eheytensä. Tutkijat analysoivat sitten tietoja tai järjestelmää selvittääkseen, muutettiinko niitä, miten niitä muutettiin ja kuka teki muutokset. Tietotekniikan käyttö ei aina liity rikokseen. Oikeuslääketieteellistä prosessia käytetään myös osana tietojen palautusprosesseja keräämään tietoja kaatuneelta palvelimelta, epäonnistuneelta asemalta, uudelleen alustetulta käyttöjärjestelmältä (OS) tai muusta tilanteesta, jossa järjestelmä on yllättäen lakannut toimimasta.
miksi rikostutkinta on tärkeää?
siviili-ja rikosoikeusjärjestelmässä tietokonetekninen tutkimus auttaa varmistamaan tuomioistuimissa esitettyjen digitaalisten todisteiden eheyden. Kun tietokoneita ja muita tiedonkeruulaitteita käytetään yhä useammin kaikilla elämän osa-alueilla, digitaalisesta todistusaineistosta-ja sen keräämiseen, säilyttämiseen ja tutkimiseen käytetystä oikeuslääketieteellisestä prosessista-on tullut entistä tärkeämpi rikosten ja muiden oikeudellisten kysymysten ratkaisemisessa.
keskivertoihminen ei koskaan näe paljonkaan sitä tietoa, mitä nykyaikaiset laitteet keräävät. Esimerkiksi autojen tietokoneet keräävät jatkuvasti tietoa siitä, milloin kuljettaja jarruttaa, siirtyy ja vaihtaa nopeutta kuljettajan tietämättä. Nämä tiedot voivat kuitenkin osoittautua kriittisiksi ratkaistaessa oikeudellista asiaa tai rikosta, ja tietokoneteknisellä tutkimuksella on usein rooli kyseisen tiedon tunnistamisessa ja säilyttämisessä.
digitaalisesta todistusaineistosta ei ole hyötyä vain digitaalisen maailman rikosten, kuten tietovarkauksien, verkkomurtojen ja laittomien nettikauppojen ratkaisemisessa. Sitä käytetään myös fyysisen maailman rikosten, kuten murtojen, pahoinpitelyjen, yliajo onnettomuuksien ja murhien selvittämiseen.
yritykset käyttävät usein monikerroksista tiedonhallinta -, tiedonhallinta-ja verkkoturvallisuusstrategiaa pitääkseen omistamansa tiedot turvassa. Ottaa tietoa, joka on hyvin hallittu ja turvallinen voi auttaa virtaviivaistaa oikeuslääketieteellisen prosessin, jos TIEDOT koskaan tulevat tutkittavaksi.
yritykset käyttävät myös tietokoneteknistä rikosteknistä tutkimusta jäljittääkseen järjestelmään tai verkkoon liittyviä tietoja, joita voidaan käyttää kyberhyökkääjien tunnistamiseen ja syytteeseen asettamiseen. Yritykset voivat myös käyttää digitaalisia oikeuslääketieteen asiantuntijoita ja prosesseja, jotka auttavat heitä tietojen palauttamisessa, jos järjestelmä-tai verkkovirhe johtuu luonnon tai muun katastrofin.
maailman tullessa riippuvaisemmaksi elämän ydintoimintojen digitaaliteknologiasta, kyberrikollisuus kasvaa. Näin ollen rikosteknisillä asiantuntijoilla ei ole enää monopolia alalla. Katso, miten poliisi Isossa-Britanniassa ottaa käyttöön tietokonelääketieteellisiä tekniikoita pysyäkseen yhä lisääntyvien tietoverkkorikollisten tahdissa.
tietoteknisen rikostutkinnan tyypit
on olemassa erilaisia tietokonelääketieteellisiä tutkimuksia. Kukin niistä käsittelee tietynlaista tietotekniikan osa-aluetta. Päätyyppejä ovat muun muassa seuraavat:
- Tietokantatutkinta. Tietokantojen sisältämien tietojen, sekä tietojen että niihin liittyvien metatietojen tutkiminen.
- Email forensics. Elpyminen ja analyysi sähköpostit ja muut tiedot sisältyvät sähköpostialustat, kuten aikataulut ja yhteystiedot.
- Malware forensics. Seulotaan koodia mahdollisten haitallisten ohjelmien tunnistamiseksi ja analysoidaan niiden hyötykuormaa. Tällaisia ohjelmia voivat olla Troijan hevoset, ransomware tai erilaiset virukset.
- Muistitutkinta. Tietokoneen random access-muistiin (RAM) ja välimuistiin tallennettujen tietojen kerääminen.
- Mobile forensics. Mobiililaitteiden tutkiminen niiden sisältämien tietojen hakemiseksi ja analysoimiseksi, mukaan lukien yhteystiedot, saapuvat ja lähtevät tekstiviestit, kuvat ja videotiedostot.
- Verkkotutkinta. Etsitään todisteita valvomalla verkkoliikennettä, käyttämällä työkaluja, kuten palomuuria tai tunkeutumisen tunnistusjärjestelmää.
miten rikostekninen tutkimus toimii?
rikostekniset tutkijat noudattavat tyypillisesti normaaleja menettelytapoja, jotka vaihtelevat riippuen rikosteknisen tutkinnan kontekstista, tutkittavasta laitteesta tai etsittävästä informaatiotutkijasta. Yleensä nämä menettelyt sisältävät seuraavat kolme vaihetta:
- tiedonkeruu. Sähköisesti tallennetut tiedot on kerättävä siten, että niiden eheys säilyy. Tämä edellyttää usein tutkittavan laitteen fyysistä eristämistä sen varmistamiseksi, ettei sitä voida vahingossa saastuttaa tai peukaloida. Tutkijat tekevät digitaalisen kopion, jota kutsutaan myös oikeuslääketieteelliseksi kuvaksi, laitteen tallennusvälineestä, ja sitten he lukitsevat alkuperäisen laitteen turvalliseen tai muuhun suojattuun tilaan säilyttääkseen sen koskemattoman kunnon. Tutkinta tehdään digitaalisella kopiolla. Muissa tapauksissa julkisesti saatavilla olevia tietoja voidaan käyttää oikeuslääketieteellisiin tarkoituksiin, kuten Facebook-kirjoituksiin tai julkisiin Venmo-maksuihin laittomien tuotteiden tai palveluiden ostamisesta vicemon verkkosivuilla.
- analyysi. Tutkijat analysoivat digitaalisia kopioita tallennusvälineistä steriilissä ympäristössä kerätäkseen tietoja tapausta varten. Tässä prosessissa käytetään apuna erilaisia työkaluja, kuten Basis Technologyn ruumiinavausta kiintolevytutkimuksiin ja Wireshark-verkkoprotokollan analysaattoria. Hiiren heiluttaja on hyödyllinen tietokonetta tutkittaessa, jotta se ei nukahtaisi ja menettäisi haihtuvia muistitietoja, jotka katoavat tietokoneen vaipuessa uneen tai menettäessä tehonsa.
- esitys. Oikeuslääketieteelliset tutkijat esittävät havaintonsa oikeusprosessissa, jossa tuomari tai valamiehistö käyttää niitä apuna oikeudenkäynnin tuloksen määrittämisessä. Tietojen palautustilanteessa oikeuslääketieteelliset tutkijat esittelevät, mitä he pystyivät palauttamaan vaarantuneesta järjestelmästä.
tietokonelääketieteellisissä tutkimuksissa käytetään usein useita välineitä niiden tuottamien tulosten validoimiseksi. Lue, miten Kaspersky Labin tutkija Aasiassa loi avoimen lähdekoodin rikosteknisen työkalun haittaohjelmatodisteiden etäkeräämiseen vaarantamatta järjestelmän eheyttä.
tekniikat rikostekniset tutkijat käyttävät
tutkijat käyttävät erilaisia tekniikoita ja omia rikosteknisiä sovelluksia tutkiessaan tekemäänsä kopiota vaarantuneesta laitteesta. He etsivät piilotettuja kansioita ja jakamatonta levytilaa poistettujen, salattujen tai vahingoittuneiden tiedostojen kopioille. Kaikki digitaalisesta kopiosta löydetyt todisteet dokumentoidaan huolellisesti löytöraportissa ja varmennetaan alkuperäisellä laitteella valmisteltaessa oikeudenkäyntejä, joihin liittyy löytöjä, todistajanlausuntoja tai varsinaisia oikeudenkäyntejä.
oikeuslääketieteellisissä tutkimuksissa käytetään tekniikan ja asiantuntijatiedon yhdistelmää. Joitakin yleisiä tekniikoita ovat seuraavat:
- Käänteinen steganografia. Steganografia on yleinen taktiikka, jota käytetään piilottamaan tietoja minkä tahansa digitaalisen tiedoston, viestin tai tietovirran sisään. Oikeuslääketieteen asiantuntijat kumoavat steganografian analysoimalla tiedoston sisältämän tiedon tiivistämisen. Jos verkkorikollinen kätkee tärkeitä tietoja kuvan tai muun digitaalisen tiedoston sisään, se voi näyttää kouluttamattoman silmään samalta ennen ja jälkeen, mutta taustalla oleva kuvaa esittävä hasis tai datajono muuttuu.
- stokastinen rikostekninen tutkimus. Täällä tutkijat analysoivat ja rekonstruoivat digitaalista toimintaa ilman digitaalisia esineitä. Artefaktit ovat digitaalisista prosesseista peräisin olevia tahattomia datan muutoksia. Artefaktit sisältävät digitaaliseen rikokseen liittyviä vihjeitä, kuten muutoksia tiedostojen attribuutteihin tietovarkauden aikana. Stokastista rikostutkintaa käytetään usein tietomurtotutkinnassa, jossa hyökkääjän ajatellaan olevan sisäpiiriläinen, joka ei välttämättä jätä jälkeensä digitaalisia esineitä.
- Cross-drive-analyysi. Tämä tekniikka korreloi ja ristiviittaukset tietoa löytyy useita tietokoneen asemia etsiä, analysoida ja säilyttää tietoja, jotka ovat merkityksellisiä tutkimuksen. Epäilyjä herättäviä tapahtumia verrataan muista käyttövoimista saatuihin tietoihin samankaltaisuuksien löytämiseksi ja kontekstin antamiseksi. Tätä kutsutaan myös anomalian havaitsemiseksi.
- live-analyysi. Tällä tekniikalla tietokone analysoidaan käyttöjärjestelmän sisältä tietokoneen tai laitteen ollessa käynnissä käyttäen tietokoneen järjestelmätyökaluja. Analyysissä tarkastellaan haihtuvia tietoja, jotka usein tallennetaan välimuistiin tai RAM-muistiin. Monet työkalut, joita käytetään haihtuvien tietojen poimimiseen, edellyttävät tietokoneen olevan rikosteknisessä laboratoriossa todisteketjun laillisuuden ylläpitämiseksi.
- poistettu tiedostojen palautus. Tässä tekniikassa etsitään tietokonejärjestelmästä ja muistista tiedostojen palasia, jotka on osittain poistettu yhdestä paikasta, mutta jotka jättävät jälkiä muualle koneeseen. Tätä kutsutaan joskus tiedosto veistämällä tai data veistämällä.
Lue lisää rikosteknisestä analyysistä tässä luvussa Chet Hosmerin kirjasta Python Forensics: a Workbench for Inventing and Sharing Digital Forensic Technology. Se näyttää, miten Python-ja kyberturvallisuusteknologiaa käytetään digitaalisen todistusaineiston säilyttämiseen.
miten rikosteknistä tutkimusta käytetään todisteena?
rikosteknistä tutkimusta on käytetty todistusaineistona lainvalvontaviranomaisissa sekä rikos – ja siviilioikeudessa 1980-luvulta lähtien.:
- Applen liikesalaisuusvarkaus. Insinööri Xiaolang Zhang Applen autonomisten autojen osastolta ilmoitti jäävänsä eläkkeelle ja kertoi muuttavansa takaisin Kiinaan huolehtimaan iäkkäästä äidistään. Hän kertoi managerilleen aikovansa työskennellä elektronisten autojen valmistajalla Kiinassa, mikä herätti epäilyksiä. Yhdysvaltain liittovaltion poliisin FBI: n lausunnon mukaan Applen Turvatiimi tutki Zhangin toimintaa yhtiön verkossa ja havaitsi eroamistaan edeltävinä päivinä hänen ladanneen liikesalaisuuksia yhtiön luottamuksellisista tietokannoista, joihin hänellä oli pääsy. FBI asetti hänet syytteeseen vuonna 2018.
- Enron. Eräässä yleisimmin siteeratussa kirjanpitorikosskandaalissa Enron Yhdysvalloissa. energia, hyödykkeet ja palvelut yritys, virheellisesti raportoitu miljardien dollarien tulot ennen konkurssiin 2001, aiheuttaa taloudellista haittaa monille työntekijöille ja muille ihmisille, jotka olivat sijoittaneet yhtiöön. Rikostekniset analyytikot tutkivat teratavuja tietoja ymmärtääkseen monimutkaisen petosjuonen. Skandaali oli merkittävä tekijä vuonna 2002 säädetyn Sarbanes-Oxley Act-lain läpiviennissä, jossa asetettiin uusia kirjanpitovaatimuksia julkisille yhtiöille. Yritys hakeutui konkurssiin vuonna 2001.
- Googlen liikesalaisuusvarkaus. Sekä Uberin että Googlen entinen johtaja Anthony Scott Levandowski sai vuonna 2019 syytteet 33: sta liikesalaisuusvarkaudesta. Vuosina 2009-2016 Levandowski työskenteli Googlen itseohjautuva auto-ohjelmassa, johon hän latasi tuhansia ohjelmaan liittyviä tiedostoja salasanalla suojatulta yrityspalvelimelta. Hän erosi Googlesta ja perusti itseohjautuvia kuorma-autoja valmistavan Otto-yhtiön, jonka Uber osti New York Timesin mukaan vuonna 2016. Levandowski myönsi syyllisyytensä yhteen syytekohtaan liikesalaisuusvarkaudesta ja sai 18 kuukauden vankeustuomion sekä 851 499 dollarin sakot ja korvaukset. Levandowski sai presidentin armahduksen tammikuussa 2021.
- Larry Thomas. Thomas ampui Rito Llamas-Juarezin kuoliaaksi vuonna 2016 Thomas tuomittiin myöhemmin satojen Facebook-kirjoitusten avulla, jotka hän teki tekaistulla nimellä Slaughteraboi Larro. Yhdessä viestissä oli kuva, jossa hänellä oli yllään rikospaikalta löytynyt rannekoru.
- Michael Jackson. Tutkijat käyttivät metatietoja ja lääketieteellisiä dokumentteja Michael Jacksonin lääkärin iPhonesta, jonka mukaan lääkäri Conrad Murray määräsi tappavia määriä lääkkeitä Jacksonille, joka kuoli vuonna 2009.
- Mikayla Munn. Munn hukutti vastasyntyneen vauvansa Manchesterin yliopiston asuntolahuoneensa kylpyammeeseen vuonna 2016. Tutkijat löysivät hänen tietokoneeltaan Google-hakuja, joissa oli lause ”kotona abortti”, jolla hänet tuomittiin.
murha on vain yksi niistä monista rikostyypeistä, joita rikostekninen tutkimus voi auttaa taistelussa. Lue, miten rikosteknistä rahoitusanalyysiohjelmistoa käytetään petosten torjuntaan.
Tietokonetutkinto ura ja sertifikaatit
tietokonetutkinto on muodostunut omaksi tieteelliseksi osaamisalueekseen, johon liittyy opintotyö ja sertifiointi. Keskimääräinen vuosipalkka lähtötason tietokone rikostekninen analyytikko on noin $65,000, mukaan Salary.com. joitakin esimerkkejä cyber forensic urapolkuja ovat seuraavat:
- Rikosteknikko. Nämä ammattilaiset käsittelevät tietokonelääketieteellisen prosessin keruuvaihetta, tietojen keräämistä ja niiden analysointia varten valmistelemista. Ne auttavat määrittämään, miten laite epäonnistui.
- rikostekninen kirjanpitäjä. Kannanotto käsittelee rahanpesuun liittyviä rikoksia ja muita laittoman toiminnan peittämiseksi tehtyjä liiketoimia.
- Kyberturvallisuusanalyytikko. Tämä tehtävä käsittelee datan analysointia, kun se on kerätty, ja oivallusten piirtämistä, joita voidaan myöhemmin käyttää organisaation kyberturvallisuusstrategian parantamiseen.
tietojenkäsittelytieteen, kyberturvallisuuden tai niihin liittyvän alan tutkinnolta vaaditaan kandidaatin tutkinto — ja joskus maisterin tutkinto. On olemassa useita sertifikaatteja saatavilla tällä alalla, mukaan lukien seuraavat:
- Kyberturvallisuusinstituutin Kyberturvallisuusanalyytikko. Tämä credential on suunniteltu tietoturva-ammattilaisille, joilla on vähintään kahden vuoden kokemus. Testiskenaariot perustuvat todellisiin tapauksiin.
- International Association of Computer Investigative Specialists ’ Certified Forensic Computer Examiner. Tämä ohjelma keskittyy ensisijaisesti validointi tarvittavat taidot varmistaa liiketoiminnan Seuraa vakiintuneita tietokoneen rikosteknisiä ohjeita.
- EC-Council ’ s Computer Hacking Forensic Investigator. Todistuksessa arvioidaan hakijan kykyä tunnistaa tunkeutujat ja kerätä todisteita, joita voidaan käyttää oikeudessa. Se kattaa tietojärjestelmien etsinnän ja takavarikoinnin, digitaalisen todisteen ja muiden kybertutkintataitojen hyödyntämisen.
- International Society of Forensic Computer Examiners ’ (ISFCE) Certified Computer Examiner. Tämä oikeuslääketieteellinen tutkijaohjelma vaatii koulutusta valtuutetussa bootcamp – koulutuskeskuksessa, ja hakijoiden on allekirjoitettava Isfce: n eettiset ja ammatillisen vastuun säännöt.
Lue lisää kybertutkijan urasta tästä haastattelusta Amanda Rousseaun, Endgamen (nykyisin Facebook) vanhemman haittaohjelmatutkijan kanssa, joka aloitti uransa suorittaen tietokonelääketieteellisiä tutkimuksia puolustusministeriön Kyberrikoskeskuksessa.