hva er dataetterforskning?
dataetterforskning er anvendelsen av etterforskning og analyse teknikker for å samle og bevare bevis fra en bestemt dataenhet på en måte som er egnet for presentasjon i en domstol. Målet med dataetterforskning er å utføre en strukturert etterforskning og opprettholde en dokumentert kjede av bevis for å finne ut nøyaktig hva som skjedde på en dataenhet og hvem som var ansvarlig for det.
computer forensics-som er noen ganger referert til som computer forensic science-i hovedsak er datarekonstruksjon med juridiske retningslinjer for å gjøre informasjonen tillatelig i rettssaker. Begrepene digital etterforskning og cyber etterforskning brukes ofte som synonymer for dataetterforskning.
Digital etterforskning starter med innsamling av informasjon på en måte som opprettholder sin integritet. Undersøkere analyserer deretter dataene eller systemet for å avgjøre om det ble endret, hvordan det ble endret og hvem som gjorde endringene. Bruken av dataetterforskning er ikke alltid knyttet til en forbrytelse. Den rettsmedisinske prosessen brukes også som en del av datagjenopprettingsprosesser for å samle data fra en krasjet server, mislykket stasjon, reformatert operativsystem (OS) eller annen situasjon der et system uventet har sluttet å fungere.
Hvorfor er dataetterforskning viktig?
i det sivile og strafferettslige systemet bidrar dataetterforskning til å sikre integriteten til digitale bevis som presenteres i rettssaker. Som datamaskiner og andre datainnsamlingsenheter brukes hyppigere i alle aspekter av livet, har digital bevis-og den rettsmedisinske prosessen som brukes til å samle inn, bevare og undersøke det-blitt viktigere for å løse forbrytelser og andre juridiske problemer.
den gjennomsnittlige personen ser aldri mye av informasjonen moderne enheter samler inn. For eksempel samler datamaskinene i biler kontinuerlig informasjon om når en sjåfør bremser, skifter og endrer hastighet uten at sjåføren er klar over det. Imidlertid kan denne informasjonen vise seg kritisk i å løse en juridisk sak eller en forbrytelse, og dataetterforskning spiller ofte en rolle i å identifisere og bevare denne informasjonen.
Digital bevis er ikke bare nyttig for å løse digitale forbrytelser, for eksempel datatyveri, nettverksbrudd og ulovlige online transaksjoner. Det er også brukt til å løse fysiske verden forbrytelser, for eksempel innbrudd, overgrep, hit-and-run ulykker og drap.
Bedrifter bruker ofte en flerlags datastyring, datastyring og nettverkssikkerhetsstrategi for å holde proprietær informasjon sikker. Å ha data som er godt administrert og trygt, kan bidra til å effektivisere rettsmedisinske prosessen hvis dataene noen gang kommer under etterforskning.
Bedrifter bruker også dataetterforskning til å spore informasjon relatert til et system eller nettverk kompromiss, som kan brukes til å identifisere og straffeforfølge cyber angripere. Bedrifter kan også bruke digitale rettsmedisinske eksperter og prosesser for å hjelpe dem med datagjenoppretting i tilfelle system-eller nettverksfeil forårsaket av en naturlig eller annen katastrofe.
etter hvert som verden blir mer avhengig av digital teknologi for livets kjernefunksjoner, øker cyberkriminaliteten. Som sådan, datamaskinen rettsmedisinske spesialister ikke lenger har monopol på feltet. Se hvordan politiet i STORBRITANNIA bruker datatekniske teknikker for å holde tritt med økende forekomst av cyberkriminalitet.
Typer dataetterforskning
det finnes ulike typer datamaskin rettsmedisinske undersøkelser. Hver omhandler et bestemt aspekt av informasjonsteknologi. Noen av hovedtyper inkluderer følgende:
- Dataetterforskning. Undersøkelse av informasjon som finnes i databaser, både data og relaterte metadata.
- e-postetterforskning. Gjenoppretting og analyse av e-post og annen informasjon som finnes i e-postplattformer, for eksempel tidsplaner og kontakter.
- malware etterforskning. Sifting gjennom kode for å identifisere mulige skadelige programmer og analysere deres nyttelast. Slike programmer kan omfatte Trojanske hester, ransomware eller ulike virus.
- Minneteknisk. Samle inn informasjon som er lagret i datamaskinens random access memory (RAM) og cache.
- mobil etterforskning. Undersøkelsen av mobile enheter for å hente og analysere informasjonen de inneholder, inkludert kontakter, innkommende og utgående tekstmeldinger, bilder og videofiler.
- nettverksetterforskning. Leter etter bevis ved å overvåke nettverkstrafikk, ved hjelp av verktøy som brannmur eller inntrengingsdeteksjonssystem.
hvordan fungerer dataetterforskning?
Rettsmedisinske etterforskere følger vanligvis standardprosedyrer, som varierer avhengig av konteksten til rettsmedisinske undersøkelser, enheten som undersøkes eller informasjonen etterforskere leter etter. Generelt omfatter disse prosedyrene følgende tre trinn:
- datainnsamling. Elektronisk lagret informasjon må samles inn på en måte som opprettholder sin integritet. Dette innebærer ofte fysisk isolere enheten under etterforskning for å sikre at det ikke kan være et uhell forurenset eller tuklet med. Sensorer lager en digital kopi, også kalt et rettsmedisinsk bilde, av enhetens lagringsmedier, og deretter låser de den opprinnelige enheten i et trygt eller annet sikkert anlegg for å opprettholde sin uberørte tilstand. Undersøkelsen utføres på den digitale kopien. I andre tilfeller kan offentlig tilgjengelig informasjon brukes til rettsmedisinske formål, for Eksempel Facebook-innlegg eller offentlige Venmo-kostnader for å kjøpe ulovlige produkter eller tjenester som vises på Vicemo-nettstedet.
- Analyse. Etterforskere analysere digitale kopier av lagringsmedier i et sterilt miljø for å samle informasjon for en sak. Ulike verktøy brukes til å bistå i denne prosessen, inkludert Basis Technology Obduksjon for harddisk undersøkelser og Wireshark network protocol analyzer. En mus jiggler er nyttig når du undersøker en datamaskin for å holde den fra å sovne og miste flyktige minnedata som går tapt når datamaskinen går i dvale eller mister strøm.
- Presentasjon. Rettsmedisinske etterforskere presentere sine funn i en rettssak, hvor en dommer eller jury bruker dem til å fastslå resultatet av en rettssak. I en data utvinning situasjon, rettsmedisinske etterforskere presentere hva de var i stand til å gjenopprette fra et kompromittert system.
ofte brukes flere verktøy i rettsmedisinske undersøkelser for å validere resultatene de produserer. Finn ut hvordan en forsker ved Kaspersky Lab i Asia opprettet et verktøy for etterforskning av åpen kildekode for ekstern innsamling av bevis på skadelig programvare uten at det går ut over systemets integritet.
Teknikker rettsmedisinske etterforskere bruker
Etterforskere bruker en rekke teknikker og proprietære rettsmedisinske applikasjoner for å undersøke kopien de har laget av en kompromittert enhet. De søker skjulte mapper og ledig diskplass for kopier av slettede, krypterte eller skadede filer. Eventuelle bevis funnet på den digitale kopien er nøye dokumentert i en funn rapport og verifisert med den opprinnelige enheten som forberedelse til rettssaker som involverer funn, avsetninger eller faktiske rettssaker.
datatekniske undersøkelser bruker en kombinasjon av teknikker og ekspertkunnskap. Noen vanlige teknikker inkluderer følgende:
- Omvendt steganografi. Steganografi er en vanlig taktikk som brukes til å skjule data i alle typer digital fil, melding eller datastrøm. Computer forensic eksperter reversere en steganography forsøk ved å analysere data hashing at filen i spørsmålet inneholder. Hvis en nettkriminell skjuler viktig informasjon inne i et bilde eller en annen digital fil, kan det se det samme før og etter for et utrent øye, men den underliggende hash eller streng av data som representerer bildet vil endre seg.
- Stokastisk rettsmedisin. Her analyserer og rekonstruerer etterforskere digital aktivitet uten bruk av digitale gjenstander. Artefakter er utilsiktede endringer av data som oppstår fra digitale prosesser. Artefakter inkluderer ledetråder knyttet til en digital kriminalitet, for eksempel endringer i filattributter under datatyveri. Stokastisk etterforskning brukes ofte i data brudd undersøkelser der angriperen er antatt å være en insider, som kanskje ikke la bak digitale gjenstander.
- Kryssdrift analyse. Denne teknikken korrelerer og kryssreferanser informasjon som finnes på flere datamaskiner for å søke etter, analysere og bevare informasjon som er relevant for en undersøkelse. Hendelser som vekker mistanke blir sammenlignet med informasjon om andre stasjoner for å se etter likheter og gi kontekst. Dette er også kjent som anomali deteksjon.
- Live analyse. Med denne teknikken analyseres en datamaskin fra OPERATIVSYSTEMET mens datamaskinen eller enheten kjører, ved hjelp av systemverktøy på datamaskinen. Analysen ser pa flyktige data, som ofte lagres i cache eller RAM. Mange verktøy som brukes til å trekke ut flyktige data krever at datamaskinen i å være i en rettsmedisinsk lab for å opprettholde legitimiteten av en kjede av bevis.
- Slettet filgjenoppretting. Denne teknikken innebærer å søke et datasystem og minne for fragmenter av filer som ble delvis slettet på ett sted, men la spor andre steder på maskinen. Dette er kjent som fil carving eller data carving.
Finn ut mer om computer forensic analytics i dette kapitlet Fra Boken Python Forensics: A Workbench For Inventing and Sharing Digital Forensic Technology, Av Chet Hosmer. Det viser Hvordan Du bruker Python og cybersecurity-teknologi for å bevare digital bevis.
Hvordan brukes dataetterforskning som bevis?
dataetterforskning har blitt brukt som bevis av politiet og i strafferett og sivilrett siden 1980-Tallet. noen bemerkelsesverdige tilfeller inkluderer følgende:
- Apple handel hemmelig tyveri. En Ingeniør Ved Navn Xiaolang Zhang ved Apples autonome bilavdeling annonserte sin pensjon og sa at han ville flytte tilbake Til Kina for å ta vare på sin eldre mor. Han fortalte sin leder han planla å jobbe på en elektronisk bilprodusent I Kina, heve mistanke. Ifølge en fbi-erklæring gjennomgikk apples sikkerhetsteam Zhangs aktivitet på bedriftsnettverket og fant, i dagene før sin avgang, at han lastet ned forretningshemmeligheter fra konfidensielle bedriftsdatabaser som han hadde tilgang til. Han ble tiltalt AV FBI i 2018.
- Enron. I en av de mest siterte regnskap svindel skandalene, ENRON, EN USA energi, varer og tjenester selskapet, feilaktig rapportert milliarder av dollar i inntekter før du går konkurs i 2001, forårsaker økonomisk skade for mange ansatte og andre mennesker som hadde investert i selskapet. Computer forensic analytikere undersøkt terabyte med data for å forstå den komplekse svindel ordningen. Skandalen var en viktig faktor i bestått Av Sarbanes-Oxley Act av 2002, som setter nye regnskapskrav for offentlige selskaper. Selskapet erklærte konkurs i 2001.
- Google forretningshemmelighet tyveri. Anthony Scott Levandowski, En tidligere leder Av Både Uber Og Google, ble belastet med 33 teller av forretningshemmelighet tyveri i 2019. Fra 2009 til 2016 jobbet Levandowski i Googles selvkjørende bilprogram, hvor Han lastet ned tusenvis av filer relatert til programmet fra en passordbeskyttet bedriftsserver. Han forlot Google og opprettet Otto, et selvkjørende lastebilselskap, Som Uber kjøpte i 2016, ifølge New York Times. Levandowski erklærte seg skyldig i ett tilfelle av forretningshemmeligheter tyveri og ble dømt til 18 måneder i fengsel og $851,499 i bøter og restitusjon. Levandowski ble benådet av presidenten i januar 2021.
- Larry Thomas. Thomas skutt Og drept Rito Llamas-Juarez I 2016 Thomas Ble senere dømt ved hjelp av hundrevis Av Facebook-innlegg han laget under det falske navnet Slaughtaboi Larro. Et av innleggene inkluderte et bilde av ham iført et armbånd som ble funnet på åstedet.
- Michael Jackson. Etterforskerne brukte metadata og medisinske dokumenter fra michael Jacksons lege iPhone som viste legen, Conrad Murray, foreskrevet dødelige mengder medisiner Til Jackson, som døde I 2009.
- Mikayla Munn. Munn druknet sin nyfødte baby i badekaret På Hennes Manchester University dorm room i 2016. Etterforskerne fant Google-søk på hennes datamaskin som inneholder uttrykket «hjemme abort,» som ble brukt til å dømme henne.
Mord Er bare en av de mange typer kriminalitet dataetterforskning kan hjelpe i kampen mot. Lær hvordan forensic økonomisk analyse programvare brukes til å bekjempe svindel.
Computer forensics karriere og sertifiseringer
computer forensics har blitt sitt eget område av vitenskapelig kompetanse, med tilhørende kurs og sertifisering. Den gjennomsnittlige årslønnen for en rettsmedisinsk analytiker på inngangsnivå er omtrent $65 000, ifølge Salary.com. noen eksempler på cyber forensic karriereveier inkluderer følgende:
- Rettsmedisinsk ingeniør. Disse fagpersonene håndtere samlingen scenen av datamaskinen rettsmedisinske prosessen, samle data og forberede den for analyse. De bidrar til å bestemme hvordan en enhet mislyktes.
- rettsmedisinske regnskapsfører. Denne stillingen omhandler forbrytelser som involverer hvitvasking av penger og andre transaksjoner som er gjort for å dekke opp ulovlig aktivitet.
- cybersecurity analyst. Denne stillingen handler om å analysere data når de er samlet inn og tegne innsikt som senere kan brukes til å forbedre en organisasjons cybersikkerhetsstrategi.
en bachelorgrad-og noen ganger en mastergrad – i datavitenskap, cybersikkerhet eller et beslektet felt kreves av rettsmedisinske fagfolk. Det er flere sertifiseringer tilgjengelig på dette feltet, inkludert følgende:
- CyberSecurity Instituttets Cybersecurity Forensic Analyst. Denne legitimasjonen er designet for sikkerhetspersonell med minst to års erfaring. Testscenarier er basert på faktiske tilfeller.
- International Association Of Computer Investigative Specialists ‘ Sertifisert Rettsmedisinske Datamaskin Sensor. Dette programmet fokuserer primært på å validere de ferdighetene som er nødvendige for å sikre at virksomheten følger etablerte rettsmedisinske retningslinjer.
- EC-Rådets Datamaskin Hacking Rettsmedisinske Etterforsker. Denne sertifiseringen vurderer søkerens evne til å identifisere inntrengere og samle bevis som kan brukes i retten. Den dekker søk og beslagleggelse av informasjonssystemer, som arbeider med digital bevis og andre cyber etterforskning ferdigheter.
- International Society Of Forensic Computer Examiners ‘ (ISFCE) Sertifisert Datamaskin Sensor. Dette rettsmedisinske eksaminatorprogrammet krever opplæring på et autorisert bootcamp treningssenter, og søkere må signere ISFCE-Etiske Retningslinjer og Faglig Ansvar.
Lær mer om en cyber forensics karriere fra dette intervjuet Med Amanda Rousseau, senior malware forsker Ved Endgame (nå På Facebook), som begynte sin karriere utfører datamaskinen rettsmedisinske undersøkelser Ved Department Of Defense Cyber Crime Center.