computer forensics (cyber forensics)

Gepubliceerd op

Wat is Computer forensics?Forensische informatica is de toepassing van onderzoek-en analysetechnieken om bewijsmateriaal van een bepaald computerapparaat te verzamelen en te bewaren op een manier die geschikt is om voor een rechtbank te worden gepresenteerd. Het doel van Computer forensics is om een gestructureerd onderzoek uit te voeren en een gedocumenteerde keten van bewijs te onderhouden om erachter te komen wat er precies gebeurde op een computerapparaat en wie er verantwoordelijk voor was.

computer forensics — soms aangeduid als computer forensische wetenschap — is in wezen data recovery met richtlijnen om de informatie toelaatbaar te maken in gerechtelijke procedures. De termen digital forensics en cyber forensics worden vaak gebruikt als synoniemen voor Computer forensics.

digitaal forensisch onderzoek begint met het verzamelen van informatie op een manier die haar integriteit behoudt. Onderzoekers analyseren vervolgens de gegevens of het systeem om te bepalen of het werd gewijzigd, hoe het werd gewijzigd en wie de wijzigingen heeft aangebracht. Het gebruik van Forensische computers is niet altijd verbonden met een misdaad. Het forensische proces wordt ook gebruikt als onderdeel van data recovery processen om gegevens te verzamelen van een gecrashte server, mislukte schijf, geformatteerd besturingssysteem (OS) of een andere situatie waarin een systeem onverwacht is gestopt met werken.

Waarom is forensische Informatica belangrijk?

in het civiele en strafrechtelijke systeem draagt forensische informatica bij aan de integriteit van digitaal bewijsmateriaal dat in rechtszaken wordt gepresenteerd. Omdat computers en andere apparaten voor het verzamelen van gegevens vaker worden gebruikt in elk aspect van het leven, is digitaal bewijs — en het forensische proces dat wordt gebruikt om het te verzamelen, te bewaren en te onderzoeken — belangrijker geworden bij het oplossen van misdaden en andere juridische kwesties.

de gemiddelde persoon ziet nooit veel van de informatie die moderne apparaten verzamelen. De computers in auto ‘ s verzamelen bijvoorbeeld voortdurend informatie over wanneer een bestuurder remt, wisselt en van snelheid verandert zonder dat de bestuurder zich daarvan bewust is. Deze informatie kan echter van cruciaal belang blijken bij het oplossen van een juridische kwestie of een misdaad, en forensische Informatica speelt vaak een rol bij het identificeren en bewaren van die informatie.

digitaal bewijs is niet alleen nuttig bij het oplossen van misdaden in de digitale wereld, zoals diefstal van gegevens, netwerkinbreuken en illegale online transacties. Het wordt ook gebruikt om fysieke misdaden op te lossen, zoals inbraak, geweldpleging, vluchtmisdrijf en moord.

bedrijven gebruiken vaak een meerlaagse strategie voor gegevensbeheer, gegevensbeheer en netwerkbeveiliging om bedrijfseigen informatie veilig te houden. Het hebben van gegevens die goed worden beheerd en veilig kan helpen bij het stroomlijnen van het forensische proces als die gegevens ooit onder onderzoek komen.

6 manieren om digitale activa te beschermen
ontdek de zes stappen voor het opbouwen van veerkrachtige bescherming van digitale activa.

bedrijven gebruiken ook forensische Informatica om informatie te traceren met betrekking tot een systeem-of netwerkcompromis, die kan worden gebruikt om cyberaanvallen te identificeren en te vervolgen. Bedrijven kunnen ook gebruik maken van digitale forensische experts en processen om hen te helpen met data recovery in het geval van een systeem of netwerk storing veroorzaakt door een natuurlijke of andere ramp.Naarmate de wereld meer afhankelijk wordt van digitale technologie voor de Kernfuncties van het leven, neemt de cybercriminaliteit toe. Als zodanig hebben Computer forensische specialisten geen monopolie meer op het veld. Zie hoe de politie in het Verenigd Koninkrijk computer forensische technieken toepast om de toenemende aantallen cybercriminaliteit bij te houden.

soorten forensisch computeronderzoek

er zijn verschillende soorten forensisch computeronderzoek. Elk heeft betrekking op een specifiek aspect van de informatietechnologie. Enkele van de belangrijkste types zijn de volgende:

  • database forensics. Het onderzoek van informatie in databases, zowel gegevens als gerelateerde metagegevens.
  • forensische e-mail. Het herstel en de analyse van e-mails en andere informatie in e-mailplatforms, zoals schema ‘ s en contacten.
  • malware forensics. Zeven door middel van code om mogelijke kwaadaardige programma ‘ s te identificeren en het analyseren van hun lading. Dergelijke programma ‘ s kunnen Trojaanse paarden bevatten, ransomware of verschillende virussen.
    malwaretypen
    zie het volledige scala van malwaretypen waarmee bedrijven tegenwoordig te kampen hebben.
  • geheugen forensisch. Het verzamelen van informatie die is opgeslagen in een computer random access memory (RAM) en cache.
  • mobiel forensisch onderzoek. Het onderzoek van mobiele apparaten op te halen en te analyseren van de informatie die ze bevatten, met inbegrip van contacten, inkomende en uitgaande SMS-berichten, foto ‘ s en videobestanden.
  • forensische netwerken. Op zoek naar bewijs door het monitoren van netwerkverkeer, met behulp van tools zoals een firewall of inbraakdetectiesysteem.

Hoe werkt forensische Informatica?Forensische onderzoekers volgen doorgaans standaardprocedures, die variëren afhankelijk van de context van het Forensisch Onderzoek, het apparaat dat wordt onderzocht of de informatie waarnaar de onderzoekers op zoek zijn. In het algemeen omvatten deze procedures de volgende drie stappen:

  1. gegevensverzameling. Elektronisch opgeslagen informatie moet worden verzameld op een wijze die haar integriteit behoudt. Dit houdt vaak in dat het onderzochte apparaat fysiek wordt geïsoleerd om er zeker van te zijn dat het niet per ongeluk kan worden besmet of waarmee kan worden geknoeid. Examinatoren maken een digitale kopie, ook wel een forensisch beeld genoemd, van de opslagmedia van het apparaat, en dan sluiten ze het originele apparaat in een veilige of andere beveiligde faciliteit om zijn ongerepte conditie te behouden. Het onderzoek wordt uitgevoerd op de digitale kopie. In andere gevallen kan openbaar beschikbare informatie worden gebruikt voor forensische doeleinden, zoals Facebook-berichten of openbare Venmo-kosten voor het kopen van illegale producten of diensten die op de Vicemo-website worden weergegeven.
  2. analyse. Onderzoekers analyseren digitale kopieën van opslagmedia in een steriele omgeving om de informatie voor een zaak te verzamelen. Verschillende tools worden gebruikt om te helpen bij dit proces, met inbegrip van basis technologie autopsie voor harde schijf onderzoeken en de Wireshark network protocol analyzer. Een muis jiggler is handig bij het onderzoeken van een computer om het te houden van in slaap vallen en het verliezen van vluchtige geheugengegevens die verloren gaan wanneer de computer gaat slapen of verliest macht.
  3. presentatie. De forensische onderzoekers presenteren hun bevindingen in een gerechtelijke procedure, waarbij een rechter of jury ze gebruikt om het resultaat van een rechtszaak te helpen bepalen. In een data recovery situatie, forensische onderzoekers presenteren wat ze in staat waren om te herstellen van een gecompromitteerd systeem.

bij forensisch computeronderzoek worden vaak meerdere hulpmiddelen gebruikt om de resultaten te valideren. Ontdek hoe een onderzoeker bij Kaspersky Lab in Azië een open source forensische tool creëerde voor het op afstand verzamelen van malware-bewijs zonder de systeemintegriteit in gevaar te brengen.

technieken forensische onderzoekers gebruiken

onderzoekers gebruiken een verscheidenheid aan technieken en propriëtaire Forensische toepassingen om de kopie te onderzoeken die zij van een gecompromitteerd apparaat hebben gemaakt. Ze zoeken verborgen mappen en niet-toegewezen schijfruimte voor kopieën van verwijderde, versleutelde of beschadigde bestanden. Elk bewijs dat op de digitale kopie wordt gevonden, wordt zorgvuldig gedocumenteerd in een onderzoeksrapport en geverifieerd met het originele apparaat ter voorbereiding op gerechtelijke procedures die ontdekking, verklaringen of feitelijke geschillen met zich meebrengen.Forensische computeronderzoeken maken gebruik van een combinatie van technieken en deskundige kennis. Sommige gemeenschappelijke technieken omvatten de volgende:

  • Omgekeerde steganografie. Steganografie is een veel voorkomende tactiek gebruikt om gegevens te verbergen in elk type digitaal bestand, bericht of gegevensstroom. Computer forensische experts keren een steganografie poging door het analyseren van de data hashing dat het bestand in kwestie bevat. Als een cybercrimineel verbergt belangrijke informatie in een afbeelding of ander digitaal bestand, het kan er hetzelfde uitzien voor en na het ongetrainde oog, maar de onderliggende hash of reeks van gegevens die het beeld vertegenwoordigt zal veranderen.
  • stochastisch forensisch onderzoek. Hier analyseren en reconstrueren onderzoekers digitale activiteit zonder het gebruik van digitale artefacten. Artefacten zijn onbedoelde wijzigingen van gegevens die optreden van digitale processen. Artefacten bevatten aanwijzingen met betrekking tot een digitale misdaad, zoals wijzigingen in bestandskenmerken tijdens diefstal van gegevens. Stochastisch forensisch onderzoek wordt vaak gebruikt in datalek onderzoeken waar de aanvaller wordt gedacht aan een insider, die misschien niet achter digitale artefacten.
  • Cross-drive analyse. Deze techniek correleert en kruisverwijzingen informatie gevonden op meerdere computer drives om te zoeken naar, te analyseren en informatie relevant voor een onderzoek te bewaren. Gebeurtenissen die argwaan wekken worden vergeleken met informatie over andere aandrijvingen om overeenkomsten te zoeken en context te bieden. Dit is ook bekend als anomalie detectie.
  • Live-analyse. Met deze techniek wordt een computer vanuit het besturingssysteem geanalyseerd terwijl de computer of het apparaat wordt uitgevoerd, met behulp van systeemhulpmiddelen op de computer. De analyse kijkt naar vluchtige gegevens, die vaak worden opgeslagen in cache of RAM. Veel hulpmiddelen die worden gebruikt om vluchtige gegevens te extraheren, vereisen dat de computer in een forensisch lab is om de legitimiteit van een keten van bewijs te behouden.
  • verwijderde bestandsherstel. Deze techniek impliceert het zoeken van een computersysteem en geheugen voor fragmenten van dossiers die gedeeltelijk op één plaats werden geschrapt maar sporen elders op de machine achterlaten. Dit is soms bekend als file carving of data carving.

Kom meer te weten over forensische computeranalyse in dit hoofdstuk uit het boek Python Forensics: A Workbench for Inventing and Sharing Digital Forensic Technology, door Chet Hosmer. Het laat zien hoe Python en cybersecurity technologie te gebruiken om digitaal bewijs te bewaren.

Hoe wordt forensische Informatica gebruikt als bewijs?Sinds de jaren tachtig wordt forensische Informatica gebruikt als bewijs door wetshandhavingsinstanties en in het strafrecht en het burgerlijk recht. :

  • diefstal van bedrijfsgeheimen van Apple. Een ingenieur genaamd Xiaolang Zhang bij Apple ‘ s autonome auto Divisie kondigde zijn pensioen aan en zei dat hij terug zou gaan naar China om voor zijn oudere moeder te zorgen. Hij vertelde zijn manager dat hij van plan was om te werken bij een elektronische autofabrikant in China, waardoor hij argwaan kreeg. Volgens een verklaring van de Federal Bureau of Investigation (FBI) beoordeelde het beveiligingsteam van Apple Zhang ‘ s activiteiten op het bedrijfsnetwerk en vond hij, in de dagen voorafgaand aan zijn ontslag, handelsgeheimen van vertrouwelijke bedrijfsdatabases waartoe hij toegang had. Hij werd in 2018 door de FBI aangeklaagd.
  • Enron. In één van de meest geciteerde boekhoudkundige fraudeschandalen, Enron, een V. S. energie, grondstoffen en diensten bedrijf, ten onrechte gemeld miljarden dollars aan inkomsten voordat failliet ging in 2001, waardoor financiële schade aan veel werknemers en andere mensen die hadden geïnvesteerd in het bedrijf. Computer forensische analisten onderzocht terabytes aan gegevens om de complexe fraude regeling te begrijpen. Het schandaal was een belangrijke factor in de goedkeuring van de Sarbanes-Oxley Act van 2002, die nieuwe boekhoudkundige compliance eisen voor openbare bedrijven. In 2001 werd het bedrijf failliet verklaard.
  • diefstal van bedrijfsgeheimen door Google. Anthony Scott Levandowski, een voormalig directeur van zowel Uber als Google, werd in 2019 aangeklaagd voor 33 gevallen van diefstal van bedrijfsgeheimen. Van 2009 tot 2016 werkte Levandowski in het zelfrijdende autoprogramma van Google, waar hij duizenden bestanden met betrekking tot het programma downloadde van een met een wachtwoord beveiligde bedrijfsserver. Hij vertrok van Google en richtte Otto op, een zelfrijdend vrachtwagenbedrijf, dat volgens de New York Times in 2016 door Uber werd gekocht. Levandowski pleit schuldig aan een aanklacht van diefstal van bedrijfsgeheimen en werd veroordeeld tot 18 maanden in de gevangenis en $ 851.499 aan boetes en restitutie. Levandowski kreeg gratie in januari 2021.
  • Larry Thomas. Thomas schoot Rito Llamas-Juarez dood in 2016 Thomas werd later veroordeeld met behulp van honderden Facebook-berichten die hij maakte onder de valse naam Slaughtaboi Larro. Een van de posten bevatte een foto van hem met een armband die werd gevonden op de plaats delict.
  • Michael Jackson. Onderzoekers gebruikten metadata en medische documenten van de iPhone van Michael Jackson ‘ s arts waaruit bleek dat de arts, Conrad Murray, dodelijke hoeveelheden medicatie voorgeschreven aan Jackson, die stierf in 2009.
  • Mikayla Munn. Munn verdronk haar pasgeboren baby in de Badkuip van haar Manchester University dorm room in 2016. Onderzoekers vonden Google-zoekopdrachten op haar computer met de uitdrukking “thuis abortus”, die werden gebruikt om haar te veroordelen.

moord is slechts een van de vele vormen van criminaliteit die forensische Informatica kan helpen bij de bestrijding. Ontdek hoe forensische financiële analysesoftware wordt gebruikt om fraude te bestrijden.

computer forensics carrières en certificeringen

Computer forensics is haar eigen gebied van wetenschappelijke expertise geworden, met bijbehorende cursussen en certificering. Het gemiddelde jaarsalaris voor een instapcomputer forensisch analist is ongeveer $ 65.000, volgens Salary.com. enkele voorbeelden van cyber forensische loopbaantrajecten zijn de volgende:

  • Forensisch ingenieur. Deze professionals houden zich bezig met de verzamelfase van het forensische computerproces, het verzamelen van gegevens en het voorbereiden ervan voor analyse. Ze helpen bepalen hoe een apparaat faalde.
  • forensisch accountant. Dit standpunt heeft betrekking op misdrijven met betrekking tot het witwassen van geld en andere transacties die worden gedaan om illegale activiteiten te verdoezelen.
  • Cybersecurity analist. Deze functie houdt zich bezig met het analyseren van gegevens zodra deze zijn verzameld en het tekenen van inzichten die later kunnen worden gebruikt om de cybersecurity-strategie van een organisatie te verbeteren.

een bachelor-en, soms, een master-diploma-in computerwetenschappen, cybersecurity of een gerelateerd vakgebied zijn vereist van Forensische computerprofessionals. Er zijn verschillende certificeringen beschikbaar op dit gebied, waaronder de volgende:

  • Cybersecurity Institute ‘ s Cybersecurity Forensic analist. Deze referenties zijn bedoeld voor beveiligingsprofessionals met minstens twee jaar ervaring. Testscenario ‘ s zijn gebaseerd op concrete gevallen.International Association of Computer Investigative Specialists ‘ Certified Forensic Computer Examiner. Dit programma richt zich in de eerste plaats op het valideren van de vaardigheden die nodig zijn om ervoor te zorgen business volgt gevestigde computer forensische richtlijnen.
  • Forensische onderzoeker Computer Hacking van de Raad van de EG. Deze certificering beoordeelt het vermogen van een aanvrager om indringers te identificeren en het verzamelen van bewijs dat kan worden gebruikt in de rechtbank. Het heeft betrekking op het zoeken en in beslag nemen van informatiesystemen, werken met digitale bewijs en andere cyber forensische vaardigheden.International Society of Forensic Computer Examiners’ (ISFCE) Certified Computer Examiner. Dit forensisch examinator programma vereist training bij een erkend bootcamp trainingscentrum, en aanvragers moeten de Isfce Code of Ethics and Professional Responsibility ondertekenen.Leer meer over een cyber forensics carrière in dit interview met Amanda Rousseau, senior malware onderzoeker bij Endgame (nu bij Facebook), die haar carrière begon met computer forensisch onderzoek bij het Department of Defense Cyber Crime Center.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.