computer forensics (Cyber forensics)

Posted on

co to jest computer forensics?

computer forensics to zastosowanie technik dochodzeniowo-analitycznych w celu zebrania i zachowania dowodów z określonego urządzenia komputerowego w sposób odpowiedni do prezentacji w sądzie. Celem Computer forensics jest przeprowadzenie uporządkowanego dochodzenia i utrzymanie udokumentowanego łańcucha dowodów, aby dowiedzieć się dokładnie, co wydarzyło się na urządzeniu komputerowym i kto był za to odpowiedzialny.

computer forensics-który jest czasami określany jako computer forensic science-zasadniczo jest odzyskiwanie danych z wytycznymi zgodności z prawem, aby informacje były dopuszczalne w postępowaniu sądowym. Terminy digital forensics i cyber forensics są często używane jako synonimy dla Computer forensics.

kryminalistyka Cyfrowa zaczyna się od gromadzenia informacji w sposób, który zachowuje ich integralność. Badacze następnie analizują dane lub system, aby ustalić, czy został zmieniony, w jaki sposób został zmieniony i kto dokonał zmian. Zastosowanie technik komputerowych nie zawsze jest powiązane z przestępstwem. Proces kryminalistyczny jest również wykorzystywany jako część procesów odzyskiwania danych do zbierania danych z uszkodzonego serwera, uszkodzonego dysku, sformatowanego systemu operacyjnego (OS) lub innej sytuacji, w której system nieoczekiwanie przestał działać.

dlaczego informatyka śledcza jest ważna?

w systemie sądownictwa cywilnego i karnego informatyka śledcza pomaga zapewnić integralność dowodów cyfrowych prezentowanych w sprawach sądowych. Ponieważ komputery i inne urządzenia zbierające dane są coraz częściej używane w każdym aspekcie życia, dowody cyfrowe-i proces sądowy używany do ich gromadzenia, zabezpieczania i badania-stały się ważniejsze w rozwiązywaniu przestępstw i innych kwestii prawnych.

przeciętny człowiek nigdy nie widzi zbyt wielu informacji gromadzonych przez nowoczesne urządzenia. Na przykład komputery w samochodach nieustannie zbierają informacje o tym, kiedy kierowca hamuje, zmienia i zmienia prędkość bez świadomości kierowcy. Jednak informacje te mogą okazać się krytyczne w rozwiązaniu sprawy prawnej lub przestępstwa, a informatyka śledcza często odgrywa rolę w identyfikacji i przechowywaniu tych informacji.

dowody cyfrowe są przydatne nie tylko w rozwiązywaniu przestępstw w cyfrowym świecie, takich jak kradzież danych, naruszenia sieci i nielegalne transakcje online. Jest również używany do rozwiązywania przestępstw w świecie fizycznym, takich jak włamanie, napaść, wypadek z potrąceniem i morderstwo.

firmy często stosują wielowarstwowe zarządzanie danymi, zarządzanie danymi i strategię bezpieczeństwa sieci, aby zapewnić bezpieczeństwo zastrzeżonych informacji. Posiadanie dobrze zarządzanych i bezpiecznych danych może pomóc usprawnić proces sądowy, jeśli dane te kiedykolwiek zostaną zbadane.

6 sposoby ochrony zasobów cyfrowych
poznaj sześć kroków do stworzenia odpornej ochrony zasobów cyfrowych.

firmy wykorzystują również informatykę śledczą do śledzenia informacji związanych z naruszeniem systemu lub sieci, które mogą być wykorzystane do identyfikacji i ścigania cyberprzestępców. Firmy mogą również korzystać z cyfrowych ekspertów kryminalistycznych i procesów, aby pomóc im w odzyskiwaniu danych w przypadku awarii systemu lub sieci spowodowanej klęską żywiołową lub inną.

w miarę jak świat staje się bardziej zależny od technologii cyfrowej dla podstawowych funkcji życia, cyberprzestępczość rośnie. W związku z tym informatycy kryminalistyczni nie mają już monopolu w terenie. Zobacz, jak policja w Wielkiej Brytanii stosuje techniki kryminalistyki komputerowej, aby nadążyć za rosnącym wskaźnikiem cyberprzestępczości.

rodzaje informatyki śledczej

istnieją różne rodzaje komputerowych badań śledczych. Każdy z nich zajmuje się konkretnym aspektem technologii informacyjnej. Niektóre z głównych typów obejmują następujące:

  • technicy z bazy danych. Badanie informacji zawartych w bazach danych, zarówno danych, jak i powiązanych metadanych.
  • wyślij e-mail. Odzyskiwanie i analiza wiadomości e-mail i innych informacji zawartych w platformach e-mail, takich jak harmonogramy i kontakty.
  • Przeszukiwanie kodu w celu identyfikacji potencjalnych szkodliwych programów i analizy ich ładunku. Takie programy mogą obejmować konie trojańskie, oprogramowanie ransomware lub różne wirusy.
    rodzaje złośliwego oprogramowania
    Zobacz pełną gamę typów złośliwego oprogramowania, z którymi firmy muszą się zmagać już dziś.
  • badania pamięciowe. Zbieranie informacji przechowywanych w pamięci RAM i pamięci podręcznej komputera.
  • Badanie urządzeń mobilnych w celu pobierania i analizowania zawartych w nich informacji, w tym kontaktów, przychodzących i wychodzących wiadomości tekstowych, zdjęć i plików wideo.
  • Poszukiwanie dowodów poprzez monitorowanie ruchu w sieci, korzystanie z narzędzi takich jak firewall lub system wykrywania włamań.

jak działa informatyka śledcza?

śledczy śledczy zazwyczaj stosują standardowe procedury, które różnią się w zależności od kontekstu dochodzenia śledczego, badanego urządzenia lub poszukiwanych informacji. Ogólnie rzecz biorąc, procedury te obejmują następujące trzy kroki:

  1. gromadzenie danych. Informacje przechowywane elektronicznie muszą być gromadzone w sposób zapewniający ich integralność. Często wiąże się to z fizyczną izolacją badanego urządzenia, aby upewnić się, że nie może ono zostać przypadkowo zanieczyszczone lub naruszone. Badacze wykonują cyfrową kopię nośnika pamięci urządzenia, zwanego również obrazem kryminalistycznym, a następnie blokują oryginalne urządzenie w bezpiecznym lub innym zabezpieczonym obiekcie, aby zachować jego nieskazitelny stan. Śledztwo prowadzone jest na kopii cyfrowej. W innych przypadkach publicznie dostępne informacje mogą być wykorzystywane do celów kryminalistycznych, takich jak posty na Facebooku lub publiczne opłaty Venmo za zakup nielegalnych produktów lub usług wyświetlanych na stronie Vicemo.
  2. Analiza. Śledczy analizują cyfrowe kopie nośników pamięci w sterylnym środowisku, aby zebrać informacje dla sprawy. Do pomocy w tym procesie wykorzystywane są różne narzędzia, w tym autopsja Basis Technology do badań dysków twardych i analizator protokołu sieciowego Wireshark. Jiggler myszy jest przydatny podczas badania komputera, aby zapobiec zasypianiu i utracie lotnych danych pamięci, które są tracone, gdy komputer przechodzi w stan uśpienia lub traci moc.
  3. Prezentacja. Śledczy przedstawiają swoje ustalenia w postępowaniu sądowym, w którym sędzia lub ława przysięgłych wykorzystuje je do ustalenia wyniku pozwu. W sytuacji odzyskiwania danych śledczy przedstawiają, co byli w stanie odzyskać z zagrożonego systemu.

często w komputerowych badaniach kryminalistycznych stosuje się wiele narzędzi do walidacji wyników, które wytwarzają. Dowiedz się, jak badacz z Kaspersky Lab w Azji stworzył narzędzie śledcze open source do zdalnego zbierania dowodów złośliwego oprogramowania bez naruszania integralności systemu.

techniki śledczy używają

badacze używają różnych technik i zastrzeżonych aplikacji kryminalistycznych do badania kopii, którą wykonali z naruszonego urządzenia. Przeszukują ukryte foldery i nieprzydzielone miejsce na dysku w poszukiwaniu kopii usuniętych, zaszyfrowanych lub uszkodzonych plików. Wszelkie dowody znalezione na kopii cyfrowej są starannie udokumentowane w raporcie z znalezienia i zweryfikowane za pomocą oryginalnego urządzenia w ramach przygotowań do postępowania sądowego, które obejmują odkrycie, zeznania lub faktyczny proces sądowy.

komputerowe badania kryminalistyczne wykorzystują połączenie technik i wiedzy eksperckiej. Niektóre typowe techniki obejmują następujące:

  • odwrotna steganografia. Steganografia jest powszechną taktyką używaną do ukrywania danych w dowolnym typie pliku cyfrowego, wiadomości lub strumienia danych. Computer forensic experts Odwróć próbę steganografii, analizując haszowanie danych, które zawiera dany plik. Jeśli cyberprzestępca ukrywa ważne informacje w obrazie lub innym pliku cyfrowym, może wyglądać tak samo przed i po obrazie dla niewprawnego oka, ale ukryty hash lub ciąg danych reprezentujący obraz ulegnie zmianie.
  • Tutaj badacze analizują i rekonstruują aktywność cyfrową bez użycia cyfrowych artefaktów. Artefakty to niezamierzone zmiany danych zachodzące w procesach cyfrowych. Artefakty zawierają wskazówki związane z cyfrowym przestępstwem, takie jak zmiany atrybutów plików podczas kradzieży danych. Stochastic forensics jest często używany w dochodzeniach dotyczących naruszenia danych, w których atakujący jest uważany za poufnego, który może nie pozostawić cyfrowych artefaktów.
  • Analiza Cross-drive. Technika ta koreluje i odsyłacze informacji znalezionych na wielu dyskach komputerowych w celu wyszukiwania, analizy i zachowania informacji istotnych dla dochodzenia. Zdarzenia, które budzą podejrzenia, są porównywane z informacjami o innych napędach, aby szukać podobieństw i dostarczać kontekstu. Jest to również znane jako wykrywanie anomalii.
  • Analiza na żywo. Dzięki tej technice komputer jest analizowany z poziomu systemu operacyjnego, gdy komputer lub urządzenie jest uruchomione, za pomocą narzędzi systemowych na komputerze. Analiza analizuje zmienne dane, które często są przechowywane w pamięci podręcznej lub pamięci RAM. Wiele narzędzi używanych do wydobywania niestabilnych danych wymaga, aby komputer znajdował się w Laboratorium Kryminalistycznym, aby utrzymać zasadność łańcucha dowodów.
  • Odzyskiwanie usuniętych plików. Technika ta polega na przeszukiwaniu systemu komputerowego i pamięci w poszukiwaniu fragmentów plików, które zostały częściowo usunięte w jednym miejscu, ale pozostawiają ślady w innym miejscu na komputerze. Jest to czasami znane jako rzeźba pliku lub rzeźba danych.

dowiedz się więcej o komputerowej analityce sądowej w tym rozdziale książki Python Forensic: a Workbench for Inventing and Sharing Digital Forensic Technology autorstwa Cheta Hosmera. Pokazuje, jak używać Pythona i technologii cyberbezpieczeństwa do przechowywania dowodów cyfrowych.

jak wykorzystuje się informatykę śledczą jako dowód?

informatyka śledcza jest wykorzystywana jako dowód przez organy ścigania oraz w prawie karnym i cywilnym od lat 80. :

  • kradzież tajemnicy handlowej Apple. Inżynier o imieniu Xiaolang Zhang z działu autonomicznych samochodów Apple ogłosił, że przejdzie na emeryturę i powiedział, że wróci do Chin, aby zaopiekować się starszą matką. Powiedział swojemu menedżerowi, że planuje pracować w Chińskim producencie samochodów elektronicznych, wzbudzając podejrzenia. Zgodnie z oświadczeniem Federalnego Biura Śledczego (FBI), zespół ds. bezpieczeństwa Apple dokonał przeglądu aktywności Zhanga w sieci firmowej i odkrył, że w dniach poprzedzających jego rezygnację pobrał on tajemnice handlowe z poufnych firmowych baz danych, do których miał dostęp. W 2018 został oskarżony przez FBI.
  • Enron. W jednym z najczęściej cytowanych skandali oszustw księgowych, Enron, USA energy, commodities and services company, fałszywie zgłosiła miliardy dolarów przychodów przed upadłością w 2001 roku, powodując szkody finansowe dla wielu pracowników i innych osób, które zainwestowały w firmę. Analitycy computer forensic zbadali terabajty danych, aby zrozumieć złożony system oszustw. Skandal był istotnym czynnikiem w uchwaleniu ustawy Sarbanes-Oxley z 2002 r., która ustanowiła nowe wymogi w zakresie zgodności rachunkowości dla spółek publicznych. Firma ogłosiła upadłość w 2001 roku.
  • kradzież tajemnicy handlowej Google. Anthony Scott Levandowski, były dyrektor zarówno Uber i Google, został oskarżony o 33 kradzieży tajemnicy handlowej w 2019 roku. W latach 2009-2016 Lewandowski pracował w programie samoobsługowym Google, gdzie pobierał tysiące plików związanych z programem z chronionego hasłem serwera firmowego. Odszedł z Google i stworzył Otto, firmę produkującą samochody ciężarowe, którą Uber kupił w 2016 roku, zgodnie z New York Times. Lewandowski przyznał się do kradzieży tajemnic handlowych i został skazany na 18 miesięcy więzienia oraz 851 499 dolarów grzywny i restytucji. Lewandowski otrzymał prezydenckie ułaskawienie w styczniu 2021.
  • Larry Thomas. Thomas zastrzelił Rito Llamasa-Juareza w 2016 roku Thomas został później skazany za pomoc w postaci setek postów na Facebooku, które zamieścił pod fałszywym nazwiskiem Slaughtaboi Larro. Jeden z postów zawierał zdjęcie, na którym nosił bransoletkę, znalezioną na miejscu zbrodni.
  • Michael Jackson. Śledczy wykorzystali metadane i dokumenty medyczne z iPhone ’ a doktora Michaela Jacksona, które pokazały, że Doktor, Conrad Murray, przepisał śmiertelne ilości leków Jacksonowi, który zmarł w 2009 roku.
  • Mikayla Munn. W 2016 roku Munn utopiła noworodka w wannie w pokoju akademickim Uniwersytetu w Manchesterze. Śledczy znaleźli na jej komputerze wyszukiwarkę Google zawierającą frazę” aborcja w domu”, która została użyta do skazania.

morderstwo jest tylko jednym z wielu rodzajów przestępczości informatyka śledcza może pomóc w zwalczaniu. Dowiedz się, jak do zwalczania oszustw wykorzystywane jest oprogramowanie do analizy finansowej.

computer forensics Kariera i certyfikaty

computer forensics stał się własnym obszarem wiedzy naukowej, z towarzyszącymi zajęciami i certyfikacją. Średnia roczna pensja dla entry-level computer forensic analyst wynosi około $65,000, według Salary.com. niektóre przykłady ścieżek kariery w cyberprzestępczości obejmują następujące:

  • inżynier śledczy. Specjaliści ci zajmują się etapem gromadzenia danych w informatycznym procesie kryminalistycznym, gromadzeniem danych i przygotowywaniem ich do analizy. Pomagają określić, w jaki sposób urządzenie zawiodło.
  • księgowy Sądowy. Stanowisko to dotyczy przestępstw związanych z praniem pieniędzy i innymi transakcjami dokonywanymi w celu zatuszowania nielegalnej działalności.
  • analityk ds. cyberbezpieczeństwa. Stanowisko to zajmuje się analizą danych po ich zebraniu i wyciąganiem wniosków, które można później wykorzystać do ulepszenia strategii bezpieczeństwa cybernetycznego organizacji.

specjaliści od kryminalistyki komputerowej muszą uzyskać tytuł licencjata, a czasami magistra, w dziedzinie informatyki, cyberbezpieczeństwa lub pokrewnej. W tej dziedzinie dostępnych jest kilka certyfikatów, w tym następujące:

  • analityk kryminalistyczny CyberSecurity Institute. Certyfikat ten jest przeznaczony dla specjalistów ds. bezpieczeństwa z co najmniej dwuletnim doświadczeniem. Scenariusze testowe opierają się na rzeczywistych przypadkach.
  • International Association of Computer Investigative Specialists’ Certified Forensic Computer Examiner. Program ten koncentruje się przede wszystkim na sprawdzaniu umiejętności niezbędnych do zapewnienia, że biznes przestrzega ustalonych wytycznych computer forensic.
  • śledczy śledczy zajmujący się hakowaniem komputerów we. Certyfikat ten ocenia zdolność wnioskodawcy do identyfikacji intruzów i zbierania dowodów, które mogą być wykorzystane w sądzie. Obejmuje on Wyszukiwanie i przejmowanie systemów informatycznych, pracę z dowodami cyfrowymi i innymi umiejętnościami cybernetycznymi.
  • certyfikowany egzaminator komputerowy International Society of Forensic Computer Examiners (ISFCE). Ten program forensic examiner wymaga szkolenia w Autoryzowanym Centrum Szkoleniowym bootcamp, a kandydaci muszą podpisać Kodeks Etyki i Odpowiedzialności Zawodowej ISFCE.

dowiedz się więcej o karierze cyberprzestępczości z wywiadu z Amandą Rousseau, starszym badaczem złośliwego oprogramowania w Endgame (obecnie na Facebooku), która rozpoczęła swoją karierę wykonując komputerowe dochodzenia kryminalistyczne w centrum cyberprzestępczości Departamentu Obrony.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.