computer forensics (cyber forensics)

Posted on

ce este Computer forensics?

computer forensics este aplicarea tehnicilor de investigare și analiză pentru a aduna și păstra dovezi de la un anumit dispozitiv de calcul într-un mod adecvat pentru prezentare într-o instanță de judecată. Scopul criminalisticii computerizate este de a efectua o investigație structurată și de a menține un lanț documentat de dovezi pentru a afla exact ce s-a întâmplat pe un dispozitiv de calcul și cine a fost responsabil pentru acesta.

Computer forensics-care este uneori menționată ca computer forensic science-în esență, este de recuperare de date cu liniile directoare de conformitate juridice pentru a face informațiile admisibile în cadrul procedurilor judiciare. Termenii criminalistică digitală și criminalistică cibernetică sunt adesea folosiți ca sinonime pentru criminalistică computerizată.

criminalistica digitală începe cu colectarea informațiilor într-un mod care să-și mențină integritatea. Anchetatorii analizează apoi datele sau sistemul pentru a determina dacă au fost modificate, cum au fost modificate și cine a făcut modificările. Utilizarea criminalisticii computerizate nu este întotdeauna legată de o crimă. Procesul criminalistic este, de asemenea, utilizat ca parte a proceselor de recuperare a datelor pentru a aduna date de pe un server prăbușit, unitate eșuată, sistem de operare reformatat (OS) sau altă situație în care un sistem a încetat în mod neașteptat să funcționeze.

de ce este importantă criminalistica informatică?

în sistemul de justiție civilă și penală, criminalistica informatică ajută la asigurarea integrității probelor digitale prezentate în cauzele judiciare. Pe măsură ce computerele și alte dispozitive de colectare a datelor sunt utilizate mai frecvent în fiecare aspect al vieții, dovezile digitale-și procesul criminalistic utilizat pentru colectarea, conservarea și investigarea acestora-au devenit mai importante în rezolvarea infracțiunilor și a altor probleme juridice.

o persoană obișnuită nu vede niciodată o mare parte din informațiile pe care dispozitivele moderne le colectează. De exemplu, computerele din mașini colectează continuu informații despre momentul în care un șofer frânează, schimbă și schimbă viteza fără ca șoferul să fie conștient. Cu toate acestea, aceste informații se pot dovedi critice în rezolvarea unei probleme juridice sau a unei infracțiuni, iar criminalistica computerizată joacă adesea un rol în identificarea și păstrarea acestor informații.

dovezile digitale nu sunt utile doar în rezolvarea infracțiunilor din lumea digitală, cum ar fi furtul de date, încălcarea rețelelor și tranzacțiile online ilicite. Este, de asemenea, folosit pentru a rezolva crime fizice-lume, cum ar fi spargere, asalt, accidente lovit-și-a alerga și crimă.

întreprinderile folosesc adesea o gestionare a datelor pe mai multe straturi, guvernanța datelor și strategia de securitate a rețelei pentru a păstra informațiile proprietare în siguranță. Având date care este bine gestionat și în condiții de siguranță poate ajuta la eficientizarea procesului medico-legale ar trebui să aceste date vin vreodată în curs de investigare.

6 modalități de protejare a activelor digitale
aflați cei șase pași pentru construirea unei protecții rezistente a activelor digitale.

întreprinderile folosesc, de asemenea, criminalistica informatică pentru a urmări informațiile legate de un compromis de sistem sau de rețea, care pot fi utilizate pentru identificarea și urmărirea penală a atacatorilor cibernetici. Întreprinderile pot utiliza, de asemenea, experți și procese criminalistice digitale pentru a le ajuta cu recuperarea datelor în cazul unei defecțiuni a sistemului sau a rețelei cauzate de un dezastru natural sau de altă natură.

pe măsură ce lumea devine mai dependentă de tehnologia digitală pentru funcțiile de bază ale vieții, criminalitatea informatică este în creștere. Ca atare, specialiștii criminalistici computerizați nu mai au un monopol pe teren. Vedeți cum poliția din Marea Britanie adoptă tehnici criminalistice computerizate pentru a ține pasul cu creșterea ratelor de criminalitate informatică.

tipuri de criminalistică computerizată

există diferite tipuri de examinări criminalistice computerizate. Fiecare se ocupă de un aspect specific al tehnologiei informației. Unele dintre principalele tipuri includ următoarele:

  • baza de date criminalistica. Examinarea informațiilor conținute în bazele de date, atât a datelor, cât și a metadatelor aferente.
  • e-mail criminalistica. Recuperarea și analiza e-mailurilor și a altor informații conținute în platformele de e-mail, cum ar fi programele și contactele.
  • criminalistica Malware. Cernerea prin cod pentru a identifica posibilele programe rău intenționate și analizarea sarcinii utile a acestora. Astfel de programe pot include cai troieni, ransomware sau diferiți viruși.
    tipuri de malware
    a se vedea întreaga gamă de tipuri de malware întreprinderile trebuie să se confrunte cu astăzi.
  • criminalistica de memorie. Colectarea informațiilor stocate în memoria de acces aleatoriu (RAM) și memoria cache a unui computer.
  • criminalistica mobilă. Examinarea dispozitivelor mobile pentru a prelua și analiza informațiile pe care le conțin, inclusiv contacte, mesaje text primite și trimise, imagini și fișiere video.
  • criminalistica de rețea. Căutați dovezi prin monitorizarea traficului de rețea, utilizând instrumente precum un firewall sau un sistem de detectare a intruziunilor.

cum funcționează criminalistica computerizată?

anchetatorii Criminalistici urmează de obicei proceduri standard, care variază în funcție de contextul investigației medico-legale, de dispozitivul investigat sau de informațiile pe care anchetatorii le caută. În general, aceste proceduri includ următoarele trei etape:

  1. colectarea datelor. Informațiile stocate electronic trebuie colectate într-un mod care să-i mențină integritatea. Acest lucru implică adesea izolarea fizică a dispozitivului investigat pentru a se asigura că nu poate fi contaminat sau modificat accidental. Examinatorii fac o copie digitală, numită și imagine criminalistică, a suportului de stocare al dispozitivului și apoi blochează dispozitivul original într-o unitate sigură sau în altă unitate sigură pentru a-și menține starea curată. Ancheta se desfășoară pe copia digitală. În alte cazuri, informațiile disponibile publicului pot fi utilizate în scopuri medico-legale, cum ar fi postările pe Facebook sau taxele Venmo publice pentru achiziționarea de produse sau servicii ilegale afișate pe site-ul Vicemo.
  2. analiză. Anchetatorii analizează copii digitale ale mediilor de stocare într-un mediu steril pentru a aduna informațiile pentru un caz. Diverse instrumente sunt folosite pentru a ajuta la acest proces, inclusiv autopsia tehnologiei de bază pentru investigațiile hard disk și analizorul de protocol de rețea Wireshark. Un jiggler de mouse este util atunci când examinați un computer pentru a-l împiedica să adoarmă și să piardă date de memorie volatile care se pierd atunci când computerul se culcă sau pierde energie.
  3. prezentare. Anchetatorii criminalistici își prezintă concluziile într-o procedură legală, în care un judecător sau un juriu le folosește pentru a ajuta la determinarea rezultatului unui proces. Într-o situație de recuperare a datelor, anchetatorii medico-legali prezintă ceea ce au reușit să recupereze dintr-un sistem compromis.

adesea, mai multe instrumente sunt utilizate în investigațiile criminalistice computerizate pentru a valida rezultatele pe care le produc. Aflați cum un cercetător de la Kaspersky Lab din Asia a creat un instrument criminalistic open source pentru colectarea de la distanță a dovezilor malware fără a compromite integritatea sistemului.

tehnici criminalistice anchetatorii folosesc

anchetatorii folosesc o varietate de tehnici și aplicații medico-legale brevetate pentru a examina copia pe care au făcut-o unui dispozitiv compromis. Ei caută foldere ascunse și spațiu pe disc nealocat pentru copii ale fișierelor șterse, criptate sau deteriorate. Orice dovadă găsită pe copia digitală este documentată cu atenție într-un raport de constatare și verificată cu dispozitivul original în pregătirea procedurilor legale care implică descoperire, depoziții sau litigii reale.

investigațiile criminalistice computerizate utilizează o combinație de tehnici și cunoștințe de specialitate. Unele tehnici comune includ următoarele:

  • steganografie inversă. Steganografia este o tactică comună folosită pentru a ascunde datele în orice tip de fișier digital, mesaj sau flux de date. Experții criminalistici computerizați inversează o încercare de steganografie analizând hashing-ul datelor pe care le conține fișierul în cauză. Dacă un infractor cibernetic ascunde informații importante într-o imagine sau alt fișier digital, acesta poate arăta la fel înainte și după ochiul neinstruit, dar hash-ul sau șirul de date care reprezintă imaginea se vor schimba.
  • criminalistica stocastică. Aici, anchetatorii analizează și reconstruiesc activitatea digitală fără utilizarea artefactelor digitale. Artefactele sunt modificări neintenționate ale datelor care apar din procesele digitale. Artefactele includ indicii legate de o infracțiune digitală, cum ar fi modificările atributelor fișierelor în timpul furtului de date. Criminalistica stocastică este frecvent utilizată în investigațiile privind încălcarea datelor în care atacatorul este considerat a fi un insider, care ar putea să nu lase în urmă artefacte digitale.
  • analiza cross-drive. Această tehnică corelează și referințe încrucișate informații găsite pe mai multe unități de computer pentru a căuta, analiza și păstra informații relevante pentru o investigație. Evenimentele care ridică suspiciuni sunt comparate cu informații despre alte unități pentru a căuta asemănări și a oferi context. Acest lucru este, de asemenea, cunoscut sub numele de detectare a anomaliilor.
  • analiza Live. Cu această tehnică, un computer este analizat din interiorul sistemului de operare în timp ce computerul sau dispozitivul rulează, folosind instrumente de sistem de pe computer. Analiza analizează datele volatile, care sunt adesea stocate în cache sau RAM. Multe instrumente utilizate pentru a extrage date volatile necesită ca computerul să fie într-un laborator criminalistic pentru a menține legitimitatea unui lanț de dovezi.
  • recuperare fișier șters. Această tehnică implică căutarea unui sistem informatic și a memoriei pentru fragmente de fișiere care au fost șterse parțial într-un singur loc, dar care lasă urme în altă parte pe mașină. Acest lucru este uneori cunoscut sub numele de sculptură de fișiere sau sculptură de date.

Aflați mai multe despre analiza criminalistică computerizată în acest capitol din cartea Python Forensics: A Workbench for Inventing and Sharing digital Forensic Technology, de Chet Hosmer. Acesta arată cum se utilizează tehnologia Python și cybersecurity pentru a păstra dovezile digitale.

cum se utilizează criminalistica computerizată ca dovadă?

criminalistica informatică a fost folosită ca dovadă de către agențiile de aplicare a legii și în dreptul penal și civil încă din anii 1980. unele cazuri notabile includ următoarele:

  • furtul secret comercial Apple. Un inginer pe nume Xiaolang Zhang de la divizia de mașini autonome Apple și-a anunțat retragerea și a spus că se va muta înapoi în China pentru a avea grijă de mama sa în vârstă. El i-a spus managerului său că intenționează să lucreze la un producător de mașini electronice din China, ridicând suspiciuni. Potrivit unei declarații a Biroului Federal de investigații (FBI), echipa de securitate a Apple a analizat activitatea lui Zhang în rețeaua companiei și a constatat, în zilele anterioare demisiei sale, că a descărcat secrete comerciale din bazele de date confidențiale ale companiei la care avea acces. El a fost acuzat de FBI în 2018.
  • Enron. Într-unul dintre cele mai frecvent citate scandaluri de fraudă contabilă, Enron, un SUA. compania de energie, mărfuri și servicii, a raportat în mod fals venituri de miliarde de dolari înainte de a intra în faliment în 2001, provocând daune financiare multor angajați și altor persoane care au investit în companie. Analiștii criminalistici computerizați au examinat terabytes de date pentru a înțelege schema complexă de fraudă. Scandalul a fost un factor semnificativ în adoptarea Legii Sarbanes-Oxley din 2002, care a stabilit noi cerințe de conformitate contabilă pentru companiile publice. Compania a declarat faliment în 2001.
  • furtul secret comercial Google. Anthony Scott Levandowski, fost director executiv al Uber și Google, a fost acuzat de 33 de acuzații de furt de secrete comerciale în 2019. Din 2009 până în 2016, Levandowski a lucrat în programul Google Auto-driving car, unde a descărcat mii de fișiere legate de program de pe un server corporativ protejat prin parolă. El a plecat de la Google și a creat Otto, o companie de camioane autonome, pe care Uber a cumpărat-o în 2016, potrivit New York Times. Levandowski a pledat vinovat pentru furtul de secrete comerciale și a fost condamnat la 18 luni de închisoare și 851.499 de dolari în amenzi și restituiri. Levandowski a primit o grațiere prezidențială în ianuarie 2021.
  • Larry Thomas. Thomas l-a împușcat și ucis pe Rito Llamas-Juarez în 2016, Thomas a fost condamnat ulterior cu ajutorul a sute de postări pe Facebook pe care le-a făcut sub numele fals de Slaughtaboi Larro. Una dintre postări a inclus o poză cu el purtând o brățară care a fost găsită la locul crimei.
  • Michael Jackson. Anchetatorii au folosit metadate și documente medicale de pe iPhone-ul medicului lui Michael Jackson, care au arătat că medicul, Conrad Murray, i-a prescris cantități letale de medicamente lui Jackson, care a murit în 2009.
  • Mikayla Munn. Munn și-a înecat nou-născutul în cada din camera de cămin a Universității din Manchester în 2016. Anchetatorii au găsit căutări Google pe computerul ei care conțineau expresia” avort la domiciliu”, care au fost folosite pentru a o condamna.

crima este doar unul dintre multele tipuri de criminalistică computerizată pot ajuta la combaterea. Aflați cum este utilizat software-ul de analiză financiară criminalistică pentru combaterea fraudei.

computer forensics cariere și certificări

Computer forensics a devenit propriul său domeniu de expertiză științifică, cu cursuri și certificare însoțitoare. Salariul mediu anual pentru un analist medico-legal la nivel de intrare este de aproximativ 65.000 de dolari, potrivit Salary.com. câteva exemple de căi de carieră criminalistică cibernetică includ următoarele:

  • inginer criminalist. Acești profesioniști se ocupă de etapa de colectare a procesului criminalistic computerizat, colectarea datelor și pregătirea acestora pentru analiză. Ele ajută la determinarea modului în care un dispozitiv a eșuat.
  • contabil criminalist. Această poziție se referă la infracțiunile care implică spălarea banilor și alte tranzacții efectuate pentru a acoperi activitatea ilegală.
  • analist de securitate cibernetică. Această poziție se ocupă de analiza datelor odată ce au fost colectate și de desenarea unor informații care pot fi utilizate ulterior pentru a îmbunătăți strategia de securitate cibernetică a unei organizații.

o diplomă de licență-și, uneori, o diplomă de master-în informatică, securitate cibernetică sau un domeniu conex sunt necesare profesioniștilor din domeniul criminalisticii informatice. Există mai multe certificări disponibile în acest domeniu, inclusiv următoarele:

  • Cybersecurity Institutul de securitate cibernetică analist criminalistic. Această acreditare este concepută pentru profesioniștii din domeniul securității cu cel puțin doi ani de experiență. Scenariile de testare se bazează pe cazuri reale.
  • International Association of Computer Investigative Specialists’ certified legist Computer examinator. Acest program se concentrează în primul rând pe validarea abilităților necesare pentru a se asigura că afacerile respectă orientările criminalistice computerizate stabilite.
  • computer Hacking Investigator medico-legale EC-Consiliului. Această certificare evaluează capacitatea solicitantului de a identifica intrușii și de a colecta dovezi care pot fi utilizate în instanță. Acesta acoperă căutarea și confiscarea sistemelor informatice, lucrul cu dovezi digitale și alte abilități de criminalistică cibernetică.
  • International Society of Forensic computer Examiners’ (ISFCE) Certified Computer Examiner. Acest program de examinare criminalistică necesită instruire la un centru de instruire bootcamp autorizat, iar solicitanții trebuie să semneze codul de etică și responsabilitate profesională ISFCE.

Aflați mai multe despre o carieră în criminalistică cibernetică din acest interviu cu Amanda Rousseau, cercetător principal în malware la Endgame (acum la Facebook), care și-a început cariera efectuând investigații criminalistice computerizate la Centrul de criminalitate cibernetică al Departamentului Apărării.

Lasă un răspuns

Adresa ta de email nu va fi publicată.