vad är computer forensics?
Computer forensics är tillämpningen av utrednings-och analysmetoder för att samla in och bevara bevis från en viss datoranordning på ett sätt som är lämpligt för presentation i en domstol. Målet med computer forensics är att utföra en strukturerad utredning och upprätthålla en dokumenterad beviskedja för att ta reda på exakt vad som hände på en dator och vem som var ansvarig för det.
Computer forensics – som ibland kallas computer forensic science-är i huvudsak dataåterställning med riktlinjer för laglig efterlevnad för att göra informationen tillåtlig i rättsliga förfaranden. Termerna digital forensics och cyber forensics används ofta som synonymer för dator forensics.
Digital forensics börjar med insamling av information på ett sätt som upprätthåller dess integritet. Undersökare analyserar sedan data eller system för att avgöra om det ändrades, hur det ändrades och vem som gjorde ändringarna. Användningen av datorforensik är inte alltid knuten till ett brott. Den rättsmedicinska processen används också som en del av dataåterställningsprocesser för att samla in data från en kraschad server, misslyckad enhet, omformaterat operativsystem (OS) eller annan situation där ett system oväntat har slutat fungera.
Varför är datorforensik viktigt?
i det civila och straffrättsliga systemet hjälper datorforensik till att säkerställa integriteten hos digitala bevis som presenteras i rättsfall. Eftersom datorer och andra datainsamlingsenheter används oftare i alla aspekter av livet, har digitala bevis-och den rättsmedicinska processen som används för att samla in, bevara och undersöka det-blivit viktigare för att lösa brott och andra juridiska frågor.
den genomsnittliga personen ser aldrig mycket av den information som moderna enheter samlar in. Till exempel samlar datorerna i bilar kontinuerligt information om när en förare bromsar, växlar och ändrar hastighet utan att föraren är medveten. Denna information kan dock visa sig vara avgörande för att lösa en juridisk fråga eller ett brott, och datorforensik spelar ofta en roll för att identifiera och bevara den informationen.
digitala bevis är inte bara användbara för att lösa brott i den digitala världen, såsom datastöld, nätverksbrott och olagliga onlinetransaktioner. Det används också för att lösa fysiska världsbrott, såsom inbrott, överfall, hit-and-run olyckor och mord.
företag använder ofta en flerskiktad datahantering, datastyrning och nätverkssäkerhetsstrategi för att hålla proprietär information säker. Att ha data som är välskött och säkert kan hjälpa till att effektivisera den rättsmedicinska processen om data någonsin kommer under utredning.
företag använder också dator kriminalteknik för att spåra information relaterad till ett system eller nätverk kompromiss, som kan användas för att identifiera och åtala cyber angripare. Företag kan också använda digitala rättsmedicinska experter och processer för att hjälpa dem med dataåterställning i händelse av ett system-eller nätverksfel som orsakas av en naturlig eller annan katastrof.
när världen blir mer beroende av digital teknik för livets kärnfunktioner ökar cyberbrottsligheten. Som sådan har dator rättsmedicinska specialister inte längre monopol på fältet. Se hur polisen i Storbritannien antar datortekniska tekniker för att hålla jämna steg med ökande cyberbrott.
typer av dator kriminalteknik
det finns olika typer av dator kriminaltekniska undersökningar. Var och en handlar om en specifik aspekt av informationsteknologi. Några av huvudtyperna inkluderar följande:
- Databasforensics. Granskning av information i databaser, både data och relaterade metadata.
- e-post kriminalteknik. Återvinning och analys av e-post och annan information som finns i e-postplattformar, såsom scheman och kontakter.
- Malware forensics. Siktning genom kod för att identifiera eventuella skadliga program och analysera deras nyttolast. Sådana program kan innehålla trojanska hästar, ransomware eller olika virus.
- Minnesforensik. Samla in information som lagras i en dators RAM (random access memory) och cache.
- mobil kriminalteknik. Undersökningen av mobila enheter för att hämta och analysera den information de innehåller, inklusive kontakter, inkommande och utgående textmeddelanden, bilder och videofiler.
- nätverksforensik. Letar efter bevis genom att övervaka nätverkstrafik, med hjälp av verktyg som en brandvägg eller intrångsdetekteringssystem.
hur fungerar dator kriminalteknik?
rättsmedicinska utredare följer vanligtvis standardprocedurer, som varierar beroende på sammanhanget för den rättsmedicinska utredningen, enheten som undersöks eller informationen utredare letar efter. I allmänhet innefattar dessa förfaranden följande tre steg:
- datainsamling. Elektroniskt lagrad information måste samlas in på ett sätt som upprätthåller dess integritet. Detta innebär ofta att fysiskt isolera enheten som undersöks för att säkerställa att den inte kan förorenas eller manipuleras av misstag. Examinatorer gör en digital kopia, även kallad en rättsmedicinsk bild, av enhetens lagringsmedia, och sedan låser de den ursprungliga enheten i en säker eller annan säker anläggning för att behålla sitt orörda tillstånd. Undersökningen genomförs på den digitala kopian. I andra fall kan offentligt tillgänglig information användas för kriminaltekniska ändamål, till exempel Facebook-inlägg eller offentliga Venmo-avgifter för inköp av olagliga produkter eller tjänster som visas på Vicemos webbplats.
- analys. Utredare analyserar digitala kopior av lagringsmedia i en steril miljö för att samla in informationen för ett ärende. Olika verktyg används för att hjälpa till i denna process, inklusive Basis Technologys obduktion för hårddiskundersökningar och Wireshark network protocol analyzer. En mus jiggler är användbar när man undersöker en dator för att hålla den från att somna och förlora flyktiga minnesdata som går förlorade när datorn går att sova eller förlorar ström.
- Presentation. De rättsmedicinska utredarna presenterar sina resultat i ett rättsligt förfarande, där en domare eller jury använder dem för att avgöra resultatet av en rättegång. I en dataåterställningssituation presenterar rättsmedicinska utredare vad de kunde återhämta sig från ett kompromissat system.
ofta används flera verktyg i kriminaltekniska undersökningar för att validera resultaten de producerar. Läs om hur en forskare vid Kaspersky Lab i Asien har skapat ett verktyg för öppen källkod för att på distans samla in bevis på skadlig kod utan att kompromissa med systemintegriteten.
tekniker rättsmedicinska utredare använder
utredare använder en mängd olika tekniker och proprietära rättsmedicinska applikationer för att undersöka kopian de har gjort av en komprometterad enhet. De söker dolda mappar och odelat diskutrymme för kopior av raderade, krypterade eller skadade filer. Alla bevis som finns på den digitala kopian dokumenteras noggrant i en undersökningsrapport och verifieras med den ursprungliga enheten som förberedelse för rättsliga förfaranden som involverar upptäckt, deponeringar eller faktiska tvister.
dator rättsmedicinska undersökningar använder en kombination av tekniker och expertkunskap. Några vanliga tekniker inkluderar följande:
- omvänd steganografi. Steganografi är en vanlig taktik som används för att dölja data i alla typer av digital fil, meddelande eller dataström. Dator rättsmedicinska experter vända en steganography försök genom att analysera data hashing att filen i fråga innehåller. Om en cyberkriminell döljer viktig information i en bild eller annan digital fil kan den se likadan ut före och efter för det otränade ögat, men den underliggande hash eller datasträngen som representerar bilden kommer att ändras.
- stokastisk kriminalteknik. Här analyserar och rekonstruerar utredare digital aktivitet utan användning av digitala artefakter. Artefakter är oavsiktliga förändringar av data som uppstår från digitala processer. Artefakter inkluderar ledtrådar relaterade till ett digitalt brott, till exempel ändringar av filattribut under datastöld. Stokastisk kriminalteknik används ofta i dataintrång undersökningar där angriparen tros vara en insider, som kanske inte lämnar bakom digitala artefakter.
- Cross-drive analys. Denna teknik korrelerar och korsrefererar information som finns på flera datorenheter för att söka efter, analysera och bevara information som är relevant för en undersökning. Händelser som väcker misstankar jämförs med information om andra enheter för att leta efter likheter och ge sammanhang. Detta är också känt som anomali upptäckt.
- levande analys. Med denna teknik analyseras en dator inifrån operativsystemet medan datorn eller enheten körs med hjälp av systemverktyg på datorn. Analysen tittar på flyktiga data, som ofta lagras i cache eller RAM. Många verktyg som används för att extrahera flyktiga data kräver att datorn är i ett kriminaltekniskt laboratorium för att upprätthålla legitimiteten för en beviskedja.
- raderad filåterställning. Denna teknik innebär att man söker ett datorsystem och minne för fragment av filer som delvis raderades på ett ställe men lämnar spår någon annanstans på maskinen. Detta kallas ibland fil carving eller data carving.
Läs mer om computer forensic analytics i detta kapitel från boken Python Forensics: A Workbench for Inventing and Sharing Digital Forensic Technology, av Chet Hosmer. Det visar hur man använder Python och cybersäkerhetsteknik för att bevara digitala bevis.
Hur används datorforensik som bevis?
Computer forensics har använts som bevis av brottsbekämpande organ och i straffrätt och civilrätt sedan 1980-talet. några anmärkningsvärda fall inkluderar följande:
- Apple affärshemlighet stöld. En ingenjör vid namn Xiaolang Zhang vid Apples autonoma bilavdelning meddelade sin pension och sa att han skulle flytta tillbaka till Kina för att ta hand om sin äldre mamma. Han berättade för sin chef att han planerade att arbeta hos en elektronisk biltillverkare i Kina och väckte misstankar. Enligt en Federal Bureau of Investigation (FBI) – förklaring granskade Apples säkerhetsteam Zhangs verksamhet i företagets nätverk och fann att han under dagarna före sin avgång laddade ner affärshemligheter från konfidentiella företagsdatabaser som han hade tillgång till. Han åtalades av FBI 2018.
- Enron. I en av de mest citerade bokföringsbedrägeriskandalerna, Enron, a U. S. energi -, råvaru-och tjänsteföretag rapporterade falskt miljarder dollar i intäkter innan de gick i konkurs 2001 och orsakade ekonomisk skada för många anställda och andra som hade investerat i företaget. Dator rättsmedicinska analytiker undersökte terabyte data för att förstå det komplexa bedrägerisystemet. Skandalen var en viktig faktor i övergången av Sarbanes-Oxley Act från 2002, som satte nya krav på redovisningsefterlevnad för offentliga företag. Företaget förklarade konkurs 2001.
- Google affärshemlighet stöld. Anthony Scott Levandowski, en tidigare chef för både Uber och Google, anklagades för 33 räkningar av affärshemlighetsstöld i 2019. Från 2009 till 2016 arbetade Levandowski i Googles självkörande bilprogram, där han laddade ner tusentals filer relaterade till programmet från en lösenordsskyddad företagsserver. Han avgick från Google och skapade Otto, ett självkörande lastbilsföretag, som Uber köpte 2016, enligt New York Times. Levandowski åberopar sig skyldig till en räkning av affärshemligheter stöld och dömdes till 18 månaders fängelse och $851,499 i böter och återbetalning. Levandowski fick en president benådning i januari 2021.
- Larry Thomas. Thomas sköt och dödade Rito Llamas-Juarez 2016 Thomas dömdes senare med hjälp av hundratals Facebook-inlägg som han gjorde under det falska namnet Slaughtaboi Larro. Ett av inläggen inkluderade en bild av honom med ett armband som hittades på brottsplatsen.
- Michael Jackson. Utredare använde metadata och medicinska dokument från Michael Jacksons doktor iPhone som visade doktorn, Conrad Murray, föreskrev dödliga mängder medicin till Jackson, som dog i 2009.
- Mikayla Munn. Munn drunknade sitt nyfödda barn i badkaret i sitt studentrum i Manchester University 2016. Utredare hittade Google-sökningar på hennes dator som innehöll frasen ”hemma abort”, som användes för att döma henne.
mord är bara en av de många typer av brott dator kriminalteknik kan hjälpa till att bekämpa. Lär dig hur forensic financial analysis software används för att bekämpa bedrägerier.
Computer forensics karriärer och certifieringar
Computer forensics har blivit sitt eget område av vetenskaplig expertis, med tillhörande kurser och certifiering. Den genomsnittliga årslönen för en rättsmedicinsk analytiker på grundnivå är cirka 65 000 dollar, enligt Salary.com. några exempel på Cyber forensic karriärvägar inkluderar följande:
- rättsmedicinsk ingenjör. Dessa yrkesverksamma hanterar insamlingsfasen av datorns rättsmedicinska process, samlar in data och förbereder den för analys. De hjälper till att avgöra hur en enhet misslyckades.
- kriminalteknisk revisor. Denna position handlar om brott som involverar penningtvätt och andra transaktioner som görs för att täcka olaglig verksamhet.
- Cybersäkerhetsanalytiker. Denna position handlar om att analysera data när den har samlats in och rita insikter som senare kan användas för att förbättra en organisations cybersäkerhetsstrategi.
en kandidatexamen – och ibland en magisterexamen – i datavetenskap, cybersäkerhet eller ett relaterat område krävs av dator rättsmedicinska proffs. Det finns flera certifieringar tillgängliga inom detta område, inklusive följande:
- CyberSecurity Institute ’ s CyberSecurity Forensic Analyst. Denna referens är utformad för säkerhetspersonal med minst två års erfarenhet. Testscenarier baseras på faktiska fall.
- International Association of Computer Investigative Specialists ’ certifierad rättsmedicinsk dator examinator. Detta program fokuserar främst på att validera de färdigheter som krävs för att säkerställa att verksamheten följer etablerade dator kriminaltekniska riktlinjer.
- EG-Rådets dataintrång Forensic Investigator. Denna certifiering bedömer en sökandes förmåga att identifiera inkräktare och samla in bevis som kan användas i domstol. Det omfattar sökning och beslag av informationssystem, som arbetar med digital bevis och andra cyber forensics färdigheter.
- International Society of Forensic Computer Examiners’ (Isfce) certifierad dator examinator. Detta rättsmedicinska examinatorprogram kräver utbildning på ett auktoriserat bootcamp-träningscenter, och sökande måste underteckna Isfce-koden för etik och professionellt ansvar.
lär dig mer om en karriär inom cyberforensik från denna intervju med Amanda Rousseau, senior malware-forskare vid Endgame (nu på Facebook), som började sin karriär med att utföra datorforensiska undersökningar vid Department of Defense Cyber Crime Center.