Цифрова криміналістика

  • Дата 22/01/2018

Що таке цифрова криміналістика?

Цифрова криміналістика використовується для ідентифікування, зберігання, відновлення, аналізу та презентування цифрових доказів, знайдених на комп’ютерах чи цифрових пристроях зберігання даних.

Спершу термін “цифрова криміналістика” використовувався як синонім комп’ютерної криміналістики, але згодом розширив своє значення і використовується для вивчення всіх пристроїв для зберігання даних.
До 1980-х років комп’ютерні злочини розглядались лише з використанням вже існуючих законів. Перший кіберзлочин був визнаний лише 1978 року у Флориді. Протягом наступних декількох років кількість злочинів збільшилась, і було прийнято закони щодо конфіденційності, домагань (кібер-переслідування, інтернет-злочинці) авторського права та дитячої порнографії. Канада була першою країною, що прийняла закон щодо кіберзлочинів, згодом її прикладу послідували США, Австралія та Британія.

Галузі цифрової криміналістики:

  • - Комп’ютерна криміналістика - основною метою є інтерпретувати поточний стан комп’ютерної системи, носіїв інформації та електронних документів. Комп’ютерна форензіка охоплює широке коло інформації: від журналів (наприклад, історії з Інтернету) до фактичних файлів на диску. Вбивцю Шерон Лопатки було ідентифіковано 2006 року після повідомлень, знайдених на її комп’ютері, де злочинець детально описував катування та смертельні фантазії.
  • - Криміналістику мобільних телефонів виокремлюють як окрему галузь. Від комп’ютерної вона відрізняється тим, що мобільні пристрої мають вбудовану систему зв’язку. Дослідження орієнтовані на дані дзвінків та повідомлень (SMS, Email) і на глибоке відновлення видалених даних. Так, SMS дані допомогли звільнити Патріка Лумумбу за вбивство Мередіт Керчер. Мобільні пристрої також корисні для надання інформації про місцезнаходження. Її можна відстежити через журнал дзвінків або за допомогою GPS. Така інформація була використана для відстеження викрадень Томаса Онофрі 2006 року.
  • - Мережева криміналістика займається аналізом і відстеженням мережевого трафіку, локального і глобального Інтернету, збором доказів і виявленням вторгнень у систему. 2000 року ФБР заманили хакерів Олексія Іванова та Горшкова до США на підлаштовану співбесіду. Контролюючи мережевий трафік на комп’ютерах, ФБР виявили паролі, які дозволяли хакерам збирати факти російською мовою.
  • - Криміналістичний аналіз даних досліджує структуровані дані з метою виявлення та аналізу шаблонів шахрайських дій, спричинених фінансовою злочинністю.
  • - Криміналістику бази даних використовують для відновлення відповідної інформації, дати та часу подій за допомогою використання змісту баз даних та даних в оперативній пам’яті та файлах журналів.

Етапи цифрової криміналістики:

  1. Ідентифікування - початковий етап. Перед тим як почати щось робити, важливо з’ясувати де збережені дані. Дані зберігаються на жорстких дисках комп’ютерів, серверах, флеш-накопичувачах і мережевому обладнанні. Різні пристрої та засоби зберігання або передачі даних залишають різні види артефактів (доказів). Чим більше ви знаходите їх, тим ясніше стає загальний стан.
  2. Зберігання є найважливішою частиною процесу цифрової криміналістики. Без цілісності частина доказів втрачає свою цінність, тому так важливо, щоб артефакти залишались в початковому стані. Однією з найбільш корисних технологій є White Block. Вона дозволяє досліднику отримати дані на жорсткому диску, але забороняє змінювати їх. Ще одним загальноприйнятим методом є створення криміналістичного зображення даних або пристрою, що досліджується. Тобто створення копії даних, що знаходяться на диску. Тоді можна виконувати розслідування та аналіз на цій копії, зберігаючи цілісність оригіналу.
  3. Відновлення видалених файлів з ОС, паролей захищених файлів, пошкоджених чи спотворених файлів.
  4. Аналіз - основна частина дослідження. Метою цього етапу є назбирати якомога більше артефактів. Для їх пошуку використовуються спеціальні програми або скрипти, які автоматизують роботу даних, і ручний аналіз, щоб дослідити нерозбірливі файли системи.
  5. Висновок - завершальний етап цифрової криміналістики. Вся зібрана спеціалістом інформація аналізується та на основі отриманих результатів складається остаточний висновок. Для експерта не важливо чи буде доказів достатньо для ініціатора дослідження, щоб прийняти кінцеве рішення і чи буде це мати надалі якесь значення для суду. Він зобов’язаний залишатись об’єктивним та незалежним у судових провадженнях (не повинен прагнути надати позитивний чи негативний висновок, повинен подати «так як є»). Кінцева мета цифрової криміналістики - це чітко та об’єктивно сформувати результати дослідження (висновки), зрозуміло інтерпретувати цифрові сліди для учасників процесу, які містяться на об’єктах дослідження.

ТОВ “Науково-дослідницька Лабораторія цифрової криміналістики Гросс” (НДЛЦК “ГРОСС”) займається діяльністю у всіх вищевказаних галузях цифрової криміналістики. Тому, якщо Вас цікавлять послуги у сфері комп’ютерної криміналістики, звертайтесь до експертів Гросс. Завжди будемо раді Вам допомогти!

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Ковельська 2, оф. 315

  • +38066 023 70 86+38063 418 22 57
  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top