پرش به محتوا

جرم‌یابی قانونی دیجیتال

از ویکی‌پدیا، دانشنامهٔ آزاد

جرم یابی قانونی دیجیتال(Digital forensics) یا مهندسی قانونی دیجیتال، یکی از شاخه‌های علم جرم یابی قانونی (جرم یابی قانونی) در حوزه ابزار آلات رایانه‌ای است و شامل بازیابی و بررسی فنی تمامی محتوای یافت شده از هر نوع دستگاه دیجیتال می‌باشد که اغلب مرتبط با جرائم رایانه‌ای است. ممکن است که دستگاه دیجیتال به عنوان وسیله ارتکاب جرم رایانه ای، یا حاوی شواهدی از ارتکاب جرم غیر رایانه ای مورد بررسی قرار گیرد. جرم یابی قانونی دیجیتال در اصل مترادف با جرم یابی قانونی رایانه می‌باشد اما اصطلاح «جرم یابی قانونی دیجیتال» به صورت کلی برای بررسی فنی تمام دستگاه‌هایی به کار می‌رود که قابلیت ذخیره‌سازی داده را دارند. کارشناسان فنی جرم یابی قانونی دیجیتال، ابزارهای مختلفی در جهت اثبات یا رد اتهام مجرمان یا شهروندان برای ارائه به دادگاه در اختیار دارند. جرم یابی قانونی دیجیتال به لحاظ فنی خود به چندین زیر شاخه تقسیم می‌شود: جرم یابی قانونی رایانه جرم یابی قانونی شبکه و تشخیص نفوذ جرم یابی قانونی بدافزار جرم یابی قانونی تحلیل داده جرم یابی قانونی موبایل.

فرایند جرم یابی قانونی دیجیتال شامل موارد ذیل می‌باشد:

  1. توقیف دستگاه‌های دیجیتال.
  2. روبرداری از تمامی حاملهای داده (چه داخلی و چه خارجی) که اصطلاحاً ایمیج‌گیری گفته می‌شود.
  3. آنالیز و تحلیل تمامی محتواهای موجود در ایمیج‌های تولید شده.
  4. ارائه گزارش کامل از تمامی ادله بدست آمده از مرحله ۳(مستندسازی).

تاریخچه

[ویرایش]

قبل از دهه ۱۹۷۰ با استفاده از قوانین موجود به جرایم مربوط به رایانه رسیدگی می‌شد. اولین جرایم رایانه ای در قانون جرایم رایانه ای فلوریدا در سال ۱۹۷۸ به رسمیت شناخته شد که شامل قوانینی علیه اصلاح یا حذف غیرمجاز داده‌ها در یک سیستم رایانه ای بود. طی چند سال بعد، دامنه جرایم رایانه‌ای که مرتکب می‌شد افزایش یافت، و قوانینی برای رسیدگی به مسائل مربوط به حق چاپ، حریم خصوصی/آزار و اذیت (به عنوان مثال، قلدری سایبری، سیلی زدن شاد، تعقیب اینترنتی، و شکارچیان آنلاین) و پورنوگرافی کودکان به تصویب رسید. تا دهه ۱۹۸۰ بود که قوانین فدرال شروع به ادغام جرایم رایانه ای کردند. کانادا اولین کشوری بود که در سال ۱۹۸۳ قانونی تصویب کرد. به دنبال آن قانون فدرال کلاهبرداری و سوء استفاده رایانه ای ایالات متحده در سال ۱۹۸۶، اصلاحیه‌های استرالیا در اعمال جرایم آنها در سال ۱۹۸۹ و قانون سوء استفاده از رایانه بریتانیا در سال ۱۹۹۰ انجام شد.

از ۱۹۸۰ تا ۱۹۹۰

[ویرایش]

رشد جرایم رایانه‌ای در دهه‌های ۱۹۸۰ و ۱۹۹۰ باعث شد که سازمان‌های مجری قانون شروع به تأسیس گروه‌های تخصصی، معمولاً در سطح ملی، برای رسیدگی به جنبه‌های فنی تحقیقات کنند. به عنوان مثال، در سال ۱۹۸۴ FBI یک تیم تحلیل و پاسخ کامپیوتری راه اندازی کرد و سال بعد یک بخش جرایم رایانه ای در گروه کلاهبرداری پلیس متروپولیتن بریتانیا راه اندازی شد. بسیاری از اعضای اولیه این گروه‌ها علاوه بر حرفه ای بودن در اجرای قانون، علاقه‌مند به کامپیوتر نیز بودند و مسئول تحقیقات و هدایت اولیه این رشته شدند.

یکی از اولین نمونه‌های عملی (یا حداقل عمومی) جرم یابی قانونی دیجیتال، تعقیب هکر مارکوس هس توسط کلیف استول در سال ۱۹۸۶ بود. استول، که تحقیقاتش از تکنیک‌های جرم یابی قانونی کامپیوتری و شبکه استفاده کرد، یک بازرس تخصصی نبود. بسیاری از اولین معاینات جرم یابی قانونی از همین مشخصات پیروی کردند.

در طول دهه ۱۹۹۰ تقاضای زیادی برای این منابع جدید و اساسی تحقیقاتی وجود داشت. فشار بر واحدهای مرکزی منجر به ایجاد گروه‌های سطح منطقه‌ای و حتی محلی برای کمک به مدیریت بار می‌شود. به عنوان مثال، واحد ملی جنایات فناوری پیشرفته بریتانیا در سال ۲۰۰۱ راه اندازی شد تا یک زیرساخت ملی برای جرایم رایانه ای فراهم کند. با پرسنلی که هم در مرکز لندن و هم با نیروهای پلیس منطقه‌ای مختلف مستقر هستند (این واحد در سال ۲۰۰۶ به آژانس جرایم سازمان‌یافته جدی (SOCA) تبدیل شد).

در طول این دوره، علم جرم یابی قانونی دیجیتال از ابزارها و تکنیک‌های موقت توسعه‌یافته توسط این متخصصان سرگرمی رشد کرد. این برخلاف سایر رشته‌های جرم یابی قانونی است که از کار جامعه علمی ایجاد شده‌است. تا سال ۱۹۹۲ بود که اصطلاح "جرم یابی قانونی کامپیوتر" در ادبیات دانشگاهی مورد استفاده قرار گرفت (اگرچه قبل از این در استفاده غیررسمی بود). مقاله ای از Collier و Spaul تلاش کرد تا این رشته جدید را برای دنیای علم جرم یابی قانونی توجیه کند.

دهه ۲۰۰۰: توسعه استانداردها

[ویرایش]

از سال ۲۰۰۰، در پاسخ به نیاز به استانداردسازی، ارگان‌ها و آژانس‌های مختلف دستورالعمل‌هایی را برای جرم یابی قانونی دیجیتال منتشر کردند. گروه کاری علمی شواهد دیجیتال (SWGDE) در سال ۲۰۰۲ مقاله ای با عنوان " بهترین شیوه‌ها برای جرم یابی قانونی کامپیوتری " تولید کرد که در سال ۲۰۰۵ با انتشار استاندارد ISO (ISO 17025، الزامات عمومی برای صلاحیت تست و کالیبراسیون) دنبال شد. آزمایشگاه‌ها). یک معاهده بین‌المللی به رهبری اروپا، کنوانسیون جرایم رایانه‌ای، در سال ۲۰۰۴ با هدف تطبیق قوانین ملی جرایم رایانه‌ای، تکنیک‌های تحقیق و همکاری بین‌المللی لازم‌الاجرا شد. این معاهده توسط ۴۳ کشور (از جمله ایالات متحده، کانادا، ژاپن، آفریقای جنوبی، بریتانیا و سایر کشورهای اروپایی) امضا و توسط ۱۶ کشور به تصویب رسیده‌است.

موضوع آموزش نیز مورد توجه قرار گرفت. شرکت‌های تجاری (اغلب توسعه‌دهندگان نرم‌افزار جرم یابی قانونی) شروع به ارائه برنامه‌های صدور گواهینامه کردند و تجزیه و تحلیل جرم‌یابی قانونی دیجیتال به عنوان موضوعی در مرکز آموزشی تحقیقاتی متخصص بریتانیا، Centrex، گنجانده شد.

از اواخر دهه ۱۹۹۰، دستگاه‌های تلفن همراه به‌طور گسترده‌تری در دسترس قرار گرفته‌اند و فراتر از دستگاه‌های ارتباطی ساده پیشرفت کرده‌اند، و مشخص شده‌اند که اشکال غنی از اطلاعات هستند، حتی برای جنایاتی که به‌طور سنتی با جرم یابی قانونی دیجیتال مرتبط نیستند. با وجود این، تجزیه و تحلیل دیجیتالی تلفن‌ها از رسانه‌های رایانه‌ای سنتی عقب مانده‌است که عمدتاً به دلیل مشکلات مربوط به ماهیت اختصاصی دستگاه‌ها است.


حوزه جرم‌یابی قانونی دیجیتال هنوز با مسائل حل نشده مواجه است. مقاله ای در سال ۲۰۰۹ با عنوان «تحقیقات جرم یابی قانونی دیجیتال: خوب، بد و بدون خطاب» توسط پیترسون و شنوی، تعصب نسبت به سیستم عامل‌های ویندوز را در تحقیقات جرم یابی قانونی دیجیتال شناسایی کرد. در سال ۲۰۱۰ سیمسون گارفینکل مسائلی را شناسایی کرد که در آینده با تحقیقات دیجیتالی روبرو خواهد شد، از جمله افزایش اندازه رسانه‌های دیجیتال، دسترسی گسترده به رمزگذاری برای مصرف‌کنندگان، تنوع رو به رشد سیستم عامل‌ها و فرمت‌های فایل، تعداد فزاینده ای از افراد دارای چندین دستگاه، و حقوقی. محدودیت‌های محققین این مقاله همچنین مسائل آموزشی مستمر و همچنین هزینه بسیار بالای ورود به میدان را مشخص کرد.

توسعه ابزارهای جرم‌یابی قانونی دیجیتال

[ویرایش]

در طول دهه ۱۹۸۰، تعداد کمی از ابزارهای تخصصی دیجیتال جرم یابی قانونی وجود داشت، و در نتیجه، محققان اغلب تجزیه و تحلیل زنده را بر روی رسانه‌ها انجام می‌دادند و رایانه‌ها را از داخل سیستم عامل با استفاده از ابزارهای sysadmin موجود برای استخراج شواهد بررسی می‌کردند. این عمل خطر تغییر داده‌های روی دیسک را به همراه داشت، خواه ناخواسته یا غیرعمد، که منجر به ادعای دستکاری شواهد شد. تعدادی ابزار در اوایل دهه ۱۹۹۰ برای رسیدگی به این مشکل ایجاد شد.

نیاز به چنین نرم‌افزاری برای اولین بار در سال ۱۹۸۹ در مرکز آموزش اجرای قانون فدرال شناسایی شد و در نتیجه IMDUMP (توسط مایکل وایت) و در سال ۱۹۹۰، SafeBack (توسعه یافته توسط Sydex) ایجاد شد. نرم‌افزار مشابهی در کشورهای دیگر توسعه یافت. DIBS (یک راه حل سخت‌افزاری و نرم‌افزاری) در سال ۱۹۹۱ به صورت تجاری در بریتانیا منتشر شد و راب مک کمیش Fixed Disk Image را به صورت رایگان برای مجریان قانون استرالیا منتشر کرد. این ابزارها به بررسی‌کنندگان اجازه می‌داد تا یک کپی دقیق از یک قطعه رسانه دیجیتال برای کار روی آن ایجاد کنند و دیسک اصلی را برای تأیید دست‌نخورده باقی بگذارند. در پایان دهه ۱۹۹۰، با افزایش تقاضا برای شواهد دیجیتال، ابزارهای تجاری پیشرفته‌تری مانند EnCase و FTK توسعه یافتند که به تحلیلگران اجازه می‌داد تا کپی‌هایی از رسانه‌ها را بدون استفاده از هرگونه جرم یابی قانونی زنده بررسی کنند. اخیراً، گرایشی به سمت «جرم یابی قانونی حافظه زنده» افزایش یافته‌است که منجر به در دسترس بودن ابزارهایی مانند WindowsSCOPE شده‌است.

اخیراً، همان پیشرفت توسعه ابزار برای دستگاه‌های تلفن همراه اتفاق افتاده‌است. در ابتدا محققان به‌طور مستقیم به داده‌ها روی دستگاه دسترسی داشتند، اما به زودی ابزارهای تخصصی مانند XRY یا Radio Tactics Aceso ظاهر شدند.

روند جرم‌یابی قانونی دیجیتال

[ویرایش]
یک مسدودکننده نوشتاری Tableau قابل حمل که به یک هارد دیسک متصل شده‌است

تحقیقات جرم یابی قانونی دیجیتال معمولاً از ۳ مرحله تشکیل شده‌است: اکتساب یا تصویربرداری از نمایشگاه، تجزیه و تحلیل و گزارش. در حالت ایده‌آل، اکتساب شامل گرفتن تصویری از حافظه فرار کامپیوتر (RAM) و ایجاد یک نسخه تکراری در سطح بخش دقیق (یا «تکراری جرم یابی قانونی») از رسانه است، که اغلب از یک دستگاه مسدودکننده نوشتن برای جلوگیری از تغییر نسخه اصلی استفاده می‌کند. با این حال، رشد اندازه رسانه‌های ذخیره‌سازی و پیشرفت‌هایی مانند محاسبات ابری منجر به استفاده بیشتر از اکتساب‌های «زنده» شده‌است که به موجب آن یک کپی «منطقی» از داده‌ها به جای یک تصویر کامل از دستگاه ذخیره‌سازی فیزیکی به‌دست می‌آید. هم تصویر به دست آمده (یا کپی منطقی) و هم رسانه/داده اصلی هش می‌شوند (با استفاده از الگوریتمی مانند SHA-1 یا MD5) و مقادیر برای تأیید صحت کپی مقایسه می‌شوند.

یک رویکرد جایگزین (و ثبت اختراع) (که «جرم یابی قانونی ترکیبی» یا «جرم یابی قانونی توزیع شده» نامیده شده‌است) جرم یابی قانونی دیجیتال و فرآیندهای کشف الکترونیکی را ترکیب می‌کند. این رویکرد در یک ابزار تجاری به نام ISEEK که همراه با نتایج آزمایش در کنفرانسی در سال ۲۰۱۷ ارائه شد، تجسم یافته‌است[۱]

در طول مرحله تحلیل، محقق با استفاده از روش‌ها و ابزارهای مختلف، شواهدی را بازیابی می‌کند. در سال ۲۰۰۲، مقاله ای در مجله بین‌المللی شواهد دیجیتال به این مرحله به عنوان «جستجوی سیستماتیک عمیق شواهد مرتبط با جرم مشکوک» اشاره کرد. در سال ۲۰۰۶، برایان کریر، محقق جرم یابی قانونی، یک «رویه شهودی» را توصیف کرد که در آن ابتدا شواهد آشکار شناسایی می‌شود و سپس «جستجوهای جامع برای شروع پر کردن سوراخ‌ها انجام می‌شود.»

فرایند واقعی تجزیه و تحلیل می‌تواند بین تحقیقات متفاوت باشد، اما روش‌های رایج عبارتند از انجام جستجوی کلیدواژه در رسانه دیجیتال (در داخل فایل‌ها و همچنین فضای خالی و تخصیص‌نشده)، بازیابی فایل‌های حذف‌شده و استخراج اطلاعات رجیستری (برای مثال فهرست کردن حساب‌های کاربری، یا دستگاه‌های USB متصل).

شواهد به دست آمده برای بازسازی رویدادها یا اقدامات و رسیدن به نتیجه‌گیری تجزیه و تحلیل می‌شود، کاری که اغلب می‌تواند توسط کارکنان کمتر متخصص انجام شود. هنگامی که یک تحقیق کامل می‌شود، داده‌ها، معمولاً در قالب یک گزارش مکتوب، به زبان افراد عادی ارائه می‌شود.

منابع

[ویرایش]
  1. Richard, Adams; Graham, Mann; Valerie, Hobbs (2017). "ISEEK, a tool for high speed, concurrent, distributed forensic data acquisition". {{cite journal}}: Cite journal requires |journal= (help)