جرمیابی قانونی دیجیتال
جرم یابی قانونی دیجیتال(Digital forensics) یا مهندسی قانونی دیجیتال، یکی از شاخههای علم جرم یابی قانونی (جرم یابی قانونی) در حوزه ابزار آلات رایانهای است و شامل بازیابی و بررسی فنی تمامی محتوای یافت شده از هر نوع دستگاه دیجیتال میباشد که اغلب مرتبط با جرائم رایانهای است. ممکن است که دستگاه دیجیتال به عنوان وسیله ارتکاب جرم رایانه ای، یا حاوی شواهدی از ارتکاب جرم غیر رایانه ای مورد بررسی قرار گیرد. جرم یابی قانونی دیجیتال در اصل مترادف با جرم یابی قانونی رایانه میباشد اما اصطلاح «جرم یابی قانونی دیجیتال» به صورت کلی برای بررسی فنی تمام دستگاههایی به کار میرود که قابلیت ذخیرهسازی داده را دارند. کارشناسان فنی جرم یابی قانونی دیجیتال، ابزارهای مختلفی در جهت اثبات یا رد اتهام مجرمان یا شهروندان برای ارائه به دادگاه در اختیار دارند. جرم یابی قانونی دیجیتال به لحاظ فنی خود به چندین زیر شاخه تقسیم میشود: جرم یابی قانونی رایانه جرم یابی قانونی شبکه و تشخیص نفوذ جرم یابی قانونی بدافزار جرم یابی قانونی تحلیل داده جرم یابی قانونی موبایل.
فرایند جرم یابی قانونی دیجیتال شامل موارد ذیل میباشد:
- توقیف دستگاههای دیجیتال.
- روبرداری از تمامی حاملهای داده (چه داخلی و چه خارجی) که اصطلاحاً ایمیجگیری گفته میشود.
- آنالیز و تحلیل تمامی محتواهای موجود در ایمیجهای تولید شده.
- ارائه گزارش کامل از تمامی ادله بدست آمده از مرحله ۳(مستندسازی).
تاریخچه
[ویرایش]قبل از دهه ۱۹۷۰ با استفاده از قوانین موجود به جرایم مربوط به رایانه رسیدگی میشد. اولین جرایم رایانه ای در قانون جرایم رایانه ای فلوریدا در سال ۱۹۷۸ به رسمیت شناخته شد که شامل قوانینی علیه اصلاح یا حذف غیرمجاز دادهها در یک سیستم رایانه ای بود. طی چند سال بعد، دامنه جرایم رایانهای که مرتکب میشد افزایش یافت، و قوانینی برای رسیدگی به مسائل مربوط به حق چاپ، حریم خصوصی/آزار و اذیت (به عنوان مثال، قلدری سایبری، سیلی زدن شاد، تعقیب اینترنتی، و شکارچیان آنلاین) و پورنوگرافی کودکان به تصویب رسید. تا دهه ۱۹۸۰ بود که قوانین فدرال شروع به ادغام جرایم رایانه ای کردند. کانادا اولین کشوری بود که در سال ۱۹۸۳ قانونی تصویب کرد. به دنبال آن قانون فدرال کلاهبرداری و سوء استفاده رایانه ای ایالات متحده در سال ۱۹۸۶، اصلاحیههای استرالیا در اعمال جرایم آنها در سال ۱۹۸۹ و قانون سوء استفاده از رایانه بریتانیا در سال ۱۹۹۰ انجام شد.
از ۱۹۸۰ تا ۱۹۹۰
[ویرایش]رشد جرایم رایانهای در دهههای ۱۹۸۰ و ۱۹۹۰ باعث شد که سازمانهای مجری قانون شروع به تأسیس گروههای تخصصی، معمولاً در سطح ملی، برای رسیدگی به جنبههای فنی تحقیقات کنند. به عنوان مثال، در سال ۱۹۸۴ FBI یک تیم تحلیل و پاسخ کامپیوتری راه اندازی کرد و سال بعد یک بخش جرایم رایانه ای در گروه کلاهبرداری پلیس متروپولیتن بریتانیا راه اندازی شد. بسیاری از اعضای اولیه این گروهها علاوه بر حرفه ای بودن در اجرای قانون، علاقهمند به کامپیوتر نیز بودند و مسئول تحقیقات و هدایت اولیه این رشته شدند.
یکی از اولین نمونههای عملی (یا حداقل عمومی) جرم یابی قانونی دیجیتال، تعقیب هکر مارکوس هس توسط کلیف استول در سال ۱۹۸۶ بود. استول، که تحقیقاتش از تکنیکهای جرم یابی قانونی کامپیوتری و شبکه استفاده کرد، یک بازرس تخصصی نبود. بسیاری از اولین معاینات جرم یابی قانونی از همین مشخصات پیروی کردند.
در طول دهه ۱۹۹۰ تقاضای زیادی برای این منابع جدید و اساسی تحقیقاتی وجود داشت. فشار بر واحدهای مرکزی منجر به ایجاد گروههای سطح منطقهای و حتی محلی برای کمک به مدیریت بار میشود. به عنوان مثال، واحد ملی جنایات فناوری پیشرفته بریتانیا در سال ۲۰۰۱ راه اندازی شد تا یک زیرساخت ملی برای جرایم رایانه ای فراهم کند. با پرسنلی که هم در مرکز لندن و هم با نیروهای پلیس منطقهای مختلف مستقر هستند (این واحد در سال ۲۰۰۶ به آژانس جرایم سازمانیافته جدی (SOCA) تبدیل شد).
در طول این دوره، علم جرم یابی قانونی دیجیتال از ابزارها و تکنیکهای موقت توسعهیافته توسط این متخصصان سرگرمی رشد کرد. این برخلاف سایر رشتههای جرم یابی قانونی است که از کار جامعه علمی ایجاد شدهاست. تا سال ۱۹۹۲ بود که اصطلاح "جرم یابی قانونی کامپیوتر" در ادبیات دانشگاهی مورد استفاده قرار گرفت (اگرچه قبل از این در استفاده غیررسمی بود). مقاله ای از Collier و Spaul تلاش کرد تا این رشته جدید را برای دنیای علم جرم یابی قانونی توجیه کند.
دهه ۲۰۰۰: توسعه استانداردها
[ویرایش]از سال ۲۰۰۰، در پاسخ به نیاز به استانداردسازی، ارگانها و آژانسهای مختلف دستورالعملهایی را برای جرم یابی قانونی دیجیتال منتشر کردند. گروه کاری علمی شواهد دیجیتال (SWGDE) در سال ۲۰۰۲ مقاله ای با عنوان " بهترین شیوهها برای جرم یابی قانونی کامپیوتری " تولید کرد که در سال ۲۰۰۵ با انتشار استاندارد ISO (ISO 17025، الزامات عمومی برای صلاحیت تست و کالیبراسیون) دنبال شد. آزمایشگاهها). یک معاهده بینالمللی به رهبری اروپا، کنوانسیون جرایم رایانهای، در سال ۲۰۰۴ با هدف تطبیق قوانین ملی جرایم رایانهای، تکنیکهای تحقیق و همکاری بینالمللی لازمالاجرا شد. این معاهده توسط ۴۳ کشور (از جمله ایالات متحده، کانادا، ژاپن، آفریقای جنوبی، بریتانیا و سایر کشورهای اروپایی) امضا و توسط ۱۶ کشور به تصویب رسیدهاست.
موضوع آموزش نیز مورد توجه قرار گرفت. شرکتهای تجاری (اغلب توسعهدهندگان نرمافزار جرم یابی قانونی) شروع به ارائه برنامههای صدور گواهینامه کردند و تجزیه و تحلیل جرمیابی قانونی دیجیتال به عنوان موضوعی در مرکز آموزشی تحقیقاتی متخصص بریتانیا، Centrex، گنجانده شد.
از اواخر دهه ۱۹۹۰، دستگاههای تلفن همراه بهطور گستردهتری در دسترس قرار گرفتهاند و فراتر از دستگاههای ارتباطی ساده پیشرفت کردهاند، و مشخص شدهاند که اشکال غنی از اطلاعات هستند، حتی برای جنایاتی که بهطور سنتی با جرم یابی قانونی دیجیتال مرتبط نیستند. با وجود این، تجزیه و تحلیل دیجیتالی تلفنها از رسانههای رایانهای سنتی عقب ماندهاست که عمدتاً به دلیل مشکلات مربوط به ماهیت اختصاصی دستگاهها است.
حوزه جرمیابی قانونی دیجیتال هنوز با مسائل حل نشده مواجه است. مقاله ای در سال ۲۰۰۹ با عنوان «تحقیقات جرم یابی قانونی دیجیتال: خوب، بد و بدون خطاب» توسط پیترسون و شنوی، تعصب نسبت به سیستم عاملهای ویندوز را در تحقیقات جرم یابی قانونی دیجیتال شناسایی کرد. در سال ۲۰۱۰ سیمسون گارفینکل مسائلی را شناسایی کرد که در آینده با تحقیقات دیجیتالی روبرو خواهد شد، از جمله افزایش اندازه رسانههای دیجیتال، دسترسی گسترده به رمزگذاری برای مصرفکنندگان، تنوع رو به رشد سیستم عاملها و فرمتهای فایل، تعداد فزاینده ای از افراد دارای چندین دستگاه، و حقوقی. محدودیتهای محققین این مقاله همچنین مسائل آموزشی مستمر و همچنین هزینه بسیار بالای ورود به میدان را مشخص کرد.
توسعه ابزارهای جرمیابی قانونی دیجیتال
[ویرایش]در طول دهه ۱۹۸۰، تعداد کمی از ابزارهای تخصصی دیجیتال جرم یابی قانونی وجود داشت، و در نتیجه، محققان اغلب تجزیه و تحلیل زنده را بر روی رسانهها انجام میدادند و رایانهها را از داخل سیستم عامل با استفاده از ابزارهای sysadmin موجود برای استخراج شواهد بررسی میکردند. این عمل خطر تغییر دادههای روی دیسک را به همراه داشت، خواه ناخواسته یا غیرعمد، که منجر به ادعای دستکاری شواهد شد. تعدادی ابزار در اوایل دهه ۱۹۹۰ برای رسیدگی به این مشکل ایجاد شد.
نیاز به چنین نرمافزاری برای اولین بار در سال ۱۹۸۹ در مرکز آموزش اجرای قانون فدرال شناسایی شد و در نتیجه IMDUMP (توسط مایکل وایت) و در سال ۱۹۹۰، SafeBack (توسعه یافته توسط Sydex) ایجاد شد. نرمافزار مشابهی در کشورهای دیگر توسعه یافت. DIBS (یک راه حل سختافزاری و نرمافزاری) در سال ۱۹۹۱ به صورت تجاری در بریتانیا منتشر شد و راب مک کمیش Fixed Disk Image را به صورت رایگان برای مجریان قانون استرالیا منتشر کرد. این ابزارها به بررسیکنندگان اجازه میداد تا یک کپی دقیق از یک قطعه رسانه دیجیتال برای کار روی آن ایجاد کنند و دیسک اصلی را برای تأیید دستنخورده باقی بگذارند. در پایان دهه ۱۹۹۰، با افزایش تقاضا برای شواهد دیجیتال، ابزارهای تجاری پیشرفتهتری مانند EnCase و FTK توسعه یافتند که به تحلیلگران اجازه میداد تا کپیهایی از رسانهها را بدون استفاده از هرگونه جرم یابی قانونی زنده بررسی کنند. اخیراً، گرایشی به سمت «جرم یابی قانونی حافظه زنده» افزایش یافتهاست که منجر به در دسترس بودن ابزارهایی مانند WindowsSCOPE شدهاست.
اخیراً، همان پیشرفت توسعه ابزار برای دستگاههای تلفن همراه اتفاق افتادهاست. در ابتدا محققان بهطور مستقیم به دادهها روی دستگاه دسترسی داشتند، اما به زودی ابزارهای تخصصی مانند XRY یا Radio Tactics Aceso ظاهر شدند.
روند جرمیابی قانونی دیجیتال
[ویرایش]تحقیقات جرم یابی قانونی دیجیتال معمولاً از ۳ مرحله تشکیل شدهاست: اکتساب یا تصویربرداری از نمایشگاه، تجزیه و تحلیل و گزارش. در حالت ایدهآل، اکتساب شامل گرفتن تصویری از حافظه فرار کامپیوتر (RAM) و ایجاد یک نسخه تکراری در سطح بخش دقیق (یا «تکراری جرم یابی قانونی») از رسانه است، که اغلب از یک دستگاه مسدودکننده نوشتن برای جلوگیری از تغییر نسخه اصلی استفاده میکند. با این حال، رشد اندازه رسانههای ذخیرهسازی و پیشرفتهایی مانند محاسبات ابری منجر به استفاده بیشتر از اکتسابهای «زنده» شدهاست که به موجب آن یک کپی «منطقی» از دادهها به جای یک تصویر کامل از دستگاه ذخیرهسازی فیزیکی بهدست میآید. هم تصویر به دست آمده (یا کپی منطقی) و هم رسانه/داده اصلی هش میشوند (با استفاده از الگوریتمی مانند SHA-1 یا MD5) و مقادیر برای تأیید صحت کپی مقایسه میشوند.
یک رویکرد جایگزین (و ثبت اختراع) (که «جرم یابی قانونی ترکیبی» یا «جرم یابی قانونی توزیع شده» نامیده شدهاست) جرم یابی قانونی دیجیتال و فرآیندهای کشف الکترونیکی را ترکیب میکند. این رویکرد در یک ابزار تجاری به نام ISEEK که همراه با نتایج آزمایش در کنفرانسی در سال ۲۰۱۷ ارائه شد، تجسم یافتهاست[۱]
در طول مرحله تحلیل، محقق با استفاده از روشها و ابزارهای مختلف، شواهدی را بازیابی میکند. در سال ۲۰۰۲، مقاله ای در مجله بینالمللی شواهد دیجیتال به این مرحله به عنوان «جستجوی سیستماتیک عمیق شواهد مرتبط با جرم مشکوک» اشاره کرد. در سال ۲۰۰۶، برایان کریر، محقق جرم یابی قانونی، یک «رویه شهودی» را توصیف کرد که در آن ابتدا شواهد آشکار شناسایی میشود و سپس «جستجوهای جامع برای شروع پر کردن سوراخها انجام میشود.»
فرایند واقعی تجزیه و تحلیل میتواند بین تحقیقات متفاوت باشد، اما روشهای رایج عبارتند از انجام جستجوی کلیدواژه در رسانه دیجیتال (در داخل فایلها و همچنین فضای خالی و تخصیصنشده)، بازیابی فایلهای حذفشده و استخراج اطلاعات رجیستری (برای مثال فهرست کردن حسابهای کاربری، یا دستگاههای USB متصل).
شواهد به دست آمده برای بازسازی رویدادها یا اقدامات و رسیدن به نتیجهگیری تجزیه و تحلیل میشود، کاری که اغلب میتواند توسط کارکنان کمتر متخصص انجام شود. هنگامی که یک تحقیق کامل میشود، دادهها، معمولاً در قالب یک گزارش مکتوب، به زبان افراد عادی ارائه میشود.
منابع
[ویرایش]- ↑ Richard, Adams; Graham, Mann; Valerie, Hobbs (2017). "ISEEK, a tool for high speed, concurrent, distributed forensic data acquisition".
{{cite journal}}
: Cite journal requires|journal=
(help)