Подождите, пожалуйста, выполняется поиск в заданном разделе

Особенности назначения судебной компьютерно-технической экспертизы и Компьютерная криминалистика

Привет, сегодня поговорим про судебная компьютерно-техническая экспертиза, обещаю рассказать все что знаю. Для того чтобы лучше понимать что такое судебная компьютерно-техническая экспертиза, компьютерно-техническая экспертиза,компьютерная криминалистика,антикомпьютерная криминалистика , настоятельно рекомендую прочитать все из категории Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы

Компьютерно-техническая экспертиза — одна из разновидностей судебных экспертиз[1], объектом которой является компьютерная техника и (или) компьютерные носители информации, а целью — поиск и закрепление доказательств. Причисление к возможным объектам данного вида экспертизы удаленных объектов, не находящихся в полном распоряжении эксперта (прежде всего, компьютерных сетей) пока является спорным вопросом и решается по-разному.

Проводится как по уголовным делам, так и по гражданским. По уголовным делам экспертиза может быть назначена следователем (в рамках досудебного следствия) или судом и поручается конкретному эксперту или экспертному учреждению. Результатом экспертизы является заключение эксперта, которое служит доказательством по делу. По гражданским делам экспертиза может быть назначена судом, заказана одной из сторон или назначена нотариусом по инициативе стороны.

компьютерная криминалистика (также известная как компьютерная криминалистика [1] ) - это отрасль цифровой криминалистики, имеющая отношение к доказательствам, обнаруженным в компьютерах и цифровых носителях . Целью компьютерной криминалистики является изучение цифровых носителей с точки зрения судебной экспертизы с целью выявления, сохранения, восстановления, анализа и представления фактов и мнений о цифровой информации.

Хотя это чаще всего связано с расследованием широкого круга компьютерных преступлений , компьютерная криминалистика также может использоваться в гражданском судопроизводстве. Дисциплина включает в себя методы и принципы, аналогичные восстановлению данных , но с дополнительными рекомендациями и методами, предназначенными для создания журнала аудита .

Доказательства компьютерной криминалистики обычно подчиняются тем же правилам и методам, что и другие цифровые доказательства. Он использовался в ряде громких дел и становится широко признанным надежным в судебных системах США и Европы.

Обзор

В начале 1980-х годов персональные компьютеры стали более доступными для потребителей, что привело к их более широкому использованию в преступной деятельности (например, для совершения мошенничества ). В то же время было выявлено несколько новых «компьютерных преступлений» (например, взлом ). Дисциплина компьютерной криминалистики возникла в это время как метод восстановления и исследования цифровых доказательств для использования в суде. С тех пор компьютерные преступления и компьютерной связанных с этим преступлений выросло, и подскочил на 67% в период с 2002 по 2003 год [2] В настоящее время она используется для исследования широкого спектра преступлений, в том числе детской порнографии , мошенничество, шпионаж , киберпреследования, убийство и изнасилование. Дисциплина также используется в гражданском судопроизводстве как форма сбора информации (например, Электронное раскрытие ).

Криминалистические методы и экспертные знания используются для объяснения текущего состояния цифрового артефакта , такого как компьютерная система, носитель данных (например, жесткий диск или CD-ROM ) или электронный документ (например, сообщение электронной почты или изображение JPEG). [3] Объем судебно-медицинской экспертизы может варьироваться от простого поиска информации до реконструкции серии событий. В книге 2002 года « Компьютерная криминалистика» авторы Круз и Хайзер определяют компьютерную криминалистику как «сохранение, идентификацию, извлечение, документирование и интерпретацию компьютерных данных». [4]Далее они описывают эту дисциплину как «скорее искусство, чем науку», указывая на то, что методология судебной экспертизы опирается на гибкость и обширные знания в предметной области. Однако, хотя для извлечения доказательств с данного компьютера можно использовать несколько методов, стратегии, используемые правоохранительными органами, довольно жесткие и не обладают гибкостью, присущей гражданскому миру. [5]

Виды компьютерно-технической экспертизы

Виды компьютерно-технической экспертизы:

  • Аппаратно-компьютерная экспертиза;
  • Программно-компьютерная экспертиза
  • Компьютерно-сетевая экспертиза;
  • Информационно-компьютерная экспертиза.

Обычно перед экспертом ставятся вопросы:

  • о наличии на исследуемых объектах информации, относящейся к делу (в том числе, в неявном, удаленном, скрытом или зашифрованном виде);
  • о возможности (пригодности) использования исследуемых объектов для определенных целей (например, для доступа в сеть);
  • о действиях, совершенных с использованием объектов;
  • о функциях программ для ЭВМ, в частности, предназначенных для уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации;
  • об идентификации найденных электронных документов, программ для ЭВМ, пользователей компьютера.

Следующие вопросы не должны относиться к данному виду экспертизы, их включение в постановление представляется ошибочным:

  • о принадлежности программ к вредоносным, (определение вредоносности - уголовно-правовая оценка, находящаяся в компетенции правоприменителя);
  • о лицензионности/контрафактности экземпляров программ, записанных на исследуемых объектах;
  • о правомерности действий, произведенных с использованием исследуемых объектов;
  • о стоимости компьютеров, носителей, лицензий на содержащиеся там программы;
  • о переводах найденных текстов, интерфейсов программ, переписки и т. п.

Методы используемые в комьютерной криминалистике

В ходе компьютерных криминалистических расследований используется ряд методов, и много написано о многих методах, используемых, в частности, правоохранительными органами.

Управление на месте преступления [ назад ]

Поскольку технологические расследования преступлений - это лишь часть регулярных уголовных расследований, золотое правило управления местом преступления остается в силе:

"Никогда не трогайте, не меняйте и не изменяйте ничего, пока это не будет задокументировано, идентифицировано, измерено и сфотографировано. . . когда объект или предмет были перемещены, их невозможно вернуть в исходное положение."

конечно, это должно быть перенесено в область информационных технологий. Здесь у нас есть два основных пункта, которые нам нужно держать под контролем:

  • Физическая безопасность: необходимо поддерживать физическую безопасность окружающей среды. После совершения IT-преступления доступ ко всем затронутым устройствам должен строго контролироваться. Это включает как ограничение доступа, так и аудит доступа, например, с помощью подробного журнала.
  • Технологическая область: доступ, возможно, потребуется ограничить путем брандмауэра доступа к затронутым устройствам или ограничения сетевого подключения отдельными способами.
  • Мобильные устройства могут быть предметом ряда других проблем, таких как защита от незаконных радиосоединений и целостность методов сбора доказательств. Подробнее о доверии к сбору доказательств на мобильных устройствах читайте здесь .

Степень контроля, которую необходимо осуществлять вышеупомянутым, сильно зависит от ситуации. В некоторых случаях ограничение доступа к внешней сети может быть неприменимо, в то время как в других ситуациях доступ может быть нелегко контролировать без перемещения затронутых устройств в лабораторию.

Кросс-драйв анализ

Криминалистический метод, который сопоставляет информацию, найденную на нескольких жестких дисках . Процесс, который все еще исследуется, может использоваться для идентификации социальных сетей и обнаружения аномалий . [9] [10]

Живой анализ

Осмотр компьютеров изнутри операционной системы с использованием специальной криминалистической экспертизы или существующих инструментов системного администратора для извлечения улик. Эта практика полезна при работе с шифрованными файловыми системами , например, когда ключи шифрования могут быть собраны, а в некоторых случаях логический том жесткого диска может быть создан (известный как оперативное получение) до выключения компьютера.

Удаленные файлы

Распространенным методом, используемым в компьютерной криминалистике, является восстановление удаленных файлов. Современное программное обеспечение для криминалистики имеет свои собственные инструменты для восстановления или удаления удаленных данных. [11] Большинство операционных систем и файловых систем не всегда стирают данные физических файлов, что позволяет исследователям восстановить их из секторов физического диска . Вырезание файлов включает поиск известных заголовков файлов в образе диска и восстановление удаленных материалов.

Стохастическая криминалистика

Метод, использующий стохастические свойства компьютерной системы для исследования действий, в которых отсутствуют цифровые артефакты. Его основное использование - расследование кражи данных .

Стеганография

Одним из методов, используемых для сокрытия данных, является стеганография, процесс сокрытия данных внутри изображения или цифрового изображения. В качестве примера можно скрыть порнографические изображения детей или другой информации о том , что данный уголовный не хотят обнаружили. Специалисты по компьютерной криминалистике могут бороться с этим, просматривая хэш файла и сравнивая его с исходным изображением (если доступно). Хотя изображение выглядит точно так же, хеш изменяется по мере изменения данных. [12]

Изменчивые данные

Энергозависимые данные - это любые данные, которые хранятся в памяти или существуют в процессе передачи , которые будут потеряны при отключении питания или выключении компьютера. Изменчивые данные хранятся в реестрах, кеш-памяти и оперативной памяти (RAM). Исследование этих непостоянных данных называется «криминалистикой в ​​реальном времени».

При изъятии улик, если машина все еще активна, любая информация, хранящаяся исключительно в ОЗУ, которая не была восстановлена ​​до отключения питания, может быть потеряна. [8] Одним из применений «живого анализа» является восстановление данных RAM (например, с помощью инструмента Microsoft COFEE , WinDD, WindowsSCOPE ) до удаления экспоната. CaptureGUARD Gateway обходит вход в Windows для заблокированных компьютеров, позволяя анализировать и получать физическую память заблокированного компьютера.

ОЗУ можно проанализировать на предмет предшествующего содержимого после потери мощности, потому что электрическому заряду, хранящемуся в ячейках памяти, требуется время, чтобы рассеяться - эффект, используемый атакой « холодной перезагрузки» . Период времени, в течение которого данные могут быть восстановлены, увеличивается из-за низких температур и более высоких напряжений ячеек. Хранение ОЗУ без питания ниже -60 ° C помогает на порядок сохранить остаточные данные, повышая шансы на успешное восстановление. Однако это может оказаться непрактичным во время полевого обследования. [13]

Однако некоторые инструменты, необходимые для извлечения изменчивых данных, требуют, чтобы компьютер находился в лаборатории судебной экспертизы, как для поддержания законной цепочки доказательств, так и для облегчения работы на машине. При необходимости правоохранительные органы применяют методы для перемещения работающего настольного компьютера. К ним относятся манипулятор мыши , который быстро перемещает мышь небольшими движениями и предотвращает случайное переключение компьютера в спящий режим. Обычно источник бесперебойного питания (ИБП) обеспечивает питание во время транспортировки.

Однако один из самых простых способов сбора данных - это фактическое сохранение данных RAM на диск. Различные файловые системы, которые имеют функции ведения журнала, такие как NTFS и ReiserFS, хранят большую часть данных RAM на основном носителе во время работы, и эти файлы подкачки могут быть повторно собраны для восстановления того, что было в RAM в то время. [14]

Инструменты анализа

Для компьютерной криминалистики существует ряд инструментов с открытым исходным кодом и коммерческих инструментов. Типичный судебно-медицинский анализ включает в себя ручную проверку материалов на носителе, проверку реестра Windows на предмет подозрительной информации, обнаружение и взлом паролей, поиск по ключевым словам для тем, связанных с преступлением, и извлечение электронной почты и изображений для проверки. [7] Autopsy (программное обеспечение) , COFEE , EnCase - вот некоторые из инструментов, используемых в цифровой криминалистике.

В соответствии с действующим законодательством РФ экспертиза назначается, если при проведении судебных действий возникает необходимость решения вопросов, связанных с областями специальных знаний в науке, технике, искусстве или ремесле. В нашем случае эти специальные знания могут содержаться, например, в таких отраслях научного знания, как программирование, системная электроника, вычислительная техника, системотехника и т.д.

Необходимость назначения определяется судом. При этом учитывается, что эксперт вправе запросить, помимо представленных объектов, материалы дела, относящиеся к предмету экспертизы, и заявить ходатайство о предоставлении ему необходимых дополнительных материалов. Для рассматриваемого класса экспертиз это особенно важно, поскольку корректное проведение исследования компьютерных средств и систем требует всестороннего исследования сопутствующей технической документации, использования определенного, применяемого именно в конкретной ситуации вспомогательного программно-технического обеспечения. Часто встречаются случаи, когда при ответе на поставленные вопросы эксперту требуется индивидуально-определенный аппаратно-программный комплекс. Это характерно для тех ситуаций, когда экспертиза проводится по делам, связанным с изготовлением фальшивых денег (ценных бумаг), с нарушениями авторских и смежных прав.

Хотелось бы отметить, что привлечение экспертов к участию в формулировании вопросов, ставящихся на экспертное исследование, на сегодняшний день является необходимой реальностью, что объясняется как быстрым развитием самой области информационных технологий, так и отсутствием устоявшихся представлений о возможностях компьютерно-технической экспертизы.

Существует несколько вопросов, которые целесообразно было бы обсудить суду со специалистом перед назначением компьютерно-технической экспертизы.

I. Конкретизация рода (вида) экспертизы, указываемой в определении суда. Как показывает экспертная практика, при назначении компьютерно-технической экспертизы суды в настоящее время испытывают серьезные затруднения с определением класса и рода назначаемых экспертиз. При проведении исследований определений суда о назначении рассматриваемой экспертизы было установлено, что в этом вопросе наблюдается большая путаница. Она, к сожалению, приводит к тому, что экспертиза назначается в государственные экспертные учреждения, не имеющие специалистов в нужной области, или частным экспертам, не обладающим необходимой квалификацией. Не учитывается необходимость производства комплексных экспертиз, ставятся вопросы, не имеющие отношения к области специальных знаний компьютерно-технической экспертизы.

Активное внедрение современных информационных технологий во все сферы жизнедеятельности человека все чаще объективно ставит вопрос о необходимости назначения и производства комплексных компьютерно-технических экспертиз и иных родов и видов судебной экспертизы. Рассмотрим наиболее актуальные области специальных знаний, в комплексе с которыми сегодня должна назначаться компьютерно-техническая экспертиза .

Судебная финансово-экономическая экспертиза назначается для решения задач, касающихся финансовой деятельности организаций, определения их финансового состояния, соблюдения законодательных актов, регулирующих их финансовые отношения с государственным бюджетом (определения размера неправомерно полученных доходов в результате несоблюдения правил совершения финансовых операций, скрытой от государства прибыли, необоснованных отчислений в денежные фонды и т.д.), выполнения договорных обязательств, распределения и выплаты дивидендов, операций с ценными бумагами, инвестициями и т.д.

При производстве судебной финансово-экономической экспертизы информация о действительном состоянии исследуемых объектов зачастую имеется лишь в компьютере в виде специализированных программных комплексов, информации, в них содержащейся. Поскольку разнообразие и сложность таких систем растет очень быстро, то уже сегодня практически невозможно уследить за появлением на рынке новых продуктов этой направленности. Поэтому для получения объективной информации зачастую необходимо не просто уметь пользоваться тем или иным пакетом прикладных программ, но и разбираться в построении, согласованности, работе всей системы в целом, а для этого необходимы знания экспертов, специализирующихся в области компьютерно-технической экспертизы.

Примером такого комплексного экспертного исследования может служить несудебная экспертиза, проводимая по частному запросу, в результате которой было установлено, что ошибки, допущенные при ведении финансового учета торговой компании, являются не халатностью работников, а результатом несогласованной деятельности программных компонентов компьютерной автоматизированной системы, функционирующей на предприятии. В результате фирмой-заказчиком был предъявлен иск фирме, поставляющей и устанавливающей эту систему.

Заметим, что если осуществляется исследование большой распределенной системы, работающей в крупной компании, при решении вопроса о работоспособности установленной системы зачастую требуется проведение не только судебной программно-компьютерной экспертизы, как это было в рассмотренном выше случае, но и судебной аппаратно-компьютерной экспертизы. Это необходимо, поскольку в ряде случаев работоспособность системы зависит и от исправности, правильного подбора и установки аппаратно-компьютерного комплекса.

В процессе производства судебно-бухгалтерской экспертизы анализируется производственная и финансово-хозяйственная деятельность предприятий с различными формами собственности, которые допустили убытки, потери, присвоения товарно-материальных ценностей, бесхозяйственность, и определяются суммы материальной ответственности за причиненный материальный ущерб.

Использование "двойной" бухгалтерии становится типичным правонарушением, устанавливаемым при изучении порядка ведения финансовых дел на предприятиях, в учреждениях и банках. Многообразные бухгалтерские компьютерные системы призваны обеспечивать автоматизацию разноплановых задач этой сферы. В общем случае следы хозяйственных операций, сопоставление фактически совершенных операций с данными, отраженными в учете и отчетности, устанавливаются судебно-бухгалтерской экспертизой. При этом значительная часть доказательств может быть получена путем исследования информационно-программных и аппаратных средств, обеспечивающих изучаемую бухгалтерскую технологию. В таких делах целесообразно назначение комплексной судебной компьютерно-технической и судебно-бухгалтерской экспертизы.

Судебно-техническая экспертиза документов производится в целях установления способа изготовления или подделки документа (договора, завещания, денежного билета, ценной бумаги и пр.) и использованных для этого технических средств, восстановления содержания поврежденных документов, исследования материалов документов (бумаги, красителей и пр.).

В задачи компьютерно-технической экспертизы таких комплексных многосоставных экспертных исследований входит установление возможности производства бухгалтерской документации, представленной на бумажных носителях, при помощи конкретного программного, аппаратного обеспечения и конкретного набора данных, представленных в электронном виде.

Судебная товароведческая экспертиза назначается в случаях, когда необходимо изучить готовые промышленные и продовольственные товары (изделия), их потребительские свойства, тару и упаковку, условия хранения, механизмы возникновения дефектов.

Если при рассмотрении судом гражданских дел и арбитражных споров речь заходит о стоимости, сопутствующей технической документации, носителе информации, товарной принадлежности, производителе аппаратных и программных продуктов, то налицо необходимость назначения комплексной товароведческой и судебной программно-компьютерной экспертизы. В сущности этого исследования лежит интеграция специальных знаний в технологии производства товара и компьютерных технологий. Эксперты изучают тут не только сами товары - информационно-программные и аппаратные компьютерные средства, но и их потребительские свойства, факторы, оказывающие влияние на потребительскую стоимость, основные и вспомогательные материалы, из которых изготовлены носители информации, тара и упаковка.

2. Формулирование вопросов эксперту. Как показывает практика, решение этого вопроса всегда вызывает много споров между судом и экспертами. Чаще всего основанием для них служит различная трактовка терминов и процессов, лежащих в основе того или иного юридического факта. Так, для выяснения обстоятельств нарушения авторского или смежного права суду необходимо выяснить, являются ли одним и тем же продуктом программы, представленные в объектах различного вида (например, исполняемый модуль и листинг). В этой ситуации задается вопрос, является ли одна программа копией (переработкой) другой. Однако в отношении данных объектов он неправомерен, поскольку в области информационных технологий термин "копирование" и как производный от него термин "копия" имеют иное значение - побайтовосовпадающая с исходной последовательность данных.

Другим примером может служить вопрос о возможности выставления ложных счетов-фактур при использовании бухгалтерского пакета программ, используемого на предприятии. Решение подобных вопросов требует как минимум проведения комплексной судебной программно-компьютерной и судебно-бухгалтерской экспертизы.

Еще одним примером может служить постановка вопроса об установлении контрафактности продукта. Здесь надо отметить, что вопросы, которые ставятся на разрешение эксперта, не должны выходить за пределы его специальных знаний, а в приведенном примере вопрос прямо можно квалифицировать как содержащий оценку юридических фактов. Эксперт, специализирующийся в области исследования компьютерных средств, в состоянии дать заключение лишь об обнаружении признаков контрафактности, но не о нарушении авторских и смежных прав. Для того чтобы избежать возникновения подобных ситуаций, лучше всего привлекать экспертов в качестве специалистов на стадии формулирования вопросов в постановлении (определении) о назначении компьютерно-технической экспертизы.

3. Подготовка материалов для экспертизы, в том числе и подбор образцов для сравнительного исследования. Для полнообъемного и результативного проведения компьютерно-технической экспертизы необходимым является корректная подготовка материалов и подбор образцов для сравнения, представляемых на экспертное исследование. Поэтому необходимы рекомендации относительно объектов каждого рода данной экспертизы.

Представление объектов для проведения судебной аппаратно-компьютерной экспертизы в большинстве своем не представляет особых затруднений. Основополагающим требованием здесь является исключение возможности доступа к составляющим аппаратного средства и изменения информации, а также сохранность всех комплектующих деталей компьютерного устройства. Исключением являются те случаи, когда исследовать предстоит аппаратный комплекс, включающий ряд стационарно установленных компьютерных устройств, функционирующих в нераздельной взаимосвязи. Например, автоматизированное рабочее место "фотомастерская", или "аудиостудия". В этих случаях необходимо исследовать всю совокупность аппаратных средств, поскольку лишь при исследовании всего комплекса в совокупности представляется возможным решить поставленные перед экспертом задачи. Например, установить причины неисправности системы, установить возможность взаимодействия ее составных частей, ее функциональные возможности.

Еще одной немаловажной особенностью, касающейся представления на исследование объектов судебной аппаратно-компьютерной экспертизы, является то, что эксперту для полного и быстрого ответа на поставленные вопросы очень часто требуется помимо самого аппаратного средства также и сопровождающая его документация.

Сложнее обстоит дело с объектами судебной информационно-компьютерной экспертизы. Для ее проведения объекты должны быть доставлены в виде, исключающем возможность внесения изменений в информацию в момент доставки. Для этого предпочтительно, чтобы объекты были упакованы и опечатаны по местам вскрытия упаковки.

Информация, подлежащая исследованию в процессе проведения экспертизы, может содержаться как на внешнем, так и на внутреннем носителе информации. Под внешним носителем информации понимается носитель, который можно изъять из работающего компьютера без остановки его работы. Внутренний носитель информации - это такой носитель, который является частью конструкции компьютерной системы, и для его изъятия необходима полная остановка компьютера. В зависимости от вида носителя информации различается вид представления объектов. Если в первом случае достаточно представить сам носитель информации и обеспечить невозможность доступа к его содержимому до начала экспертизы, то во втором случае очень часто представление только самого носителя без компьютерной системы, частью которой он является, может привести к потере значимой для дела информации.

Так, например, на исследование поступил системный компьютерный блок, и была поставлена задача сделать доступной для эксперта-бухгалтера финансовую информацию по предприятию. В результате проведенного исследования было установлено, что внутренний носитель информации системы не является для нее "родным", т.е. имела место подмена. Если бы на исследование был доставлен только сам носитель информации, то установить данный факт не представилось бы возможным.

Во многом сходная ситуация складывается и с объектами судебной программно-компьютерной экспертизы. Как уже было упомянуто ранее, ими являются: алгоритмы программ, исходные тексты программ, представленные как на электронных, так и на бумажных носителях, и, наконец, исполняемые модули и пакеты программ. Однако сложность представления данных заключается в том, что эти объекты могут находиться в нескольких ипостасях, а именно:

- тексты и алгоритмы программ на бумажных носителях;

- алгоритмы и тексты программ - в электронном виде (инсталлированные и неинсталлированные программы).

В случае представления объектов на бумажных носителях рассматриваемый вопрос решается так же, как в случае представления объектов на судебно-техническое исследование документов.

Совсем другая картина, когда объекты представляются в электронном виде. Простым случаем является представление программного модуля или пакета программы на внешнем электронном носителе. Это возможно тогда, когда программный продукт находился на нем изначально или когда его можно перенести с внутреннего на внешний носитель методом простого копирования. Такие действия чаще всего можно производить с неинсталлированными программами, которые представляют собой набор файлов1, находящихся на одном или нескольких однотипных носителях информации2, а также с дистрибутивами программных продуктов, находящихся на внутреннем носителе, текстами программ и алгоритмами.

Гораздо сложнее дело обстоит с инсталлированными (установленными для функционирования в конкретной информационно-компьютерной системе) программами. В этой ситуации ни в коем случае нельзя осуществлять перенос программы простым копированием на внешний для системы носитель, поскольку возможна потеря большого блока информации, необходимой для нормального функционирования информационно-программного продукта. В ряде случаев важно, в какой системе установлена программа, поскольку возможна привязка работы программного продукта к аппаратному обеспечению. Поэтому при назначении экспертизы программных средств лучше представлять либо полностью систему, либо созданный специалистом клон носителя информации с описанием всех аппаратных средств, используемых системой.

Необходимо отметить характерную особенность представления программных продуктов на экспертное исследование для решения задач, связанных с нарушением авторских и смежных прав, при установлении авторства программного продукта. В этих случаях практически всегда требуются образцы для сравнительного исследования. Если при решении первой группы задач вопрос о представлении образцов решается просто - посредством отправления официального запроса через суд с просьбой представить лицензионный (авторский) программный продукт - аналог исследуемого, то для второй группы необходимо представление дополнительных материалов. Такими материалами могут быть, например, образцы других программ, написанных спорящими сторонами.

Особое внимание хотелось бы уделить рассмотрению вопроса о представлении объектов в случае проведения судебной компьютерно-сетевой экспертизы. Важным здесь является то обстоятельство, что объектом экспертизы будет вся совокупность рассмотренных ранее объектов, соединенных в единую систему. Для получения наиболее полных и достоверных результатов необходимо исследовать компьютерную сеть целиком и поэтому наиболее целесообразным будет проводить экспертизу на "месте", т.е. там, где данная компьютерная сеть установлена. Именно в этих условиях возможна всесторонняя проверка работоспособности системы и оценка выполняемых ею функций. Перенос информационной и программной составляющих на отдельные носители не является в этом случае целесообразным. Необходимая для проведения исследования симуляция работы сети в условиях экспертного учреждения может не дать нужных результатов или оказаться невыполнимой из-за отсутствия именно такой аппаратной базы, на которую была рассчитана система, со всеми ее характерными особенностями настройки и функционирования. Перенос всех составляющих может оказаться невыполнимым, например, из-за большого количества компонентов. При принятии решения о месте проведения экспертизы следует также учитывать, что подобный перенос системы в целом может надолго остановить работу всего предприятия.

Хотелось бы отметить, что при описании объектов компьютерно-технической экспертизы не был пока упомянут отдельно такой объект, как документация, сопровождающая программные и аппаратные компьютерные средства. Хотя данный объект не является основным для рассматриваемого класса судебных экспертиз, его представление для последующего изучения совместно с основными объектами (программными, аппаратными средствами) в большинстве случаев необходимо. Изучение сопутствующей документации дает возможность эксперту сделать вывод о том, насколько корректно используется тот или иной компонент системы, совпадают ли его заявленные функции с реальными, правильно и корректно ли были сделаны настройки. Это впоследствии помогает дать наиболее полные и обоснованные ответы на поставленные вопросы.

4. Особенности назначения комплексной и дополнительной компьютерно-технической экспертизы. Как уже упоминалось, комплексная экспертиза - это исследование, проводимое специалистами разных отраслей знаний для решения поставленных перед экспертом вопросов, смежных для различных родов (видов) судебных экспертиз. Обычно необходимость комплексной экспертизы вызывается невозможностью разрешения задач экспертизы на основе одной отрасли знаний. При назначении комплексной экспертизы, включающей судебную программно-компьютерную экспертизу, зачастую встает вопрос о се производстве одним экспертом, одинаково хорошо владеющим сразу несколькими знаниями в области науки и техники. Практика показывает, что сегодня эксперты, занимающиеся компьютерно-технической экспертизой (а таковых пока немного), часто владеют всеми ее родами. Поэтому данную экспертизу как комплексную экспертизу на сегодняшний день может квалифицированно провести один эксперт. В ряде случаев подобное проведение экспертизы является наиболее приоритетным. Примером этому может служить обследование аппаратно-программного комплекса ЭВМ на предмет возможности выполнения с его помощью специфических (заданных) функций.

В последние время в государственных экспертных учреждениях стали появляться эксперты, обладающие знаниями не только в области программирования и информационных технологий, но и в области товароведения. Они могут проводить экспертизы по этим двум направлениям. Есть такие эксперты, например, в РФЦСЭ при Минюсте России. Однако, поскольку законодатель утверждает, что комплексная экспертиза всегда должна быть комиссионной1, целесообразно при назначении экспертизы не выделять роды, а назначать моноэкспертизу и указывать в определении суда о необходимости назначения компьютерно-технической экспертизы. Тем более что, поскольку эта экспертиза является новой, ее классификация еще не до конца устоялась. Напомним к тому же, что согласно ч. 1 ст. 84 АПК комиссионный характер экспертизы определяется арбитражным судом. Но, поскольку комплексная экспертиза проводится не менее чем двумя экспертами разных специальностей (ст. 85 АПК), она также обязательно является комиссионной, т.е. может быть назначена только судом. Это служит еще одним немаловажным аргументом в пользу нашей рекомендации о назначении моноэкспертизы.

Дополнительная экспертиза назначается при недостаточной ясности или неполноте ранее данного заключения, что может быть результатом сужения экспертом объема задания, исследования не всех свойств и признаков объектов, неполноты рассмотрения некоторых вопросов. Примером этому может служить ситуация, когда при решении вопроса о наличии признаков контрафактности программного продукта экспертами исследуются только внешние признаки, охватывающие описание носителя информации и файловый состав, и не исследуются ее функциональные характеристики, свойства интерфейсов, а также поступившая вместе с ней техническая документация. Неясность также может выражаться в том, что по данному заключению нельзя судить о конкретных фактах, установить, являются ли выводы положительными или отрицательными, категорическими или вероятными. Например, при решении вопроса о том, переустанавливалось ли системное программное обеспечение компьютерной системы, экспертом дан ответ: "Системное программное обеспечение могло быть переустановлено в данной компьютерной системе".

Дополнительная экспертиза также назначается в тех случаях, когда после экспертного исследования возникают новые вопросы, связанные с исследованием того же объекта, которые ранее не ставились перед экспертом. Так, если после исследования программного обеспечения подвергшейся атаке компьютерной системы устанавливается, что в момент обнаружения происшествия ЭВМ не была подключена к сети, назначается повторная судебная программно-компьютерная экспертиза . Об этом говорит сайт https://intellect.icu . На ее разрешение ставится вопрос о поиске возможных недокументированных функций программного обеспечения, установленных на активизацию и выполнение заданного набора действий в конкретный промежуток времени. Именно последнее основание назначения такой экспертизы чаще всего встречается в практике. В суде дополнительная экспертиза назначается лишь после дачи экспертом заключения в стадии судебного разбирательства дела и если неясность или неполноту заключения не представилось возможным устранить путем допроса эксперта1.

Дополнительная экспертиза всегда является экспертизой того же рода, вида и подвида, что и первичная. От новой экспертизы дополнительная отличается тем, что решаемые ею вопросы связаны с ранее решенными и эксперту не нужно заново проводить полное исследование программного обеспечения - он может использовать некоторые результаты ранее проведенных. Поэтому целесообразно по возможности поручать производство дополнительной экспертизы тому же эксперту (экспертам). Если же вновь назначенная экспертиза никак не связана с предыдущей, то она будет не дополнительной, а новой, самостоятельной экспертизой.

Основанием для назначения повторной компьютерно-технической экспертизы не может являться недовольство суда вероятной формой выводов, противоречие другим доказательствам, полученным в результате судебного разбирательства.

Использоание прецендентов как доказательство

В суде к доказательствам компьютерной криминалистики применяются обычные требования для цифровых доказательств . Это требует, чтобы информация была достоверной, надежно полученной и допустимой. [6] В разных странах есть определенные руководящие принципы и методы восстановления доказательств. В Соединенном Королевстве экзаменаторы часто следуют рекомендациям Ассоциации старших офицеров полиции, которые помогают обеспечить подлинность и целостность доказательств. Хотя эти принципы являются добровольными, они широко применяются в британских судах.

Компьютерная криминалистика использовалась в качестве доказательства в уголовном праве с середины 1980-х годов, некоторые известные примеры включают: [7]

  • BTK Killer: Деннис Рейдер был осужден за серию серийных убийств, произошедших в течение шестнадцати лет. Ближе к концу этого периода Рейдер отправил письма в полицию на дискете. Метаданные в документах указывают на причастность автора по имени «Деннис» из «Лютеранской церкви Христа»; эти доказательства помогли привести к аресту Рейдера.
  • Джозеф Э. Дункан III : Электронная таблица, извлеченная из компьютера Дункана, содержала доказательства, показывающие, что он планировал свои преступления. Прокуроры использовали это, чтобы продемонстрировать преднамеренность и добиться смертной казни . [8]
  • Шэрон Лопатка : Сотни электронных писем на компьютере Лопатки приводят следователей к ее убийце Роберту Глассу. [7]
  • Corcoran Group : Это дело подтвердило обязанности сторон по сохранению цифровых доказательств, когда судебное разбирательство началось или обоснованно ожидается. Жесткие диски были проанализированы экспертом по компьютерной криминалистике, который не смог найти соответствующие электронные письма, которые должны были быть у Ответчиков. Хотя эксперт не обнаружил доказательств удаления на жестких дисках, выяснилось, что ответчики были признаны умышленно уничтожающими электронные письма, вводили в заблуждение и не раскрывали существенные факты истцам и суду.
  • Доктор Конрад Мюррей : Доктор Конрад Мюррей, врач покойного Майкла Джексона , был частично признан виновным по цифровым уликам на своем компьютере. Эти доказательства включали медицинскую документацию, показывающую смертельное количество

Сертификаты

Доступно несколько сертификатов компьютерной криминалистики, таких как сертифицированный специалист по компьютерной экспертизе ISFCE, специалист по расследованию цифровой криминалистики (DFIP) и сертифицированный специалист по компьютерной криминалистике IACRB.

Верхний поставщик независимой сертификации (особенно в ЕС) считается [ CCFP - Certified Professional Cyber Forensics [1] ]. [15]

Другие, о которых стоит упомянуть для США или Азиатско-Тихоокеанского региона: Международная ассоциация специалистов по компьютерным расследованиям) предлагает программу Certified Computer Examiner .

Международное общество судебных компьютерных экспертов предлагает программу « Сертифицированный компьютерный эксперт ».

Азиатская школа киберправов предлагает сертификаты международного уровня в области анализа цифровых доказательств и цифровой судебной экспертизы. Эти курсы доступны в режиме онлайн и в классе.

Многие компании, занимающиеся разработкой коммерческого программного обеспечения для судебной экспертизы, теперь также предлагают проприетарные сертификаты на свои продукты. Например, Guidance Software, предлагающее сертификацию (EnCE) для своего инструмента EnCase, сертификацию предложения AccessData (ACE) для своего инструмента FTK, PassMark Software, предлагающее сертификацию для своего инструмента OSForensics, и сертификацию X-Ways Software Technology (X-PERT) для их программное обеспечение, X-Ways Forensics. [16

Используемые программы

  • AccessData Password Recovery Toolkit (PRTK)
  • AVSearch
  • DeFacto
  • ElcomSoft Password Recovery Bundle
  • EnCase
  • Evidence Center Ultimate
  • Forensic Assistant
  • Forensic Toolkit (FTK)
  • Paraben Forensic Replicator
  • MiTeC Windows Registry Recovery
  • R-Studio Technician License
  • Tableau Imager (TIM)
  • Ultimate Forensics
  • Cyber 2.0

Операционные системы, ориентированные на криминалистику

На основе Debian

  • Kali Linux - это производный от Debian дистрибутив Linux, разработанный для цифровой криминалистики и тестирования на проникновение, ранее известный как BackTrack . [2]
  • Parrot Security OS - это облачный дистрибутив GNU / Linux, основанный на Debian и предназначенный для выполнения тестов безопасности и проникновения, проведения криминалистического анализа или действий в анонимности. Он использует среду рабочего стола MATE, ядро ​​Linux 4.6 или выше и доступен в виде живого легкого устанавливаемого ISO-образа для 32-разрядных, 64-разрядных и ARM-процессоров с функциями судебной экспертизы при загрузке, оптимизацией для программистов и новыми настраиваемыми инструментами тестирования на проникновение. [ необходима цитата ]

На основе Ubuntu

  • CAINE Linux - это live CD / DVD на основе Ubuntu. CAINE расшифровывается как Computer Aided Investigative Environment.

На основе Gentoo

  • Pentoo Penetration Testing Overlay и Livecd - это live CD и Live USB, предназначенные для тестирования на проникновение и оценки безопасности. Pentoo, основанный на Gentoo Linux, поставляется как 32-разрядный, так и 64-разрядный устанавливаемый live CD. Pentoo также доступен как наложение для существующей установки Gentoo. Он включает в себя пропатченные драйверы Wi-Fi с внедрением пакетов, программное обеспечение для взлома GPGPU и множество инструментов для тестирования на проникновение и оценки безопасности. Ядро Pentoo включает grsecurity и усиление PAX, а также дополнительные патчи - с двоичными файлами, скомпилированными из усиленной цепочки инструментов с последними ночными версиями некоторых доступных инструментов. [3]

Компьютерная криминалистика

название Платформа Лицензия Версия на 2021 г Описание
Mobile Device Investigator Окна , проприетарный 2.1 Инструмент цифровой криминалистики и сортировки смартфонов iOS и Android от ADF_Solutions
Autopsy Windows , macOS , Linux GPL 4.11 Платформа цифровой криминалистики и графический интерфейс для The Sleuth Kit
Belkasoft Evidence Center Windows проприетарный 9.9 Пакет для цифровой криминалистики от Belkasoft, который поддерживает компьютерную и мобильную криминалистику в одном инструменте
COFEE Windows проприетарный н / д Набор инструментов для Windows, разработанный Microsoft
Digital Forensics Framework Unix-подобный / Windows GPL 1.3 Платформа и пользовательские интерфейсы, посвященные цифровой криминалистике
Elcomsoft Premium Forensic Bundle Windows, macOS проприетарный 1435 Набор инструментов для зашифрованных систем и расшифровки данных и восстановления пароля
EnCase Windows проприетарный 8.06.1 Пакет цифровой криминалистики, созданный Guidance Software
Forensic Explorer Windows проприетарный 4.4.8.7926 Пакет цифровой криминалистики, созданный GetData
FTK Windows проприетарный 6.0.1 Многоцелевой инструмент FTK - это упомянутая судом платформа для цифровых расследований, созданная для обеспечения скорости, стабильности и простоты использования.
IPED Unix-подобный / Windows GPL 3.17.2 Инструмент цифровой криминалистики, созданный Федеральной полицией Бразилии
ISEEK Windows проприетарный 1 Инструмент гибридной криминалистики, работающий только в памяти - разработан для больших сетевых сред
IsoBuster Windows проприетарный 4.1 Незаменимый легкий инструмент для проверки носителей данных любого типа, поддерживающий широкий спектр файловых систем с расширенными функциями экспорта.
Нидерландский институт судебной экспертизы / Xiraf / HANSKEN н / д проприетарный н / д Компьютерно-криминалистический онлайн-сервис.
Open Computer Forensics Architecture Linux LGPL / GPL 2.3.0 Фреймворк компьютерной криминалистики для среды CF-Lab
OSForensics Windows проприетарный 3.3 Универсальный судебно-медицинский инструмент
PTK Forensics ЛАМПА проприетарный 2.0 Графический интерфейс для The Sleuth Kit
Инструментарий SANS Investigative Forensics Toolkit - SIFT Ubuntu 2.1 Многоцелевая криминалистическая операционная система
SPEKTOR Forensic Intelligence Unix-подобный проприетарный 6.x Простой в использовании, всеобъемлющий инструмент судебной экспертизы, используемый во всем мире LE / военными / агентствами / корпорациями, - включает быстрое получение изображений и полностью автоматизированный анализ.
The Coroner's Toolkit Unix-подобный Общественная лицензия IBM 1.19 Набор программ для анализа Unix
The Sleuth Kit Unix-подобный / Windows IPL , CPL , GPL 4.1.2 Библиотека инструментов для Unix и Windows
Windows To Go н / д проприетарный н / д Загрузочная операционная система
X-Ways Forensics Windows проприетарный н / д Поддерживает изображения и кучу объемов. А также анализ памяти и барана

Криминалистическая экспертиза памяти

Инструменты судебной экспертизы памяти используются для получения или анализа энергозависимой памяти (RAM) компьютера. Они часто используются в ситуациях реагирования на инциденты, чтобы сохранить в памяти доказательства, которые будут потеряны при выключении системы, и для быстрого обнаружения скрытых вредоносных программ путем непосредственного исследования операционной системы и другого запущенного программного обеспечения в памяти.

название Поставщик или спонсор Платформа Лицензия
Belkasoft Live RAM Capturer Belkasoft Windows свободно
Volatility Volatile Systems Windows и Linux бесплатно (GPL)
WindowsSCOPE BlueRISC Windows проприетарный

Криминалистика мобильных устройств [ править ]

Инструменты мобильной криминалистики, как правило, состоят из аппаратного и программного компонентов. Мобильные телефоны поставляются с разнообразным набором разъемов, аппаратные устройства поддерживают несколько различных кабелей и выполняют ту же роль, что и блокираторы записи в компьютерных устройствах.

название Платформа Лицензия Версия Описание
MicroSystemation XRY / XACT Windows проприетарный Аппаратно-программный комплекс, специализируется на удаленных данных

Криминалистика программного обеспечения

Судебная экспертиза программного обеспечения - это наука об анализе исходного кода программного обеспечения или двоичного кода для определения факта нарушения прав интеллектуальной собственности или кражи. Это центральное место в судебных процессах, судебных процессах и урегулированиях, когда компании спорят по вопросам, связанным с патентами на программное обеспечение, авторскими правами и коммерческой тайной. Инструменты судебной экспертизы программного обеспечения могут сравнивать код, чтобы определить корреляцию, показатель, который можно использовать для руководства эксперта по криминалистике программного обеспечения.

Другое [ править ]

название Платформа Лицензия Версия Описание
DECAF Windows свободно н / д Инструмент, который автоматически выполняет набор определенных пользователем действий при обнаружении инструмента Microsoft COFEE.
Evidence Eliminator Windows проприетарный 6,03 Программное обеспечение для защиты от криминалистики утверждает, что безопасно удаляет файлы
HashKeeper Windows свободно н / д Приложение базы данных для хранения хэш-подписей файлов
MailXaminer Windows Perpetual 4.9.0 Специализированный инструмент электронной почты

В суде к доказательствам компьютерной криминалистики применяются обычные требования для цифровых доказательств . Это требует, чтобы информация была достоверной, надежно полученной и допустимой. [6] В разных странах есть определенные руководящие принципы и методы восстановления доказательств. В Соединенном Королевстве экзаменаторы часто следуют рекомендациям Ассоциации старших офицеров полиции, которые помогают обеспечить подлинность и целостность доказательств. Хотя эти принципы являются добровольными, они широко применяются в британских судах.

Компьютерная криминалистика использовалась в качестве доказательства в уголовном праве с середины 1980-х годов, некоторые известные примеры включают: [7]

  • BTK Killer: Деннис Рейдер был осужден за серию серийных убийств, произошедших в течение шестнадцати лет. Ближе к концу этого периода Рейдер отправил письма в полицию на дискете. Метаданные в документах указывают на причастность автора по имени «Деннис» из «Лютеранской церкви Христа»; эти доказательства помогли привести к аресту Рейдера.
  • Джозеф Э. Дункан III : Электронная таблица, извлеченная из компьютера Дункана, содержала доказательства, показывающие, что он планировал свои преступления. Прокуроры использовали это, чтобы продемонстрировать преднамеренность и добиться смертной казни . [8]
  • Шэрон Лопатка : Сотни электронных писем на компьютере Лопатки приводят следователей к ее убийце Роберту Глассу. [7]
  • Corcoran Group : Это дело подтвердило обязанности сторон по сохранению цифровых доказательств, когда судебное разбирательство началось или обоснованно ожидается. Жесткие диски были проанализированы экспертом по компьютерной криминалистике, который не смог найти соответствующие электронные письма, которые должны были быть у Ответчиков. Хотя эксперт не обнаружил доказательств удаления на жестких дисках, выяснилось, что ответчики были признаны умышленно уничтожающими электронные письма, вводили в заблуждение и не раскрывали существенные факты истцам и суду.
  • Доктор Конрад Мюррей : Доктор Конрад Мюррей, врач покойного Майкла Джексона , был частично признан виновным по цифровым уликам на своем компьютере. Эти доказательства включали медицинскую документацию, показывающую смертельное количество

Допрос подозреваемого или потерпевшего


Допрос в контексте расследования информационной безопасности может происходить в двух разных ситуациях. Вы можете либо допросить потенциального преступника, в дальнейшем именуемого «подозреваемый», либо допросить жертву для получения дополнительной информации. Очевидно, что обе эти ситуации требуют отдельного подхода.

Хорошо известной техникой допроса, часто используемой в фильмах и телесериалах, является метод Рейда. Эта техника часто включает использование лжи («у нас есть доказательства, что вы были виновником!»), Чтобы убедить субъекта признать свою вину. Несмотря на то, что этот метод эффективен, его часто критикуют за получение ложных признаний.

FAINT - это еще один метод, широко используемый во время судебных расследований и хорошо принятый в технологической судебной индустрии. Это сокращение от техник судебно-оценочного интервью и комплексного допроса, в которых испытуемому предлагается тест из 30 довольно общих вопросов. Затем он использует конкретные подсказки, которые можно обнаружить в том, как испытуемый отвечает на эти вопросы, чтобы оценить обоснованность его утверждений. Фактические виновники, скорее всего, минимизируют штраф («его не следует слишком сильно наказывать, это зависит от ситуации»), пытаясь создать дополнительных субъектов («Эллен могла это сделать»). Многое из этого описано в книге Натана Дж. Гордона « Эффективные методы допроса и допроса ».

Невербальный анализ
Было разработано множество методов невербального анализа, чтобы выяснить, говорит ли ваш подозреваемый правду. Большинство из них научно не доказано, и поэтому их следует использовать с осторожностью.

Распространенным методом является SCAN , сокращение от Scientific Content Analysis. Его разработал Авиноам Сапир, израильский полиграфолог. Он заключается в том, чтобы дать возможность испытуемому записать своими словами, что произошло. Затем его сочинения оцениваются по очень специфическим нюансам, таким как использование произношения, связь сюжетных линий, изменения во времени (охватывала ли тема ночь, когда произошел инцидент, в то время как предыдущие и последующие дни освещались очень кратко. цель состоит в том, чтобы оценить достоверность утверждений посредством такого поведенческого анализа.

Другой исследователь, глубоко изучавший эту область, - Пол Экман из Университета Сан-Франциско. Он опубликовал несколько книг по кинезическому допросу, в которых говорится о чтении тонких сигналов, произносимых человеком физически во время изложения своей истории. Многие из этих методов преподаются во всем мире, но их эффективность активно обсуждается.

Антикомпьютерная криминалистика

Анти-компьютерная криминалистика или контр-криминалистика - это методы, используемые для противодействия судебному анализу .

Противодействие судебной медицине только недавно было признано законной областью исследований. В этой области исследований существует множество определений анти-криминалистики. Одно из наиболее широко известных и общепринятых определений исходит от Марка Роджерса из Университета Пердью. Роджерс использует более традиционный подход «на месте преступления» при определении средств противодействия криминалистике. «Попытки отрицательно повлиять на наличие, количество и / или качество доказательств с места преступления или затруднить или сделать невозможным анализ и изучение улик». [1] В одной из самых ранних подробных презентаций анти-криминалистики в журнале Phrack в 2002 году анти-криминалистика определяется как «удаление или сокрытие улик в попытке снизить эффективность судебно-медицинского расследования». [2]

Более сокращенное определение дано Скоттом Беринато в его статье, озаглавленной «Повышение анти-криминалистики». «Анти-криминалистика - это больше, чем технология. Это подход к криминальному взлому, который можно резюмировать следующим образом: сделать так, чтобы им было сложно найти вас, и им было невозможно доказать, что они вас нашли». [3] Ни один из авторов не принимает во внимание использование методов анти-криминалистической экспертизы для обеспечения конфиденциальности личных данных.

Подкатегории

Методы анти-криминалистики часто разбиваются на несколько подкатегорий, чтобы упростить классификацию различных инструментов и методов. Одна из наиболее широко используемых подкатегорий была разработана доктором Маркусом Роджерсом. Он предложил следующие подкатегории: сокрытие данных, стирание артефактов, обфускация следов и атаки на процессы и инструменты CF (компьютерной криминалистики). [1] Нападения непосредственно на инструменты судебной экспертизы также называются контр-криминалистикой. [4]

Цель и задачи

В области цифровой криминалистики ведется много споров о целях и задачах анти-криминалистических методов. Общая концепция [ кто? ] заключается в том, что средства противодействия судебной экспертизе имеют чисто злонамеренный характер по своим намерениям и конструкции. Другие считают, что эти инструменты следует использовать для иллюстрации недостатков в процедурах цифровой судебной экспертизы, цифровых инструментах судебной экспертизы и обучении судебных экспертов. Это мнение было поддержано на конференции Blackhat в 2005 году авторами антисудебных инструментов Джеймсом Фостером и Винни Лю. [5] Они заявили, что, выявив эти проблемы, судебным следователям придется приложить больше усилий, чтобы доказать, что собранные доказательства являются точными и надежными. Они считают, что это приведет к появлению более совершенных инструментов и обучения судебно-медицинских экспертов. Кроме того, контрразведка имеет значение для защиты от шпионажа, поскольку восстановление информации с помощью средств судебной экспертизы служит целям как шпионов, так и следователей.

Скрытие данны

Скрытие данных - это процесс, затрудняющий поиск данных, но при этом сохраняющий их доступность для будущего использования. « Обфускация и шифрование данных дают злоумышленнику возможность ограничить идентификацию и сбор доказательств следователями, одновременно разрешая доступ и использование для себя». [6]

Некоторые из наиболее распространенных форм сокрытия данных включают шифрование, стеганографию и другие различные формы сокрытия данных на основе аппаратного / программного обеспечения. Каждый из различных методов сокрытия данных затрудняет цифровую судебную экспертизу. Когда различные методы сокрытия данных объединяются, они могут сделать успешное судебно-медицинское расследование практически невозможным.

Шифрование

Одним из наиболее часто используемых методов противодействия компьютерной криминалистике является шифрование данных . В своей презентации, посвященной шифрованию и методологиям борьбы с криминалистикой, вице-президент по безопасным вычислениям Пол Генри назвал шифрование «кошмаром для судебно-медицинских экспертов». [7]

Большинство общедоступных программ шифрования позволяют пользователю создавать виртуальные зашифрованные диски, которые можно открыть только с помощью указанного ключа. Благодаря использованию современных алгоритмов шифрования и различных методов шифрования эти программы делают данные практически невозможными для чтения без указанного ключа.

Шифрование на уровне файла шифрует только содержимое файла. Это оставляет незашифрованной важную информацию, такую ​​как имя файла, размер и временные метки. Части содержимого файла можно восстановить из других мест, таких как временные файлы, файл подкачки и удаленные незашифрованные копии.

Большинство программ шифрования могут выполнять ряд дополнительных функций, которые значительно затрудняют проведение цифровой криминалистики. Некоторые из этих функций включают использование ключевого файла , шифрование всего тома и правдоподобное отрицание . Широкая доступность программного обеспечения, содержащего эти функции, поставила цифровую судебную экспертизу в очень невыгодное положение.

Стеганография

Стеганография - это метод, при котором информация или файлы скрываются в другом файле в попытке скрыть данные, оставив их на виду. «Стеганография производит темные данные, которые обычно скрыты внутри светлых данных (например, неощутимый цифровой водяной знак, скрытый внутри цифровой фотографии)». [8] Некоторые эксперты утверждают, что использование методов стеганографии не очень широко распространено, и поэтому о них не следует много думать. Большинство экспертов согласятся с тем, что стеганография может нарушить судебно-медицинский процесс при правильном использовании. [3]

По словам Джеффри Карра, издание Technical Mujahid (выходящее два раза в месяц) за 2007 год подчеркнуло важность использования стеганографической программы под названием «Секреты моджахедов». По словам Карра, программа рекламировалась как дающая пользователю возможность избежать обнаружения текущими программами стеганализа . Это было сделано за счет использования стеганографии в сочетании со сжатием файлов. [9]

Другие формы сокрытия данных

Другие формы сокрытия данных включают использование инструментов и методов для сокрытия данных в различных местах компьютерной системы. Некоторые из этих мест могут включать «память, свободное пространство , скрытые каталоги, плохие блоки , альтернативные потоки данных и (и) скрытые разделы ». [1]

Один из наиболее известных инструментов, который часто используется для сокрытия данных, называется Slacker (часть платформы Metasploit ). [10] Slacker разбивает файл и помещает каждую часть этого файла в свободное пространство других файлов, тем самым скрывая его от программы судебной экспертизы. [8] Другой метод сокрытия данных включает использование сбойных секторов. Чтобы выполнить этот метод, пользователь меняет конкретный сектор с хорошего на плохой, а затем данные помещаются в этот конкретный кластер. Считается, что инструменты судебной экспертизы сочтут эти кластеры плохими и продолжат работу без какой-либо проверки их содержимого. [8]

Удаление артефактов

Методы, используемые при стирании артефактов, предназначены для безвозвратного удаления отдельных файлов или целых файловых систем. Этого можно достичь с помощью различных методов, в том числе утилит для очистки диска, утилит для очистки файлов и методов размагничивания / уничтожения диска. [1]

Утилиты очистки диска

Утилиты очистки диска используют различные методы для перезаписи существующих данных на дисках (см. « Остаточные данные» ). Эффективность утилит для очистки дисков как анти-криминалистических инструментов часто ставится под сомнение, поскольку некоторые считают, что они не полностью эффективны. Эксперты, которые не верят, что утилиты очистки дисков приемлемы для очистки дисков, основывают свое мнение на текущей политике Министерства обороны США, в которой говорится, что единственно приемлемой формой очистки является размагничивание. (См. Национальную программу промышленной безопасности .) Утилиты очистки дисков также подвергаются критике за то, что они оставляют подписи о том, что файловая система была очищена, что в некоторых случаях недопустимо. Некоторые из широко используемых утилит для очистки дисков включают DBAN , srm ,BCWipe Total WipeOut , KillDisk, PC Inspector и CyberScrubs cyberCide. Другой вариант, одобренный NIST и NSA, - это CMRR Secure Erase, в котором используется команда Secure Erase, встроенная в спецификацию ATA .

Утилиты для очистки файлов

Утилиты очистки файлов используются для удаления отдельных файлов из операционной системы. Преимущество утилит очистки файлов заключается в том, что они могут выполнить свою задачу за относительно короткий промежуток времени, в отличие от утилит очистки диска, которые занимают гораздо больше времени. Еще одно преимущество утилит для очистки файлов заключается в том, что они обычно оставляют гораздо меньшую подпись, чем утилиты для очистки диска. У утилит для очистки файлов есть два основных недостатка: во-первых, они требуют участия пользователя в процессе, а во-вторых, некоторые эксперты считают, что программы для очистки файлов не всегда корректно и полностью стирают информацию о файлах. [11] [12] Некоторые из широко используемых утилит для очистки файлов включают BCWipe., R-Wipe & Clean, Eraser, Aevita Wipe & Delete и CyberScrubs PrivacySuite. В GNU / Linux такие инструменты, как shred и srm, также можно использовать для очистки отдельных файлов. [13] [14] . SSD по своей конструкции труднее стереть, поскольку микропрограммное обеспечение может записывать данные в другие ячейки, что позволяет восстанавливать данные. В этих случаях следует использовать ATA Secure Erase для всего диска с такими инструментами, как hdparm, которые его поддерживают. [15]

Методы размагничивания / разрушения диска

Размагничивание диска - это процесс, при котором магнитное поле применяется к цифровому мультимедийному устройству. В результате получается устройство, полностью очищенное от ранее сохраненных данных. Размагничивание редко используется в качестве метода противодействия судебной экспертизе, несмотря на то, что это эффективное средство обеспечения удаления данных. Это связано с высокой стоимостью устройств размагничивания, которые рядовому потребителю сложно себе позволить.

Более часто используемый метод удаления данных - это физическое разрушение устройства. NIST рекомендует «физическое разрушение может быть осуществлено с использованием различных методов, в том числе дезинтеграции, сжигание, измельчение, измельчение и плавления.» [16]

Обфускация следов

Цель запутывания следов - запутать, дезориентировать и отвлечь процесс судебно-медицинской экспертизы. Обфускация следа охватывает различные методы и инструменты, в том числе «очистители журналов, спуфинг , дезинформацию , межсетевое переключение, зомбированные учетные записи, троянские команды». [1]

Одним из наиболее широко известных инструментов обфускации следов является Timestomp (часть Metasploit Framework ). [10] Timestomp дает пользователю возможность изменять метаданные файла, касающиеся времени / даты доступа, создания и изменения. [3] Используя такие программы, как Timestomp, пользователь может сделать любое количество файлов бесполезным в юридических условиях, напрямую поставив под сомнение их достоверность.

Еще одна хорошо известная программа для обфускации следов - Transmogrify (также часть Metasploit Framework). [10] В большинстве типов файлов заголовок файла содержит идентифицирующую информацию. (.Jpg) будет иметь информацию заголовка, которая идентифицирует его как ( .jpg ), ( .doc ) будет содержать информацию, которая идентифицирует его как (.doc) и так далее. Transmogrify позволяет пользователю изменять информацию заголовка файла, поэтому заголовок (.jpg) может быть изменен на заголовок (.doc). Если бы программа судебно-медицинской экспертизы или операционная система проводила поиск изображений на машине, она просто увидела бы файл (.doc) и пропустила его. [3]

Атаки на компьютерную криминалистику

В прошлом средства защиты от судебной экспертизы были сосредоточены на атаке на криминалистический процесс путем уничтожения данных, сокрытия данных или изменения информации об использовании данных. Анти-криминалистика недавно перешла в новую сферу, где инструменты и методы сосредоточены на атаках на судебно-медицинские инструменты, выполняющие экспертизу. Эти новые методы борьбы с судебной экспертизой извлекли выгоду из ряда факторов, включая хорошо задокументированные процедуры судебной экспертизы, широко известные уязвимости инструментов судебной экспертизы и сильную зависимость судебных экспертов от своих инструментов. [1]

Во время типичной судебно-медицинской экспертизы эксперт создает образ дисков компьютера. Это предохраняет исходный компьютер (доказательства) от искажения средствами судебной экспертизы. Программа судебной экспертизы создает хэши для проверки целостности изображения. Один из последних методов борьбы с инструментами нацелен на целостность хэша, который создается для проверки образа. Нарушая целостность хэша, можно оспорить любые доказательства, собранные в ходе последующего расследования. [1]

Физический

Чтобы предотвратить физический доступ к данным, когда компьютер включен (например, в случае кражи с захватом и изъятия со стороны правоохранительных органов), могут быть реализованы различные решения:

  • Программные среды, такие как USBGuard или USBKill, реализуют политики авторизации USB и политики методов использования. Если программное обеспечение запускается путем вставки или удаления USB-устройств, может быть выполнено определенное действие. [17] После ареста Шелкового пути администратора «s Ross Ульбрихт , ряд доказательств концепции анти-криминалистических средств были создан для обнаружения захвата компьютера от владельца , чтобы закрыть его, поэтому делает данные недоступными , если полный диск используется шифрование. [18] [19]
  • Слот Kensington Security присутствует на многих устройствах и с подходящим может предотвратить кражу из оппортунистических воров.
  • Использование функции обнаружения вторжения в корпус компьютера или датчика (например, фотодетектора ), оснащенного взрывчаткой для самоуничтожения . В некоторых юрисдикциях этот метод может быть незаконным, поскольку он может серьезно искалечить или убить неавторизованного пользователя и может заключаться в уничтожении улик .
  • Аккумулятор можно было снять с ноутбука, чтобы он работал, только когда он подключен к блоку питания. Если кабель отсоединен, компьютер немедленно выключится, что приведет к потере данных. Однако в случае скачка напряжения произойдет то же самое.

Некоторые из этих методов основаны на выключении компьютера, в то время как данные могут сохраняться в оперативной памяти от пары секунд до пары минут, что теоретически допускает атаку холодной загрузки . Криогенное замораживание ОЗУ может продлить это время еще больше, и были обнаружены некоторые атаки на дикую природу. ] Существуют методы противодействия этой атаке, которые могут перезаписывать память перед выключением. Некоторые анти-криминалистические инструменты даже определяют температуру ОЗУ, чтобы выполнить выключение, когда она ниже определенного порога

Были предприняты попытки создать устойчивый к взлому настольный компьютер (по состоянию на 2020 год модель ORWL является одним из лучших примеров). Однако безопасность этой конкретной модели обсуждается исследователем безопасности и основателем Qubes OS Джоанной Рутковской .

Эффективность анти-криминалистики

Методы противодействия судебной экспертизе основаны на нескольких недостатках судебно-экспертного процесса, включая человеческий фактор, зависимость от инструментов и физические / логические ограничения компьютеров. Уменьшая подверженность судебно-медицинской экспертизы этим недостаткам, эксперт может снизить вероятность успешного воздействия антисудебных методов на расследование Это может быть достигнуто путем повышения уровня подготовки следователей и подтверждения результатов с помощью различных инструментов.

См. Также

  • Криптографическая хеш-функция
  • Остаточная информация
  • Degauss
  • Шифрование
  • Судебный контроллер диска
  • Конфиденциальность информации
  • Ключевой файл
  • Инструмент удаления метаданных
  • Правдоподобное отрицание
  • Сертифицированный компьютерный экзаменатор
  • Сертифицированный судебный компьютерный эксперт
  • Контр-криминалистика
  • Криптоанализ
  • Остаточная информация
  • Шифрование диска
  • Шифрование
  • Скрытый файл и скрытый каталог
  • Аудит информационных технологий
  • MAC раз
  • Стеганализ
  • Соединенные Штаты против Арнольда

Напиши свое отношение к судебная компьютерно-техническая экспертиза. Это меня вдохновит писать для тебя всё больше и больше интересного. Спасибо Надеюсь, что теперь ты понял что такое судебная компьютерно-техническая экспертиза, компьютерно-техническая экспертиза,компьютерная криминалистика,антикомпьютерная криминалистика и для чего все это нужно, а если не понял, или есть замечания, то нестесняся пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятелно рекомендую изучить комплексно всю информацию в категории Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы


Комментарии (0)


Оставить комментарий

ответить

Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы

Термины: Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы