Лекция
Это продолжение увлекательной статьи про судебная компьютерно-техническая экспертиза.
...
экспертизы вызывается невозможностью разрешения задач экспертизы на основе одной отрасли знаний. При назначении комплексной экспертизы, включающей судебную программно-компьютерную экспертизу, зачастую встает вопрос о се производстве одним экспертом, одинаково хорошо владеющим сразу несколькими знаниями в области науки и техники. Практика показывает, что сегодня эксперты, занимающиеся компьютерно-технической экспертизой (а таковых пока немного), часто владеют всеми ее родами. Поэтому данную экспертизу как комплексную экспертизу на сегодняшний день может квалифицированно провести один эксперт. В ряде случаев подобное проведение экспертизы является наиболее приоритетным. Примером этому может служить обследование аппаратно-программного комплекса ЭВМ на предмет возможности выполнения с его помощью специфических (заданных) функций.
В последние время в государственных экспертных учреждениях стали появляться эксперты, обладающие знаниями не только в области программирования и информационных технологий, но и в области товароведения. Они могут проводить экспертизы по этим двум направлениям. Есть такие эксперты, например, в РФЦСЭ при Минюсте России. Однако, поскольку законодатель утверждает, что комплексная экспертиза всегда должна быть комиссионной1, целесообразно при назначении экспертизы не выделять роды, а назначать моноэкспертизу и указывать в определении суда о необходимости назначения компьютерно-технической экспертизы. Тем более что, поскольку эта экспертиза является новой, ее классификация еще не до конца устоялась. Напомним к тому же, что согласно ч. 1 ст. 84 АПК комиссионный характер экспертизы определяется арбитражным судом. Но, поскольку комплексная экспертиза проводится не менее чем двумя экспертами разных специальностей (ст. 85 АПК), она также обязательно является комиссионной, т.е. может быть назначена только судом. Это служит еще одним немаловажным аргументом в пользу нашей рекомендации о назначении моноэкспертизы.
Дополнительная экспертиза назначается при недостаточной ясности или неполноте ранее данного заключения, что может быть результатом сужения экспертом объема задания, исследования не всех свойств и признаков объектов, неполноты рассмотрения некоторых вопросов. Примером этому может служить ситуация, когда при решении вопроса о наличии признаков контрафактности программного продукта экспертами исследуются только внешние признаки, охватывающие описание носителя информации и файловый состав, и не исследуются ее функциональные характеристики, свойства интерфейсов, а также поступившая вместе с ней техническая документация. Неясность также может выражаться в том, что по данному заключению нельзя судить о конкретных фактах, установить, являются ли выводы положительными или отрицательными, категорическими или вероятными. Например, при решении вопроса о том, переустанавливалось ли системное программное обеспечение компьютерной системы, экспертом дан ответ: "Системное программное обеспечение могло быть переустановлено в данной компьютерной системе".
Дополнительная экспертиза также назначается в тех случаях, когда после экспертного исследования возникают новые вопросы, связанные с исследованием того же объекта, которые ранее не ставились перед экспертом. Так, если после исследования программного обеспечения подвергшейся атаке компьютерной системы устанавливается, что в момент обнаружения происшествия ЭВМ не была подключена к сети, назначается повторная судебная программно-компьютерная экспертиза. На ее разрешение ставится вопрос о поиске возможных недокументированных функций программного обеспечения, установленных на активизацию и выполнение заданного набора действий в конкретный промежуток времени. Именно последнее основание назначения такой экспертизы чаще всего встречается в практике. В суде дополнительная экспертиза назначается лишь после дачи экспертом заключения в стадии судебного разбирательства дела и если неясность или неполноту заключения не представилось возможным устранить путем допроса эксперта1.
Дополнительная экспертиза всегда является экспертизой того же рода, вида и подвида, что и первичная. От новой экспертизы дополнительная отличается тем, что решаемые ею вопросы связаны с ранее решенными и эксперту не нужно заново проводить полное исследование программного обеспечения - он может использовать некоторые результаты ранее проведенных. Поэтому целесообразно по возможности поручать производство дополнительной экспертизы тому же эксперту (экспертам). Если же вновь назначенная экспертиза никак не связана с предыдущей, то она будет не дополнительной, а новой, самостоятельной экспертизой.
Основанием для назначения повторной компьютерно-технической экспертизы не может являться недовольство суда вероятной формой выводов, противоречие другим доказательствам, полученным в результате судебного разбирательства.
В суде к доказательствам компьютерной криминалистики применяются обычные требования для цифровых доказательств . Это требует, чтобы информация была достоверной, надежно полученной и допустимой. В разных странах есть определенные руководящие принципы и методы восстановления доказательств. В Соединенном Королевстве экзаменаторы часто следуют рекомендациям Ассоциации старших офицеров полиции, которые помогают обеспечить подлинность и целостность доказательств. Хотя эти принципы являются добровольными, они широко применяются в британских судах.
Компьютерная криминалистика использовалась в качестве доказательства в уголовном праве с середины 1980-х годов, некоторые известные примеры включают:
Доступно несколько сертификатов компьютерной криминалистики, таких как сертифицированный специалист по компьютерной экспертизе ISFCE, специалист по расследованию цифровой криминалистики (DFIP) и сертифицированный специалист по компьютерной криминалистике IACRB.
Верхний поставщик независимой сертификации (особенно в ЕС) считается [ CCFP - Certified Professional Cyber Forensics ]. [15]
Другие, о которых стоит упомянуть для США или Азиатско-Тихоокеанского региона: Международная ассоциация специалистов по компьютерным расследованиям) предлагает программу Certified Computer Examiner .
Международное общество судебных компьютерных экспертов предлагает программу « Сертифицированный компьютерный эксперт ».
Азиатская школа киберправов предлагает сертификаты международного уровня в области анализа цифровых доказательств и цифровой судебной экспертизы. Эти курсы доступны в режиме онлайн и в классе.
Многие компании, занимающиеся разработкой коммерческого программного обеспечения для судебной экспертизы, теперь также предлагают проприетарные сертификаты на свои продукты. Например, Guidance Software, предлагающее сертификацию (EnCE) для своего инструмента EnCase, сертификацию предложения AccessData (ACE) для своего инструмента FTK, PassMark Software, предлагающее сертификацию для своего инструмента OSForensics, и сертификацию X-Ways Software Technology (X-PERT) для их программное обеспечение, X-Ways Forensics. [16
| название | Платформа | Лицензия | Версия на 2021 г | Описание |
|---|---|---|---|---|
| Mobile Device Investigator | Окна , | проприетарный | 2.1 | Инструмент цифровой криминалистики и сортировки смартфонов iOS и Android от ADF_Solutions |
| Autopsy | Windows , macOS , Linux | GPL | 4.11 | Платформа цифровой криминалистики и графический интерфейс для The Sleuth Kit |
| Belkasoft Evidence Center | Windows | проприетарный | 9.9 | Пакет для цифровой криминалистики от Belkasoft, который поддерживает компьютерную и мобильную криминалистику в одном инструменте |
| COFEE | Windows | проприетарный | н / д | Набор инструментов для Windows, разработанный Microsoft |
| Digital Forensics Framework | Unix-подобный / Windows | GPL | 1.3 | Платформа и пользовательские интерфейсы, посвященные цифровой криминалистике |
| Elcomsoft Premium Forensic Bundle | Windows, macOS | проприетарный | 1435 | Набор инструментов для зашифрованных систем и расшифровки данных и восстановления пароля |
| EnCase | Windows | проприетарный | 8.06.1 | Пакет цифровой криминалистики, созданный Guidance Software |
| Forensic Explorer | Windows | проприетарный | 4.4.8.7926 | Пакет цифровой криминалистики, созданный GetData |
| FTK | Windows | проприетарный | 6.0.1 | Многоцелевой инструмент FTK - это упомянутая судом платформа для цифровых расследований, созданная для обеспечения скорости, стабильности и простоты использования. |
| IPED | Unix-подобный / Windows | GPL | 3.17.2 | Инструмент цифровой криминалистики, созданный Федеральной полицией Бразилии |
| ISEEK | Windows | проприетарный | 1 | Инструмент гибридной криминалистики, работающий только в памяти - разработан для больших сетевых сред |
| IsoBuster | Windows | проприетарный | 4.1 | Незаменимый легкий инструмент для проверки носителей данных любого типа, поддерживающий широкий спектр файловых систем с расширенными функциями экспорта. |
| Нидерландский институт судебной экспертизы / Xiraf / HANSKEN | н / д | проприетарный | н / д | Компьютерно-криминалистический онлайн-сервис. |
| Open Computer Forensics Architecture | Linux | LGPL / GPL | 2.3.0 | Фреймворк компьютерной криминалистики для среды CF-Lab |
| OSForensics | Windows | проприетарный | 3.3 | Универсальный судебно-медицинский инструмент |
| PTK Forensics | ЛАМПА | проприетарный | 2.0 | Графический интерфейс для The Sleuth Kit |
| Инструментарий SANS Investigative Forensics Toolkit - SIFT | Ubuntu | 2.1 | Многоцелевая криминалистическая операционная система | |
| SPEKTOR Forensic Intelligence | Unix-подобный | проприетарный | 6.x | Простой в использовании, всеобъемлющий инструмент судебной экспертизы, используемый во всем мире LE / военными / агентствами / корпорациями, - включает быстрое получение изображений и полностью автоматизированный анализ. |
| The Coroner's Toolkit | Unix-подобный | Общественная лицензия IBM | 1.19 | Набор программ для анализа Unix |
| The Sleuth Kit | Unix-подобный / Windows | IPL , CPL , GPL | 4.1.2 | Библиотека инструментов для Unix и Windows |
| Windows To Go | н / д | проприетарный | н / д | Загрузочная операционная система |
| X-Ways Forensics | Windows | проприетарный | н / д | Поддерживает изображения и кучу объемов. А также анализ памяти и барана |
Инструменты судебной экспертизы памяти используются для получения или анализа энергозависимой памяти (RAM) компьютера. Они часто используются в ситуациях реагирования на инциденты, чтобы сохранить в памяти доказательства, которые будут потеряны при выключении системы, и для быстрого обнаружения скрытых вредоносных программ путем непосредственного исследования операционной системы и другого запущенного программного обеспечения в памяти.
| название | Поставщик или спонсор | Платформа | Лицензия |
|---|---|---|---|
| Belkasoft Live RAM Capturer | Belkasoft | Windows | свободно |
| Volatility | Volatile Systems | Windows и Linux | бесплатно (GPL) |
| WindowsSCOPE | BlueRISC | Windows | проприетарный |
Инструменты мобильной криминалистики, как правило, состоят из аппаратного и программного компонентов. Мобильные телефоны поставляются с разнообразным набором разъемов, аппаратные устройства поддерживают несколько различных кабелей и выполняют ту же роль, что и блокираторы записи в компьютерных устройствах.
| название | Платформа | Лицензия | Версия | Описание |
|---|---|---|---|---|
| MicroSystemation XRY / XACT | Windows | проприетарный | Аппаратно-программный комплекс, специализируется на удаленных данных |
Судебная экспертиза программного обеспечения - это наука об анализе исходного кода программного обеспечения или двоичного кода для определения факта нарушения прав интеллектуальной собственности или кражи. Это центральное место в судебных процессах, судебных процессах и урегулированиях, когда компании спорят по вопросам, связанным с патентами на программное обеспечение, авторскими правами и коммерческой тайной. Инструменты судебной экспертизы программного обеспечения могут сравнивать код, чтобы определить корреляцию, показатель, который можно использовать для руководства эксперта по криминалистике программного обеспечения.
| название | Платформа | Лицензия | Версия | Описание |
|---|---|---|---|---|
| DECAF | Windows | свободно | н / д | Инструмент, который автоматически выполняет набор определенных пользователем действий при обнаружении инструмента Microsoft COFEE. |
| Evidence Eliminator | Windows | проприетарный | 6,03 | Программное обеспечение для защиты от криминалистики утверждает, что безопасно удаляет файлы |
| HashKeeper | Windows | свободно | н / д | Приложение базы данных для хранения хэш-подписей файлов |
| MailXaminer | Windows | Perpetual | 4.9.0 | Специализированный инструмент электронной почты |
В суде к доказательствам компьютерной криминалистики применяются обычные требования для цифровых доказательств . Это требует, чтобы информация была достоверной, надежно полученной и допустимой. В разных странах есть определенные руководящие принципы и методы восстановления доказательств. В Соединенном Королевстве экзаменаторы часто следуют рекомендациям Ассоциации старших офицеров полиции, которые помогают обеспечить подлинность и целостность доказательств. Хотя эти принципы являются добровольными, они широко применяются в британских судах.
Компьютерная криминалистика использовалась в качестве доказательства в уголовном праве с середины 1980-х годов, некоторые известные примеры включают:
Допрос в контексте расследования информационной безопасности может происходить в двух разных ситуациях. Вы можете либо допросить потенциального преступника, в дальнейшем именуемого «подозреваемый», либо допросить жертву для получения дополнительной информации. Очевидно, что обе эти ситуации требуют отдельного подхода.
Хорошо известной техникой допроса, часто используемой в фильмах и телесериалах, является метод Рейда. Эта техника часто включает использование лжи («у нас есть доказательства, что вы были виновником!»), Чтобы убедить субъекта признать свою вину. Несмотря на то, что этот метод эффективен, его часто критикуют за получение ложных признаний.
FAINT - это еще один метод, широко используемый во время судебных расследований и хорошо принятый в технологической судебной индустрии. Это сокращение от техник судебно-оценочного интервью и комплексного допроса, в которых испытуемому предлагается тест из 30 довольно общих вопросов. Затем он использует конкретные подсказки, которые можно обнаружить в том, как испытуемый отвечает на эти вопросы, чтобы оценить обоснованность его утверждений. Фактические виновники, скорее всего, минимизируют штраф («его не следует слишком сильно наказывать, это зависит от ситуации»), пытаясь создать дополнительных субъектов («Эллен могла это сделать»). Многое из этого описано в книге Натана Дж. Гордона « Эффективные методы допроса и допроса ».
Невербальный анализ
Было разработано множество методов невербального анализа, чтобы выяснить, говорит ли ваш подозреваемый правду. Большинство из них научно не доказано, и поэтому их следует использовать с осторожностью.
Распространенным методом является SCAN , сокращение от Scientific Content Analysis. Его разработал Авиноам Сапир, израильский полиграфолог. Он заключается в том, чтобы дать возможность испытуемому записать своими словами, что произошло. Затем его сочинения оцениваются по очень специфическим нюансам, таким как использование произношения, связь сюжетных линий, изменения во времени (охватывала ли тема ночь, когда произошел инцидент, в то время как предыдущие и последующие дни освещались очень кратко. цель состоит в том, чтобы оценить достоверность утверждений посредством такого поведенческого анализа.
Другой исследователь, глубоко изучавший эту область, - Пол Экман из Университета Сан-Франциско. Он опубликовал несколько книг по кинезическому допросу, в которых говорится о чтении тонких сигналов, произносимых человеком физически во время изложения своей истории. Многие из этих методов преподаются во всем мире, но их эффективность активно обсуждается.
Анти-компьютерная криминалистика или контр-криминалистика - это методы, используемые для противодействия судебному анализу .
Противодействие судебной медицине только недавно было признано законной областью исследований. В этой области исследований существует множество определений анти-криминалистики. Одно из наиболее широко известных и общепринятых определений исходит от Марка Роджерса из Университета Пердью. Роджерс использует более традиционный подход «на месте преступления» при определении средств противодействия криминалистике. «Попытки отрицательно повлиять на наличие, количество и / или качество доказательств с места преступления или затруднить или сделать невозможным анализ и изучение улик». В одной из самых ранних подробных презентаций анти-криминалистики в журнале Phrack в 2002 году анти-криминалистика определяется как «удаление или сокрытие улик в попытке снизить эффективность судебно-медицинского расследования».
Более сокращенное определение дано Скоттом Беринато в его статье, озаглавленной «Повышение анти-криминалистики». «Анти-криминалистика - это больше, чем технология. Это подход к криминальному взлому, который можно резюмировать следующим образом: сделать так, чтобы им было сложно найти вас, и им было невозможно доказать, что они вас нашли». Ни один из авторов не принимает во внимание использование методов анти-криминалистической экспертизы для обеспечения конфиденциальности личных данных.
Методы анти-криминалистики часто разбиваются на несколько подкатегорий, чтобы упростить классификацию различных инструментов и методов. Одна из наиболее широко используемых подкатегорий была разработана доктором Маркусом Роджерсом. Он предложил следующие подкатегории: сокрытие данных, стирание артефактов, обфускация следов и атаки на процессы и инструменты CF (компьютерной криминалистики). Нападения непосредственно на инструменты судебной экспертизы также называются контр-криминалистикой.
В области цифровой криминалистики ведется много споров о целях и задачах анти-криминалистических методов. Общая концепция [ кто? ] заключается в том, что средства противодействия судебной экспертизе имеют чисто злонамеренный характер по своим намерениям и конструкции. Другие считают, что эти инструменты следует использовать для иллюстрации недостатков в процедурах цифровой судебной экспертизы, цифровых инструментах судебной экспертизы и обучении судебных экспертов. Это мнение было поддержано на конференции Blackhat в 2005 году авторами антисудебных инструментов Джеймсом Фостером и Винни Лю. Они заявили, что, выявив эти проблемы, судебным следователям придется приложить больше усилий, чтобы доказать, что собранные доказательства являются точными и надежными. Они считают, что это приведет к появлению более совершенных инструментов и обучения судебно-медицинских экспертов. Кроме того, контрразведка имеет значение для защиты от шпионажа, поскольку восстановление информации с помощью средств судебной экспертизы служит целям как шпионов, так и следователей.
Скрытие данных - это процесс, затрудняющий поиск данных, но при этом сохраняющий их доступность для будущего использования. « Обфускация и шифрование данных дают злоумышленнику возможность ограничить идентификацию и сбор доказательств следователями, одновременно разрешая доступ и использование для себя».
Некоторые из наиболее распространенных форм сокрытия данных включают шифрование, стеганографию и другие различные формы сокрытия данных на основе аппаратного / программного обеспечения. Каждый из различных методов сокрытия данных затрудняет цифровую судебную экспертизу. Когда различные методы сокрытия данных объединяются, они могут сделать успешное судебно-медицинское расследование практически невозможным.
Одним из наиболее часто используемых методов противодействия компьютерной криминалистике является шифрование данных . В своей презентации, посвященной шифрованию и методологиям борьбы с криминалистикой, вице-президент по безопасным вычислениям Пол Генри назвал шифрование «кошмаром для судебно-медицинских экспертов».
Большинство общедоступных программ шифрования позволяют пользователю создавать виртуальные зашифрованные диски, которые можно открыть только с помощью указанного ключа. Благодаря использованию современных алгоритмов шифрования и различных методов шифрования эти программы делают данные практически невозможными для чтения без указанного ключа.
Шифрование на уровне файла шифрует только содержимое файла. Это оставляет незашифрованной важную информацию, такую как имя файла, размер и временные метки. Части содержимого файла можно восстановить из других мест, таких как временные файлы, файл подкачки и удаленные незашифрованные копии.
Большинство программ шифрования могут выполнять ряд дополнительных функций, которые значительно затрудняют проведение цифровой криминалистики. Некоторые из этих функций включают использование ключевого файла , шифрование всего тома и правдоподобное отрицание . Широкая доступность программного обеспечения, содержащего эти функции, поставила цифровую судебную экспертизу в очень невыгодное положение.
Стеганография - это метод, при котором информация или файлы скрываются в другом файле в попытке скрыть данные, оставив их на виду. «Стеганография производит темные данные, которые обычно скрыты внутри светлых данных (например, неощутимый цифровой водяной знак, скрытый внутри цифровой фотографии)». Некоторые эксперты утверждают, что использование методов стеганографии не очень широко распространено, и поэтому о них не следует много думать. Большинство экспертов согласятся с тем, что стеганография может нарушить судебно-медицинский процесс при правильном использовании.
По словам Джеффри Карра, издание Technical Mujahid (выходящее два раза в месяц) за 2007 год подчеркнуло важность использования стеганографической программы под названием «Секреты моджахедов». По словам Карра, программа рекламировалась как дающая пользователю возможность избежать обнаружения текущими программами стеганализа . Это было сделано за счет использования стеганографии в сочетании со сжатием файлов.
Другие формы сокрытия данных включают использование инструментов и методов для сокрытия данных в различных местах компьютерной системы. Некоторые из этих мест могут включать «память, свободное пространство , скрытые каталоги, плохие блоки , альтернативные потоки данных и (и) скрытые разделы ».
Один из наиболее известных инструментов, который часто используется для сокрытия данных, называется Slacker (часть платформы Metasploit ). [10] Slacker разбивает файл и помещает каждую часть этого файла в свободное пространство других файлов, тем самым скрывая его от программы судебной экспертизы. Другой метод сокрытия данных включает использование сбойных секторов. Чтобы выполнить этот метод, пользователь меняет конкретный сектор с хорошего на плохой, а затем данные помещаются в этот конкретный кластер. Считается, что инструменты судебной экспертизы сочтут эти кластеры плохими и продолжат работу без какой-либо проверки их содержимого.
Методы, используемые при стирании артефактов, предназначены для безвозвратного удаления отдельных файлов или целых файловых систем. Этого можно достичь с помощью различных методов, в том числе утилит для очистки диска, утилит для очистки файлов и методов размагничивания / уничтожения диска.
Утилиты очистки диска используют различные методы для перезаписи существующих данных на дисках (см. « Остаточные данные» ). Эффективность утилит для очистки дисков как анти-криминалистических инструментов часто ставится под сомнение, поскольку некоторые считают, что они не полностью эффективны. Эксперты, которые не верят, что утилиты очистки дисков приемлемы для очистки дисков, основывают свое мнение на текущей политике Министерства обороны США, в которой говорится, что единственно приемлемой формой очистки является размагничивание. (См. Национальную программу промышленной
продолжение следует...
Часть 1 Особенности назначения судебной компьютерно-технической экспертизы и Компьютерная криминалистика
Часть 2 Использоание прецендентов как доказательство - Особенности назначения судебной компьютерно-технической экспертизы
Часть 3 Обфускация следов - Особенности назначения судебной компьютерно-технической экспертизы и Компьютерная
В общем, мой друг ты одолел чтение этой статьи об судебная компьютерно-техническая экспертиза. Работы впереди у тебя будет много. Смело пиши комментарии, развивайся и счастье окажется в твоих руках. Надеюсь, что теперь ты понял что такое судебная компьютерно-техническая экспертиза, компьютерно-техническая экспертиза, компьютерная криминалистика, антикомпьютерная криминалистика и для чего все это нужно, а если не понял, или есть замечания, то не стесняйся, пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы
Ответы на вопросы для самопроверки пишите в комментариях, мы проверим, или же задавайте свой вопрос по данной теме.
Комментарии
Оставить комментарий
Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы
Термины: Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы