jeśli oglądałeś wystarczająco dużo programów kryminalnych w telewizji, prawdopodobnie widziałeś aktora lub aktorkę w roli śledczego Sądowego. W serialach takich jak CSI: Miami, śledczy wydają się być w stanie wpisać kilka kluczy do terminala i bum— mają wszystkie potrzebne informacje.
jednak w prawdziwym życiu informatyka śledcza nie jest taka prosta. W rzeczywistości komputerowi śledczy śledczy mogą potrwać kilka dni, aby przeanalizować wszystkie informacje potrzebne do sprawy.
w tym artykule omówimy informatykę śledczą i sposób prowadzenia tego typu badań.
co to jest informatyka śledcza?
dla tych, którzy nie znają informatyki śledczej, jest to sztuka i nauka odkrywania dowodów przechowywanych w komputerach i cyfrowych pamięciach.
informatycy śledczy wyodrębniają dowody w sposób zgodny z prawem, aby zapewnić ich przydatność w postępowaniu karnym lub cywilnym. Aby upewnić się, że dowody nie są manipulowane i dopuszczalne w sądzie, śledczy komputerowi używają udokumentowanego łańcucha dowodowego i narzędzi, takich jak blokery zapisu i plomby sabotażowe.
gdy dochodzi do przestępczej działalności związanej z komputerem, takiej jak odmowa usługi (DOS) lub atak hakerski, używany system zawiera mnóstwo dowodów dotyczących przestępstwa. Nawet w sprawach karnych, które nie są wyraźnie związane z cyberbezpieczeństwem, takich jak handel narkotykami, oszustwo, a nawet morderstwo, urządzenia podejrzanego prawdopodobnie przechowują dowody przestępstwa w wiadomościach e-mail, historii Internetu, dokumentach i zdjęciach.
prawdziwe przykłady informatyki śledczej w akcji
w 2010 roku kaznodzieja Baptystyczny Matt Baker został skazany na 65 lat więzienia za zabójstwo swojej żony. Wstępny raport stwierdził, że żona popełniła samobójstwo przez przedawkowanie tabletek nasennych. Po dalszym dochodzeniu analityk sądowy stwierdził ,że Baker przeszukał „przedawkowanie tabletek nasennych” i odwiedził kilka stron farmaceutycznych przed śmiercią żony. Bez tych informacji z komputera Bakera, mógł nigdy nie zostać postawiony przed sądem.
korporacje komercyjne również korzystają z informatyki śledczej z wielu różnych powodów. Kradzież własności intelektualnej, oszustwa, fałszerstwa i spory o zatrudnienie mogą skutkować wykorzystaniem Informatyki Śledczej do dostarczenia dowodów w sprawach cywilnych. Wyobraź sobie scenariusz, w którym pracownik twierdzi, że doświadczył molestowania seksualnego lub uprzedzeń ze strony pracodawcy. Urządzenia należące do firmy będą prawdopodobnie jednym z najbardziej przydatnych miejsc do znalezienia dowodów.
gdy osoba fizyczna pracuje dla organizacji, każda praca wykonywana na urządzeniach firmowych zazwyczaj należy do tej organizacji, nawet jeśli ten pracownik pracował nad „osobistym projektem” podczas korzystania z tego urządzenia. Firmy mogą zdecydować się na wykorzystanie informatyki śledczej, aby udowodnić, że produkt należy do nich, ponieważ został stworzony na urządzeniu firmy. Informatyka śledcza może być wykorzystana do znalezienia tych dowodów, nawet jeśli pracownik uważa, że usunął wszystkie odpowiednie pliki na tym komputerze.
kroki w Computer Forensics Investigation
dla osób pracujących w Computer forensics, istnieje pięć podstawowych kroków do udanego dochodzenia.
rozwój polityki i procedur
jak w przypadku każdej roli, utrzymanie właściwie zdefiniowanych polityk i procedur ma kluczowe znaczenie. W informatyce śledczej, procedury te mogą nakreślić, jak prawidłowo przygotować systemy do pobierania dowodów i kroki w celu zapewnienia autentyczności danych.
ocena dowodów
komputery mogą przechowywać wiele informacji, czasami terabajtów danych, z których nie wszystkie dotyczą konkretnego przypadku, dla którego badacz zbiera dowody. Śledczy potrzebują wiedzy na temat danej sprawy i zrozumienia, które dowody mają zastosowanie do sprawy.
pozyskanie dowodów
samo zlokalizowanie dowodów nie wystarczy. Dowody muszą być zbierane i nabywane zgodnie ze ścisłymi wytycznymi, aby zapewnić ich dopuszczalność w sądzie. Typowe instrukcje dotyczące przechowywania dowodów obejmują fizyczne usunięcie urządzeń pamięci masowej, stosowanie blokerów zapisu w celu zapobiegania manipulacji oraz dokładną dokumentację, taką jak łańcuch dowodowy.
badanie dowodów
po dokonaniu oceny i uzyskaniu dowodów, następnym krokiem jest zbadanie potencjalnych dowodów. Badacze używają różnych metod, technik i narzędzi do przeglądania danych cyfrowych. Celowo ukryte pliki i wszelkie dane oznaczone datą i znacznikami czasu są szczególnie przydatne dla badaczy.
dokumentowanie i raportowanie
dokumentowanie wszystkich etapów dochodzenia jest krytycznym aspektem obowiązków każdego śledczego śledczego komputerowego. Ponieważ celem zbierania tych danych jest zazwyczaj przedstawienie ich przed sądem, każde niedokładne udokumentowanie i zgłoszenie podjętych działań może spowodować niedopuszczalność dowodów.
Kontynuuj Wyszukiwanie kryminalistyki komputerowej
jeśli chcesz dowiedzieć się więcej o kryminalistyce cyfrowej, odwiedź naszą stronę usług kryminalistyki cyfrowej tutaj.