Forensics

Oikeuslääketieteellinen  tutkimus on sovellettu tiede, joka tutkii tietokonetietoihin liittyvien rikosten ratkaisemista, digitaalisten todisteiden tutkimista, menetelmiä niiden etsimiseksi, hankkimiseksi ja vahvistamiseksi. Forensics on oikeuslääketieteen alaosasto .

Sana "Forensics" tai tietokoneforensikka tulee latinan sanasta "foren", joka tarkoittaa puhetta foorumin edessä, eli puhetta tuomioistuimessa, oikeudellista keskustelua. Termi "rikostekninen tekniikka" on lyhennetty muoto sanasta "foren science", kirjaimellisesti "rikostekninen tiede", toisin sanoen todisteiden tutkimisen tiede, jota venäjäksi kutsutaan rikostekniseksi tieteeksi. Oikeuslääketieteen osaa, joka tutkii tietokonetodisteita, kutsutaan puolestaan ​​englanniksi "computer forensics". Lainattaessa sana kavensi merkitystään. Venäläinen "forensics" tarkoittaa yksinomaan tietokonerikosteknistä [1] .

Oikeuslääketieteen aiheita ovat:

● rikoskäytäntö - menetelmät, välineet asiaankuuluvien rikosten tekemiseen, niiden seuraukset, jäljelle jääneet jäljet, rikoksentekijän henkilöllisyys;

● tietokonerikosten operatiiviset, tutkinta- ja oikeudelliset käytännöt;

● tietokoneinformaation ja erityisesti tietokoneohjelmien asiantuntijatutkimuksen menetelmät;

● viestintä- ja tietotekniikan (IT) teollisuuden saavutukset, niiden vaikutukset yhteiskuntaan sekä niiden käyttömahdollisuus sekä rikosten tekemiseen että niiden ehkäisyyn ja paljastamiseen [2] .

Forensics ratkaisee seuraavat tehtävät:

● tietokonetietoihin liittyvien operatiivisten hakutoimintojen (ORM) ja tutkintatoimien taktiikkojen kehittäminen;

● menetelmien, laitteisto- ja ohjelmistotyökalujen luominen tietokonerikosten todisteiden keräämiseen ja tutkimiseen;

● tietokonetietoihin liittyvien rikosten rikosteknisten ominaisuuksien määrittäminen.

Oikeuslääketieteen sovellusalueet:

1. Sellaisten rikosten paljastaminen ja tutkinta, joissa tietokonetieto esiintyy tunkeutumiskohteena, tietokone rikoksen tekovälineenä sekä mahdolliset digitaaliset todisteet.

2. Todisteiden kerääminen ja tutkiminen siviiliasioita varten, kun todisteet ovat tietokonetietoina. Tämä pätee erityisesti immateriaalioikeuksien loukkaustapauksissa, kun näiden oikeuksien kohde esitetään tietokonetietojen muodossa - tietokoneohjelma, toinen digitaalisessa muodossa oleva teos, tavaramerkki Internetissä, verkkotunnus jne.

3. Vakuutusyhtiöiden tekemät vakuutustutkimukset mahdollisista sopimusehtojen rikkomuksista, vakuutuspetoksista, erityisesti silloin, kun vakuutuksen kohde esitetään tietokoneinformaation muodossa tai tällainen kohde on tietojärjestelmä.

4. Tietojärjestelmiin liittyvien turvallisuuspoikkeamien yrityksen sisäiset selvitykset sekä työskentely liikesalaisuuksia ja muita luottamuksellisia tietoja sisältävien tietojen vuotamisen estämiseksi.

5. Sotilaalliset ja tiedustelutehtävät tietokonetietojen etsimiseksi, tuhoamiseksi ja palauttamiseksi vihollisen tietojärjestelmiin vaikuttamisen ja niiden järjestelmien suojaamisen yhteydessä.

6. Tehtävät kansalaisten sähköisessä muodossa olevien henkilötietojen suojaaminen, heidän oikeuksiensa puolustaminen, kun se liittyy sähköisiin asiakirjoihin ja tietojärjestelmiin.

Tietokonerikosteknisen luokitus

Tietokoneen rikostekninen tutkimus on osa rikosteknistä, joka käsittelee tietokoneista ja digitaalisesta mediasta löytyviä todisteita. Tietokonerikosteknisen tutkimuksen tavoitteena on tutkia digitaalista mediaa oikeuslääketieteellisestä näkökulmasta, jotta voidaan tunnistaa, säilyttää, palauttaa, analysoida ja esittää faktoja ja mielipiteitä digitaalisesta tiedosta.

Vaikka se liittyy useimmiten useiden tietokonerikosten tutkimiseen, tietokonerikosteknistä voidaan käyttää myös siviilioikeudenkäynneissä. Kuri sisältää tekniikoita ja periaatteita, jotka ovat samankaltaisia ​​​​kuin tietojen palauttaminen, mutta lisäohjeita ja tekniikoita, jotka on kehitetty kirjausketjun luomiseen.

Tietokonerikostekniseen todisteeseen sovelletaan yleensä samoja sääntöjä ja käytäntöjä kuin muihin digitaalisiin todisteisiin.

Verkkorikostekninen tutkimus on osa digitaalista rikosteknistä tietotekniikkaa, joka liittyy tietokoneverkkoliikenteen seurantaan ja analysointiin tietojen, oikeudellisten todisteiden keräämiseksi tai tunkeutumisen havaitsemiseksi [3] . Toisin kuin muut digitaalisen rikosteknisen tutkimuksen osa-alueet, online-tutkimukset käsittelevät muuttuvaa ja dynaamista tietoa. Verkkoliikenne välittyy ja katoaa, joten verkon rikostekninen tutkimus on usein ennakoivaa tutkimusta [4] .

Oikeuslääketieteen tietojen analyysi on osa rikosteknistä, joka käsittelee strukturoitujen talousrikostietojen tutkimusta. Tutkimuksen tarkoituksena on havaita ja analysoida petosjärjestelmiä. Sovellusjärjestelmistä tai taustalla olevista tietokannoista peräisin olevia tietoja kutsutaan strukturoiduiksi tiedoiksi.

Strukturoimatonta dataa sen sijaan otetaan viestintä- ja toimistosovelluksista tai mobiililaitteista. Näillä tiedoilla ei ole kattavaa rakennetta, ja sen analysointiin liittyy avainsanoja tai viestintämallien näyttämistä. Strukturoimattoman tiedon analysointia kutsutaan yleisesti tietokonerikosteknisiksi.

Mobiililaitteiden rikostekninen tutkimus on rikosteknisten tutkimusten alaosasto, joka käsittelee mobiililaitteissa, kuten matkapuhelimissa, älypuhelimissa, tablet-tietokoneissa jne. saatavilla olevien digitaalisten todisteiden etsimistä, poimimista ja kiinnittämistä [5]

Laitteiston rikostekninen tutkimus (Hardware forensic) - laitteistojen ja teknisten laitteiden tarkastus. Tämä suunta on vähiten suosittu ja vaikein. Tämä sisältää matalan tason datan jäsentämisen (mikro-ohjain, laiteohjelmisto tai BIOS), laitteen erityisominaisuuksien, esimerkiksi Wi-Fi-lähettimen taajuusalueen tai pankkiautomaateihin asennetun skimmerin sisäisen laitteen, tutkimisen.

Oikeuslääketieteellisen prosessin vaiheet

Oikeuslääketieteen prosessi on yleensä jaettu neljään vaiheeseen:

1) kokoelma;

2) tutkimus;

3) analyysi;

4) esitys.

Ensimmäisessä vaiheessa kerätään sekä itse tieto että tietokoneinformaation kantajat. Kokoelmaan tulee liittää merkintä (tagging), joka ilmoittaa tietojen ja esineiden lähteet ja alkuperän. Keräysprosessin aikana on varmistettava tiedon turvallisuus ja eheys (muuttumattomuus) ja joissain tapauksissa myös luottamuksellisuus. Keräämisen yhteydessä on joskus ryhdyttävä erityistoimenpiteisiin lyhytikäisten (haihtuvien) tietojen, esimerkiksi nykyisten verkkoyhteyksien tai tietokoneen RAM-muistin sisällön tallentamiseksi.

Toisessa vaiheessa suoritetaan asiantuntijatutkimus kerätyistä tiedoista (kantoaineobjekteista). Se sisältää tiedon poimimisen / lukemisen mediasta, dekoodauksen ja tapauksen kannalta merkityksellisen eristämisen siitä. Jotkut tutkimukset voidaan automatisoida jossain määrin. Mutta asiantuntijan on vielä tässä vaiheessa työskenneltävä päällään ja käsillään. Samalla on myös varmistettava tutkitun median tiedon eheys.

Kolmannessa vaiheessa valitut tiedot analysoidaan, jotta saadaan vastauksia asiantuntijalle tai asiantuntijalle esitettyihin kysymyksiin. Analyysissä tulee käyttää vain tieteellisiä menetelmiä, joiden luotettavuus on vahvistettu.

Neljäs vaihe sisältää tutkimuksen ja analyysin tulosten formalisoinnin lain määräämään ja ei-asiantuntijoiden ymmärrettävään muotoon [2] .

Oikeuslääketieteen tärkeimmät työkalut

1) AccessDataForensicToolkit - ohjelmisto tietokonerikosteknisten tutkimusten suorittamiseen, RAM-vedosten analysointiin, käyttää tehokasta hakutyökalua, arkistoida tiedot ja suorittaa täydellisen tietokoneen tutkimuksen osana oikeuslääketieteellistä tutkimusta;

2) BrowserForensicTool - työkalu tietojen poimimiseen käyttäjien toimista eri selaimista;

3) TheSleuthKit (TSK) - konsoliohjelmien kirjasto, joka on suunniteltu analysoimaan mielivaltaisten tiedostojärjestelmien tietoja. Tämän ohjelmiston avulla tutkijat voivat tunnistaa ja palauttaa poistetut tiedot kuvista, jotka on otettu tutkimuksen aikana tai live-järjestelmistä;

4) EncryptedDiskDetector - ohjelma, joka auttaa löytämään piilotetut TrueCrypt-, PGP- ja Bitlocker-salatut taltiot paikalliselta tietokoneelta käyttämällä levyn salausallekirjoitusta pääkäynnistysalueella [6] .

Tarina

1970-luvulle asti tietokonerikoksia käsiteltiin olemassa olevien lakien perusteella. Ensimmäistä kertaa itsenäisenä rikoslajina tietokonerikokset kirjattiin vuonna 1978 Floridan osavaltion tietokonerikollisuutta koskevaan lakiin, joka sisälsi lait, jotka estävät tietokonejärjestelmän tietojen luvattoman muuttamisen tai poistamisen. [7] Vuosien varrella tietokoneavusteiset rikollisuuden tyypit ovat lisääntyneet, mikä on johtanut lakeihin, jotka säätelevät tekijänoikeuksia, yksityisyyttä/häirintää (esim. verkkokiusaaminen, iloinen piiskaus, nettiväkittely ja online-petoeläimet) ja lasten hyväksikäyttöä, pornografiaa [8] . Arkistoitu (PDF)) Vasta 1980-luvulla tietokonerikokset alettiin sisällyttää liittovaltion lakeihin. Kanada oli ensimmäinen maa, joka hyväksyi tällaisen lain vuonna 1983. [9] Tätä seurasi Yhdysvaltain liittovaltion laki 1986 "Computer Fraud and Abuse Act", vuodesta 1989 lähtien Australian asiaankuuluvia rikoksia koskevan lainsäädännön muutokset ovat olleet voimassa. Ison-Britannian Yhdistyneessä kuningaskunnassa tietokoneiden väärinkäyttölaki on ollut voimassa vuodesta 1990 [10] .

1980-1990: teollisuuden kehitys

Tietokonerikollisuuden kasvu 1980- ja 1900-luvun 80- ja 90-luvuilla edellytti, että lainvalvontaviranomaiset luovat yksittäisiä valtioita erikoisjoukkoja ratkaistakseen tietokonerikosten tutkinnan tekniset näkökohdat. Esimerkiksi Yhdysvalloissa vuonna 1984 FBI käynnisti "Computer Analysis and Response Team" -ryhmän, ja seuraavana vuonna luotiin ja käynnistettiin petosryhmä Yhdistyneen kuningaskunnan Metropolitan Policessa. Sen lisäksi, että monet näiden ryhmien varhaisista jäsenistä olivat lainvalvontaammattilaisia, he olivat myös tietokoneharrastajia, ja he vastasivat tämän alan alkuperäisestä tutkimuksesta ja ohjauksesta [11] .

Yksi ensimmäisistä (tai ainakin julkisuuteen tulleista) esimerkeistä digitaalisen rikostutkinnan käytöstä oli Cliff Stollin takaa-ajo hakkeri Markus Hessia vastaan ​​vuonna 1986. Stoll, joka ei ollut erityisen koulutettu tietokonerikollisuuden asiantuntija, käytti tietokone- ja verkkorikosteknisiä menetelmiä. [12] Koko 1990-luvun ajan oli kova kysyntä uusille perusresursseille tietoverkkorikosten tutkimiseen. Tänä aikana tietokonerikosteknisen tieteen kehitys mahdollisti luopumisen amatööriammattilaisten kehittämien työkalujen ja menetelmien käytöstä, mikä on ristiriidassa muiden tiedeyhteisön kehittämien oikeuslääketieteen tieteenalojen kanssa [13] . Vasta vuonna 1992 termiä "tietokoneen rikostekninen tutkimus" käytettiin virallisesti tieteellisessä kirjallisuudessa. Joten Collier P. A. ja Spole B. J. Yritti artikkelissaan "Forensic Methodology for Combating Computer Crime" perustella uutta tieteenalaa oikeuslääketieteen maailman edessä [14] . Tämä nopea kehitys on johtanut standardoinnin ja koulutuksen puutteeseen. Hänen 1995 kirjassaan High Tech Crime: Investigating Cases Involving Computers.

C. Rosenblatt kirjoitti: Tietokoneelle tallennettujen todisteiden takavarikointi, säilyttäminen ja analysointi on suurin lainvalvontaviranomaisten kohtaama rikostekninen ongelma 1990-luvulla. Vaikka useimmat oikeuslääketieteelliset testit, kuten sormenjäljet ​​ja DNA-testit, suorittavat erityisesti koulutetut tutkijat, tietokonetodisteiden kerääminen ja analysointi jätetään usein partioviranomaisille ja etsiville [15] .

2000-luku: Standardien kehittäminen

Vuodesta 2000 lähtien on ollut tarvetta standardoinnille, eri tahot ja virastot alkavat julkaista asiakirjoja, jotka muodostavat suuntaviivat digitaaliselle rikostekniselle. Digitaalisia todisteita käsittelevä tieteellinen työryhmä (SWGDE) laati vuonna 2002 raportin "Best Practices in Computer Forensics" ja sen jälkeen vuonna 2005 julkaistu ISO-standardi (ISO 17025, "Yleiset vaatimukset testaus- ja kalibrointilaboratorioiden pätevyydelle") [16] . ] . SWDE. Arkistoitu alkuperäisestä (PDF) 27. joulukuuta 2008. Vuonna 2004 tietoverkkorikollisuutta koskeva yleissopimus tuli voimaan. Tämän asiakirjan allekirjoittajien tarkoituksena oli yhdenmukaistaa kansallista lainsäädäntöään tietokonerikoksista, tutkintamenetelmistä ja kansainvälisestä yhteistyöstä. Yleissopimuksen on allekirjoittanut 43 maata (mukaan lukien Yhdysvallat, Kanada, Japani, Etelä-Afrikka, Iso-Britannia ja muut Euroopan maat), ja 16 on ratifioinut sen.

Ei ilman tietokonerikosteknisten tietojen sisällyttämistä asiantuntijoiden koulutusohjelmiin. Kaupalliset yritykset (rikosteknisten ohjelmistojen kehittäjät) ovat alkaneet tarjota sertifiointiohjelmia, ja digitaalinen rikostekninen tutkimus on sisällytetty Yhdistyneen kuningaskunnan asiantuntijakeskuksen opetussuunnitelmaan. Centrex [17] . Mobiililaitteista on 1990-luvun lopulta lähtien tullut kompakteja ja monipuolisempia, ylittäen teknisesti yksinkertaiset viestintälaitteet, ja ne ovat osoittautuneet runsaiksi tietolähteiksi, mikä mahdollistaa rikosten tekemisen, joita ei perinteisesti liity digitaaliseen rikostekniseen tutkimiseen [18] . Yllä mainituista olosuhteista huolimatta puettavan elektroniikan digitaalinen analyysi on jäänyt perinteisten tietokonemedian taakse laitteiden patentoidun luonteen vuoksi [19] . Myöhemmin painopiste siirtyi rikosten tekemiseen Internetissä, mikä johti hybridisodissa uudenlaisen näkökulman syntymiseen sekä sellaisen ilmiön kuin kyberterrorismin syntymiseen.

Helmikuussa 2010 julkaisemassaan raportissa Yhdysvaltain joukkojen johto toi esiin uusia uhkia, jotka johtuvat yleismaailmallisesta informatisoinnista. Raportissa todettiin erityisesti seuraavaa: Kyberavaruuden kautta viholliset kohdistavat kohteen teollisuuteen, tiedemaailmaan, hallitukseen sekä armeijaan. ilmassa, maalla, merellä ja avaruudessa. Samalla tavalla kuin ilmailu muutti toisen maailmansodan taistelukenttää, kyberavaruuden kehitys mursi esteet, jotka suojelivat maata sen kauppaan ja viestintään kohdistuvilta hyökkäyksiltä [20] .

Digitaalisen oikeuslääketieteen alalla on edelleen ratkaisemattomia ongelmia.

Vuonna 2009 julkaistiin Petersonin ja Shenoyn raportti "Digital forensic research: the good, the bad and the inconclusive", jonka mukaan rikoslääketieteen asiantuntijoiden keskuudessa digitaalisessa rikosteknisessä tutkimuksessa paljastui Windows-käyttöjärjestelmiin kohdistuva vino [21] . Vuonna 2010 Simson Garfinkel kertoi haasteista, joita digitaalinen tutkinta kohtaa tulevaisuudessa. Näitä olivat muun muassa digitaalisen median kasvava määrä, salauksen yleinen saatavuus käyttäjille, käyttöjärjestelmien ja tiedostomuotojen moninaisuus, useiden laitteiden omistajuuden lisääntyminen ja tutkijoita koskevat lailliset rajoitukset. Myös Simson Garfinkel huomautti, että useilla tietyillä toimittajilla on vahva kannustin toteuttaa tutkimustuloksiaan monimutkaisten rikosteknisten ohjelmistojen tai sovellusten yhteydessä. Nämä toimittajat välttelevät Unixin työkalupohjaista filosofiaa ja rakentavat sen sijaan mieluummin Microsoft Officen kaltaisia ​​sovelluksia. Tämä lähestymistapa saattaa helpottaa käyttäjien kouluttamista ja edistää tuotteen estämistä, mutta se lisää myös koko verkkotunnuksen kustannuksia [22] .

Muistiinpanot

  1. N. N. Fedotov: Oikeuslääketieteen rikostekninen tietotekniikka - M .: Oikeusmaailma, 2007. - 433 s.
  2. 1 2 N. N. Fedotov: Forensics - tietokonerikostekninen tutkimus - M .: Legal World, 2007. - 432 s.
  3. Gary Palmer, Roadmap for Digital Forensic Research, DFRWS Report 2001, First Digital Forensic Research Workshop, Utica, New York, 7.–8. elokuuta 2001, pp(c)27–30.
  4. Casey, Johann (2004). Digitaaliset todisteet ja tietokonerikokset, toinen painos. Elsevier. ISBN 0-12-163104-4
  5. Golik K. N. Mobiililaitteiden rikostekninen tutkimus // Nykyaikainen oikeuskäytäntö: ajankohtaisia ​​kysymyksiä, saavutuksia ja innovaatioita. Penza. - 2019. - 206-208 s.
  6. Medvedev Ilja Valerievich Tietokoneen rikostekniset tiedot "Oikeuslääketiede" ja tietoverkkorikollisuus Venäjällä // Prologi: Journal of Law. 2013. Nro 3. URL-osoite: https://cyberleninka.ru/article/n/kompyuternaya-kriminalistika-forenzika-i-kiberprestupnost-v-rossii (Saapumispäivä: 26.5.2021
  7. ( https://web.archive.org/web/20100612064428/http://www.clas.ufl.edu/docs/flcrimes/chapter2_1.html)[6 ] (Casey, Johann (2004). Digitaalinen näyttö ja tietokonerikokset, toinen painos Elsevier ISBN 978-0-12-163104-8 .)
  8. (Aaron Phillip; David Cowan; Chris Davis (2009). Hakkeroinnin paljastaminen: Computer Forensics. McGraw Hill Professional. s. 544. ISBN 978-0-07-162677-4 .) [8] (M., M. E. Tietokonerikollisuuden lyhyt historia: A (PDF) Norwichin yliopisto.
  9. (Casey, Johann (2004). Digital Evidence and Computer Crimes, toinen painos. Elsevier. ISBN 978-0-12-163104-8 .)
  10. (Casey, Johann (2004). Digital Evidence and Computer Crime, toinen painos. Elsevier. ISBN 978-0-12-163104-8 .) [8] (M., M. E. "A Brief History of Computer Crime: A" (PDF). Norwichin yliopisto. Arkistoitu (PDF)))
  11. . (Mohai, George M. (2003). Computer Forensics and Intrusion Forensics. Artechhouse. s. 395. ISBN 978-1-58053-369-0 .) [10] (Peter Sommer (tammikuu 2004). "The Future) of Fighting Cybercrime Computer Fraud and Security 2004 (1): 8-12 Doi:10.1016/S1361-3723 (04) 00017-X ISSN 1361-3723)
  12. (Simson L. Garfinkel (elokuu 2010). "Digitaalinen rikostekninen tutkimus: seuraavat 10 vuotta." Digital Investigation. 7: S64 - S73. Doi: 10.1016 / j.diin.2010.05.009. ISSN 177642)
  13. (M Reith; C Carr; G. Gunsch (2002). "Digital Forensic Model Examination". International Journal of Digital Evidence. CiteSeerX 10.1.1.13.9683.) [13] (G. L. Palmer; Olen tiedemies; H View (2002) "Forensic Analysis in the Digital World" International Journal of Digital Evidence.)
  14. (Wilding, E. (1997). Computer Evidence: Handbook of Forensic Investigations. London: Sweet & Maxwell. s. 236. ISBN 978-0-421-57990-3 .) [15] (Collier, PA; Spaul , BJ (1992) "Oikeuslääketieteen tekniikka tietokonerikollisuuden torjumiseksi" Tietokoneet ja laki.)
  15. ^ (K. S. Rosenblatt (1995). High Tech Crimes: Investigating Case Involving Independent. KSK Publications. ISBN 978-0-9648171-0-4 .)
  16. Casey, Johann (2004). Digitaaliset todisteet ja tietokonerikokset, toinen painos. Elsevier. ISBN 978-0-12-163104-8 . "Best Practices in Computer Forensics" (PDF).
  17. Casey, Johann (2004). Digitaaliset todisteet ja tietokonerikokset, toinen painos. Elsevier. ISBN 978-0-12-163104-8 . Peter Sommer (tammikuu 2004). "Kyberrikollisuuden torjunnan tulevaisuus". Tietokonepetokset ja tietoturva. 2004(1): 8-12. Doi: 10.1016/S1361-3723(04)00017-X. ISSN 1361-3723.
  18. Mohai, George M. (2003). Tietokoneen rikostekninen ja tunkeutumisen rikostekninen tutkimus. Artechhouse. 395. ISBN 978-1-58053-369-0 .
  19. Rizwan Ahmed (2008). "Mobile Forensics: yleiskatsaus, työkalut, tulevaisuuden trendit ja haasteet lainvalvonnan näkökulmasta" (PDF). 6. kansainvälinen sähköisen hallinnon konferenssi. Arkistoitu (PDF) alkuperäisestä, päivätty 3.3.2016.
  20. "Yhteistyöympäristö" Arkistoitu 10.8.2013 Wayback Machinessa, raportti julkaistu 18. helmikuuta 2010, s. 34-36.
  21. Peterson, Gilbert; Shenoy, Sujit (2009). Digitaalinen rikostekninen tutkimus: hyvät, pahat ja välinpitämättömät. Edistyminen digitaalisessa rikosteknisissä V. IFIP Advances in Information and Communication Technologies. 306. Springer Boston. s. 17-36. Bibcode:2009adf5.conf...17B. Doi: 10.1007/978-3-642-04155-6_2. ISBN 978-3-642-04154-9 .
  22. Simson L. Garfinkel (elokuu 2010). "Digitaalinen rikostekninen tutkimus: seuraavat 10 vuotta". digitaalinen tutkinta. 7: S64 - S73. Tod.: 10.1016 / j.diin.2010.05.009. ISSN 1742-2876