Что такое компьютерная экспертиза? 🖥️🔍

Что такое компьютерная экспертиза? 🖥️🔍
Компьютерная экспертиза, также известная как цифровая экспертиза, проводится подготовленными экспертами, которые извлекают данные (истории поиска, записи о покупках, журналы учета рабочего времени и многое другое) с устройств, включая, но не ограничиваясь ими: компьютеры, планшеты и смартфоны. Затем они могут исследовать и анализировать данные, прежде чем представить их в виде, понятном людям, которые могут быть не знакомы с экспертизой или информатикой.

Если вы хотите узнать больше о компьютерной экспертизе, мы составили это всеобъемлющее руководство, охватывающее все, что вам нужно знать, без каких-либо технических знаний. Наша цель — дать каждому читателю общее представление о компьютерной экспертизе, чтобы помочь им лучше понять различные процессы и когда их следует использовать.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Мы используем термин ‘компьютер’ на протяжении всей этой статьи, но обсуждаемая нами концепция может применяться к любому устройству, способному хранить цифровую информацию.

Когда и как используется компьютерная экспертиза? 📊🕵️‍♂️ Существует не так уж много областей преступности или гражданских споров, где компьютерная экспертиза не может быть применена. Правоохранительные органы были одними из первых и наиболее заметных пользователей компьютерной экспертизы, и в результате они часто были в авангарде разработок в этой области.

Компьютеры можно рассматривать как «место преступления» – например, при хакерских атаках или отказе в обслуживании. В них могут храниться доказательства преступлений, произошедших в других местах, в виде электронных писем, истории Интернета, документов или других файлов, имеющих отношение к таким преступлениям, как убийства, похищения людей, мошенничество или незаконный оборот наркотиков.

Судебная компьютерная экспертиза может выявить гораздо больше, чем ожидалось.

Компьютерные эксперты интересуются не только содержанием электронных писем, документов и других файлов, но и метаданными, связанными с этими файлами. Метаданные предоставляют дополнительную информацию об определенном наборе данных, которая сама по себе может быть показательной. Например, записи действий пользователя также могут храниться в файлах журналов и других приложениях на компьютере, таких как интернет-браузеры.

Таким образом, компьютерная судебная экспертиза может выявить, когда документ впервые появился на компьютере, когда он в последний раз редактировался, когда он в последний раз сохранялся или распечатывался и какой пользователь выполнял эти действия.

Коммерческие организации использовали компьютерную экспертизу для оказания помощи во всех видах дел, включая:

  • Кражу интеллектуальной собственности
  • Трудовые споры
  • Мошенничество со счетами, часто вызванное фишинговыми электронными письмами
  • Подделки
  • Ненадлежащее использование электронной почты и Интернета на рабочем месте
  • Соответствие нормативным требованиям

Рекомендации по успешной компьютерной экспертизе 📝 Чтобы доказательства, найденные в ходе компьютерной судебной экспертизы, были приемлемыми, они должны быть надежными и ‘не наносить ущерба’. Это означает, что эксперт должен помнить о приемлемости на каждом этапе расследования.

Руководство по надлежащей практике использования цифровых доказательств Британской ассоциации начальников полиции – или Руководство ACPO — это широко используемый и уважаемый набор руководящих принципов для следователей. ACPO теперь стал Советом начальника Национальной полиции. Руководство не обновлялось несколько лет, но его содержание остается актуальным. Технологии меняются, но принципы остаются неизменными.

Четыре основных принципа из руководства APCO:

  1. Никакие действия не должны изменять данные, хранящиеся на компьютере или носителях информации, на которые впоследствии можно будет ссылаться в суде.
  2. В обстоятельствах, когда лицо считает необходимым получить доступ к исходным данным, хранящимся на компьютере или носителе информации, это лицо должно быть компетентно для этого и быть в состоянии представить доказательства, объясняющие актуальность и последствия своих действий.
  3. Должен быть создан и сохранен журнал аудита или другая запись всех процессов, применяемых к компьютерным электронным доказательствам. Независимая третья сторона должна иметь возможность изучить эти процессы и достичь того же результата.
  4. Лицо, ответственное за расследование, несет общую ответственность за обеспечение соблюдения закона и этих принципов.

Оперативное получение данных: получение данных с подключенного компьютера ⚙️💾 Бывают ли случаи, когда компьютерному судебному эксперту может потребоваться внести изменения в компьютер подозреваемого и – при этом – пойти вразрез с первым принципом, изложенным выше? ДА.

Традиционно эксперты копируют данные с выключенного устройства. Они используют блокировщик записи, чтобы создать точную побитовую копию исходного носителя данных и создать хэш для сбора данных исходного носителя. Затем они работают с этой копией, оставляя оригинал неизменным.

Однако иногда выключать компьютер невозможно (или желательно). Возможно, это приведет к значительным финансовым или иным потерям для владельца или приведет к необратимой потере ценных улик. В этих случаях компьютерному судебно-медицинскому эксперту может потребоваться выполнить «оперативный сбор данных». Это включает в себя запуск простого приложения на подозрительном компьютере для копирования (получения) данных в хранилище данных эксперта.

Запуская такое приложение (и подключая устройство, например USB-накопитель, к подозрительному компьютеру), эксперт вносит в компьютер изменения и / или дополнения, которых раньше не было. Но если эксперт зафиксирует эти действия, сможет показать, почему они были необходимы, и объяснить суду их последствия, представленные доказательства, как правило, все еще допустимы.

Этапы компьютерной судебной экспертизы 🛠️ Общий процесс компьютерной судебной экспертизы разделен на шесть этапов.

  1. Готовность
    Готовность к судебной экспертизе — важный этап процесса, который иногда упускается из виду. В коммерческой компьютерной экспертизе это может включать обучение клиентов готовности системы. Например, судебная экспертиза дает более веские доказательства, если функции аудита устройства были активированы до того, как произошел инцидент.

Для судебного эксперта готовность включает соответствующее обучение, тестирование и верификацию его собственного программного обеспечения и оборудования. Они должны быть знакомы с законодательством, знать, как справляться с неожиданными проблемами (например, что делать, если во время мошенничества были обнаружены изображения жестокого обращения с детьми) и убедиться, что их компьютер для сбора данных и связанные с ним предметы подходят для выполнения задачи.

  1. Оценка
    На этапе оценки эксперт получает инструкции и должен обратиться за разъяснениями, если что-либо из них неясно или двусмысленно. Затем он проведет анализ рисков и распределит роли и ресурсы. Для правоохранительных органов анализ рисков может включать оценку вероятности физической угрозы при проникновении на территорию подозреваемого и наилучших способов борьбы с ней.

Коммерческим организациям также необходимо учитывать вопросы охраны труда и техники безопасности, конфликта интересов и другие возможные риски (например, для своих финансов или репутации), когда они соглашаются на конкретный проект.

  1. Коллекция
    Если сбор данных (часто называемый ‘визуализацией’) осуществляется на месте, а не в офисе компьютерной судебной экспертизы, этот этап включает идентификацию и обеспечение безопасности устройств, на которых могут храниться улики, и документирование места происшествия.

Эксперт также проведет собеседования или встречи с персоналом, который может располагать информацией, имеющей отношение к экспертизе, например, с конечными пользователями компьютера, менеджером и лицом, ответственным за компьютерное обслуживание (например, с ИТ-администратором).

Этап сбора может также включать маркировку и расфасовку предметов с сайта, которые могут быть использованы в расследовании. Они упаковываются в пронумерованные пакеты, защищающие от вскрытия. Затем материал должен быть надежно доставлен в офис эксперта или лабораторию.

  1. Анализ
    Анализ включает в себя обнаружение и извлечение информации, собранной на этапе сбора. Тип анализа зависит от потребностей каждого конкретного случая. Он может варьироваться от извлечения одного электронного письма до сведения воедино сложностей дела о мошенничестве или терроризме.

Во время анализа эксперт обычно передает свои выводы своему линейному руководителю или клиенту. Эти обмены мнениями могут привести к тому, что анализ пойдет по другому пути или сузится до определенных областей. Судебный анализ должен быть точным, тщательным, беспристрастным, регистрироваться, повторяться и завершаться в доступные сроки и с выделенными ресурсами.

Для компьютерного анализа доступно множество инструментов. Эксперт должен использовать любой инструмент, который ему удобен, при условии, что он может обосновать свой выбор. Инструмент компьютерной экспертизы должен выполнять то, для чего он предназначен, поэтому экспертам следует регулярно тестировать и калибровать свои инструменты перед проведением какого-либо анализа.

Эксперты также могут использовать ‘проверку двумя инструментами’ для подтверждения целостности своих результатов в ходе анализа. Например, если эксперт находит артефакт X в местоположении Y с помощью инструмента A, он должен иметь возможность воспроизвести эти результаты с помощью инструмента B.

  1. Презентация
    На этом этапе эксперт составляет структурированный отчет о своих выводах, в котором рассматриваются пункты первоначальных инструкций, а также любые дальнейшие инструкции, которые он получил. В отчете также должна содержаться любая другая информация, которую эксперт сочтет относящейся к расследованию.

Отчет должен быть написан с учетом потребностей конечного читателя. Часто читатель может не обладать высоким уровнем технических знаний, поэтому следует использовать соответствующую терминологию. Эксперту может потребоваться участие в совещаниях или телеконференциях для обсуждения и доработки своего отчета.

  1. Обзор
    Как и этап подготовки, проверку часто упускают из виду или игнорируют, поскольку это не оплачиваемая работа или потому, что эксперту необходимо приступить к следующему расследованию. Но проведение обзора каждой экспертизы может сделать будущие проекты более эффективными и экономящими время, что сэкономит деньги и повысит качество расследований в долгосрочной перспективе.

Анализ результатов экспертизы может быть простым, быстрым и начинаться на любом из вышеперечисленных этапов. Оно может включать базовый анализ того, что пошло не так, а что прошло хорошо, наряду с отзывами человека или компании, которые запросили расследование. Любые уроки, извлеченные на этом этапе, следует применить к будущим экспертизам и учесть на этапе подготовки.

С какими проблемами сталкиваются специалисты по компьютерной экспертизе? 🚧 Специалисты по компьютерной экспертизе сталкиваются с тремя основными категориями проблем: техническими, юридическими и административными.

Технические проблемы

  • Шифрование
    Зашифрованные данные могут быть недоступны для просмотра без правильного ключа или пароля. Если ключ недоступен или владелец не раскрывает его, он может быть сохранен:

    • В других местах компьютера
    • На другом компьютере, к которому подозреваемый может получить доступ
    • В энергозависимой памяти компьютера (ОЗУ). Обычно она теряется при выключении компьютера При наличии шифрования эксперту может потребоваться рассмотреть возможность использования методов «оперативного сбора данных», описанных выше.
  • Увеличение объема памяти
    На носителях хранятся все большие объемы данных, поэтому компьютерам для анализа, используемым экспертом, требуется достаточная вычислительная мощность и доступная емкость хранилища для эффективного поиска и анализа больших объемов данных.
  • Новые технологии
    Вычислительная техника — это постоянно развивающаяся область, в которой постоянно появляются новые аппаратные средства, программное обеспечение и операционные системы. Ни один компьютерный судебный эксперт не может быть экспертом во всех областях, хотя от него часто ожидают анализа вещей, с которыми он раньше не сталкивался.

Это означает, что специалисты по компьютерной экспертизе должны быть подготовлены и иметь возможность экспериментировать с новыми технологиями. На данном этапе полезно наладить взаимодействие и поделиться знаниями с другими компьютерными судебными экспертами, потому что кто-то другой, возможно, уже сталкивался с такой же проблемой.

  • Антиэкспертиза
    Антиэкспертиза — это практика попыток помешать компьютерному судебному анализу с помощью шифрования, перезаписи данных, чтобы сделать их невосстановимыми, изменения метаданных файлов и запутывания файлов (маскировки файлов). Как и в случае с шифрованием, доказательства того, что использовались такие методы, могут храниться в другом месте на компьютере или на другом компьютере, к которому подозреваемый может получить доступ.

По нашему опыту, очень редко можно увидеть, чтобы инструменты защиты от экспертизы использовались правильно и достаточно часто, чтобы полностью скрыть их присутствие или наличие улик, для сокрытия которых они использовались.

Юридические вопросы

  • Законодательные сферы
    Данные часто хранятся не на компьютере человека, а на удаленных компьютерах, на которых он арендует место для хранения, иначе известное как ‘облако’. Эти данные могут находиться в другой стране, что означает, что доступ к ним может быть связан с другим законодательством. И если доступ возможен, он может быть сложным и дорогостоящим.
  • Юридические аргументы
    Юридические вопросы могут сбить с толку или отвлечь от выводов компьютерной экспертизы. Одним из примеров этого является ‘Защита от троянов». Троянец — это фрагмент компьютерного кода, замаскированный под нечто безвредное, но имеющий скрытую вредоносную цель. Трояны имеют множество применений, включая протоколирование ключей, загрузку файлов и установку вирусов.

Юрист может доказать, что действия на компьютере были выполнены не пользователем, а автоматизированы троянцем без ведома пользователя. Этот вид защиты от троянцев успешно использовался даже тогда, когда на компьютере подозреваемого не было обнаружено никаких следов троянца или другого вредоносного кода.

В таких случаях компетентный юрист противоположной стороны, предоставленный доказательствами компетентного компьютерного эксперта, должен быть в состоянии отклонить аргумент. Хороший эксперт выявит и рассмотрит возможные аргументы «оппозиции» на этапах анализа и написания своего отчета.

Административные вопросы

  • Принятые стандарты
    В компьютерной экспертизе существуют всевозможные стандарты и руководства, лишь немногие из которых являются общепринятыми. Причины этого включают:

    • Органы, устанавливающие стандарты, могут быть привязаны к определенному законодательству
    • Стандарты предназначены либо для правоохранительных органов, либо для коммерческой экспертизы, но не для того и другого
    • Авторы таких стандартов не принимаются их коллегами
    • Высокие вступительные взносы в профессиональные организации могут отпугнуть практикующих специалистов
  • Пригодно для практики
    Во многих юрисдикциях нет компетентного органа для проверки компетентности и добросовестности специалистов в области компьютерной экспертизы. Это означает, что любой может представить себя экспертом по компьютерной экспертизе, что, в свою очередь, может привести к некачественным экспертизам и негативному взгляду на профессию в целом.

В Федерацию судебных экспертов мы являемся экспертами в области компьютерной экспертизы. Если вам нужна помощь, пожалуйста, напишите нам, и мы будем рады проконсультировать вас. Вы также можете заказать компьютерное расследование у одного из наших опытных специалистов. Мы ждем вас! 🌟📞

Похожие статьи

Бесплатная консультация экспертов

Экспертиза материнской платы
Савелий - 3 недели назад

Добрый вечер. 25 января 2024 года, мною была приобретена материнская плата asus h81m-a в магазине…

Компьютерная экспертиза программы Ibank2
Владислав - 3 недели назад

Добрый день! Наша организация не получила вовремя данные из банка. Результатом является, по нашему мнению,…

Портретная экспертиза по фотографии в соцсетях
Клавдия - 3 недели назад

Муж нашел фотографию девушки в соц. сетях. похожую на меня. И теперь думает что это…

Задавайте любые вопросы

20+14=

Задайте вопрос экспертам