Компьютерная экспертиза — относительно новая дисциплина среди судебных наук, и многие еще не полностью понимают её суть и методы. Особенно актуальна путаница между извлечением данных и их анализом, а также их ролями в процессе судебной экспертизы.
Лаборатория по киберпреступности разработала блок-схему, которая описывает методологию анализа цифровых доказательств. В данной статье мы рассмотрим эту схему для разъяснения методологии и её этапов. Схема была создана после консультаций с экспертами из различных государственных органов.
II. Обзор методологии проведения компьютерной экспертизы
Компьютерная экспертиза определяется как применение научно обоснованных и проверенных методов для сохранения, сбора, валидации, идентификации, анализа, интерпретации, документирования и представления цифровых доказательств из цифровых источников, с целью содействия или продолжения реконструкции преступных событий.
Этот процесс можно рассматривать как сочетание науки и техники. Хотя инструменты и методы в компьютерной экспертизе являются научными и проверенными, их применение требует навыков и суждений. Поэтому термин «техника» часто используется для описания этого процесса.
Основные элементы компьютерной экспертизы включают:
- Применение научных методов
- Сбор и сохранение доказательств
- Валидацию данных
- Идентификацию
- Анализ и интерпретацию
- Документирование и представление данных
Лаборатория по киберпреступности представляет процесс в виде схемы. Три основных шага: Подготовка/Извлечение, Идентификация и Анализ, будут основным фокусом данной статьи.
III. Подготовка компьютерной экспертизы
Эксперты начинают с вопроса: «Достаточно ли информации для продолжения?» Они удостоверяются, что запрос чётко сформулирован и что имеется достаточно данных для его выполнения. В случае нехватки информации они координируют свои действия с заказчиком.
Первый шаг — валидация всего аппаратного и программного обеспечения для проверки их корректной работы. Хотя споры о частоте тестирования продолжаются, большинство соглашается, что проверка оборудования и программного обеспечения должна проводиться после покупки, перед использованием и после любого обновления или изменения конфигурации.
После подготовки платформы, эксперты создают дубликат данных и проверяют его целостность. Это предполагает, что данные уже были получены законным путем и создана судебная копия. Судебная копия — это побитовая копия данных с оригинального носителя, без изменений. Эксперты используют эту рабочую копию для анализа. 📂💻🔍
Если наши компьютерные эксперты работают с оригинальными доказательствами, они создают рабочую копию и обеспечивают сохранность цепочки хранения оригинала. 🛡️ Важно удостовериться, что копия остаётся неизменной и неповрежденной, что обычно подтверждается верификацией хэша или цифрового отпечатка. В случае проблем эксперты консультируются с заказчиком о дальнейших действиях.
После проверки целостности данных, эксперты разрабатывают план извлечения информации. Запрос на судебную экспертизу уточняется и структурируется в виде вопросов, на которые можно ответить. Выбираются соответствующие инструменты, и формируется «Список поисковых наводок» для указания, что именно искать. Например, запрос может содержать указание на поиск детской порнографии. По мере появления новых наводок они добавляются в список, а обработанные — отмечаются как завершённые. Извлечённые данные добавляются в «Список извлечённых данных». Эксперты затем переходят к следующему этапу методологии — идентификации.
IV. Идентификация
🔍 На этом этапе наши эксперты идентифицируют каждый элемент из «Списка извлечённых данных». Сначала они определяют тип элемента. Если элемент не относится к запросу, он помечается как обработанный. В случае обнаружения инкриминирующих данных, выходящих за рамки первоначального ордера, рекомендуется немедленно прекратить действия, уведомить соответствующих лиц и ждать дальнейших указаний. Например, если обнаружены изображения детской порнографии при расследовании налогового мошенничества, нужно приостановить анализ и получить новый ордер.
Если элемент соответствует запросу судебной экспертизы, он документируется в «Списке релевантных данных». Это коллекция данных, которые отвечают на вопросы запроса. Например, в деле о краже личных данных это могут быть номера социального страхования или изображения поддельных удостоверений.
❗️ Элемент может также стать основой для новых поисковых наводок. Например, электронное письмо может раскрыть новый псевдоним, что приведет к новому поиску по ключевым словам. Если элемент указывает на новый источник данных, например, новый аккаунт электронной почты, может потребоваться получение нового ордера на поиск. 🔗 Судебная экспертиза может выявить различные новые доказательства, такие как журналы межсетевого экрана или записи видеонаблюдения, которые добавляются в «Список новых источников данных». Эксперты возвращаются к новым наводкам для дальнейшего анализа.
V. Анализ
🧩 На этапе анализа эксперты связывают все элементы и создают полную картину для заказчика. Для каждого элемента из «Списка релевантных данных» они отвечают на вопросы: кто, что, когда, где и как. Они объясняют, какой пользователь или приложение создало, изменило или отправило каждый элемент и как он появился. Основное внимание уделяется объяснению значимости информации и её влияния на дело. Эксперты часто предоставляют ценнейший анализ, создавая временные шкалы событий.
Для каждого релевантного элемента эксперты пытаются установить его создание, доступность, изменение, получение, отправку, просмотр, удаление и запуск. Они документируют последовательность событий и взаимодействие различных элементов. Вся информация из анализа добавляется в «Список результатов анализа». Если в процессе появляются новые поисковые наводки или источники данных, они добавляются в соответствующие списки. Когда все этапы завершены, эксперты формируют заключение в области компьютерной экспертизы, документируя все свои находки так, чтобы заказчик мог их понять и использовать в суде или на предварительном следствии.
Бесплатная консультация экспертов
Добрый вечер. 25 января 2024 года, мною была приобретена материнская плата asus h81m-a в магазине…
Добрый день! Наша организация не получила вовремя данные из банка. Результатом является, по нашему мнению,…
Муж нашел фотографию девушки в соц. сетях. похожую на меня. И теперь думает что это…
Задавайте любые вопросы