Informatică criminalistică

Criminalistica computerizată este o ramură a științei criminalistice digitale legată de dovezile dobândite de la computere și alte dispozitive de stocare digitală. Scopul său este de a examina dispozitivele digitale în urma proceselor de analiză criminalistică pentru a identifica, conserva, prelua, analiza și prezenta fapte sau opinii cu privire la informațiile colectate.

Acest lucru înseamnă că această știință este utilizată pe scară largă în investigațiile privind o varietate de infracțiuni cibernetice în care dovezile colectate, supuse acelorași practici și orientări ca orice alte dovezi digitale, vor fi utilizate în proces . În acest scop, sunt utilizate tehnici și principii legate de recuperarea datelor, dar însoțite de proceduri menite să creeze o cale de revizuire și analiză care este legală.

Folosirea sa în cazuri cu profil înalt a dus la criminalistica computerizată, devenind bine cunoscută și acceptată din ce în ce mai mult ca o știință de încredere în cadrul sistemului judiciar .

Context istoric

Conceptul de criminalistică a computerului a apărut la începutul anilor 1980, când computerele personale au început să fie mai accesibile consumatorilor, crescând în același timp utilizarea lor în activități infracționale. În același timp, numărul infracțiunilor identificate și recunoscute ca infracțiuni cibernetice crește. Prin urmare, criminalistica computerizată sa născut inițial ca o metodologie pentru recuperarea și analiza dovezilor digitale care urmează să fie utilizate în fața unei instanțe. De atunci, numărul criminalității informatice sau criminalității informatice a cunoscut o creștere ridicată, cu o creștere de 67% a cazurilor între 2002 și 2003. ^[1]

În prezent, criminalistica computerizată nu mai este doar un instrument de analiză a probelor, ci unul dintre principalele mijloace de anchetă legate de diferite infracțiuni. Acestea includ pornografia infantilă, fraude, spionaj, cyberstalking , crimă și viol. În procesele civile în care este implicată această știință, așa-numita „dovadă generată de computer” ^[2] , adică dovezile generate ca ieșite de computerele în sine, crește; un exemplu în acest sens sunt datele extrase din analiza informațiilor asociate cu celulele telefonice, conectările la un ISP , un robot telefonic simplu și multe altele.

Caracteristici și procese de analiză criminalistică

Utilizarea tehnologiei informației criminalistice și a cunoștințelor dobândite de experții acestei științe ne permite să explicăm starea a ceea ce se numește un artefact digital : un sistem informatic, un dispozitiv de stocare, un document electronic și multe altele. Scopul unei analize criminalistice poate deci varia de la recuperarea unor informații simple până la reconstrucția unei serii de evenimente. Cu toate acestea, este important să subliniem modul în care criminalistica computerizată, adesea recunoscută atât ca artă, cât și ca știință, în ciuda faptului că oferă diferite metode de extragere a dovezilor digitale și non-digitale, își pierde din ce în ce mai mult flexibilitatea și cunoștințele atunci când îndeplinește aplicația drept, pe bună dreptate rigidă și lipsită de flexibilitate. ^[3]

Procesele de investigații criminalistice computerizate respectă adesea standardele de analiză criminalistică digitală: achiziție, examinare, analiză și raportare. Investigația se efectuează în principal pe date statice într-un laborator de analize (videoclipuri și imagini recuperate), mai degrabă decât în „câmp”. Această metodologie este consolidată în principal odată cu nașterea unor instrumente specializate și avansate, inițial absente sau nu foarte răspândite în rândul analiștilor criminalistici.

Tehnici și instrumente

Analiza Cross-Drive

Analiza încrucișată este o tehnică care vă permite să corelați informații extrase de pe mai multe unități de disc, recunoscând, de exemplu, organizații posibile între oameni sau recunoscând anomalii de date în raport cu tiparele specifice. ^[4] ^[5]

Analiza live

Examinări efectuate în cadrul sistemului de operare al computerelor analizate prin utilizarea instrumentelor existente sau ad-hoc pentru extragerea informațiilor. Practică utilă în cazul sistemelor cu sistemul de criptare a fișierelor , unde se poate obține cheia de criptare și adesea pot fi obținute imagini ale discului logic înainte de oprirea computerului.

Recuperarea fișierelor șterse

Este una dintre cele mai comune tehnici implementate de software-ul criminalistic modern. Foarte des, sistemele de operare și sistemele de fișiere nu șterg fizic datele, permițându-le să fie reconstruite din sectoarele fizice ale discului. Chiar și în absența metadatelor asociate cu sistemul de fișiere, tehnicile de recuperare cunoscute sub numele de sculptură de fișiere pot fi utilizate pentru a obține sau reconstrui materialele șterse. ^[6]

Analiza stocastică

Metodă de analiză care utilizează proprietățile statistice ale sistemului informatic analizat pentru a investiga anumite activități în absența artefactelor digitale din care să înceapă investigațiile.

Metode anti steganografie

Tehnici folosite de experții în informatică criminalistică pentru a combate infracțiunile asociate cu date ascunse prin tehnica steganografiei (mascarea datelor din imagini prin modificarea biților). Aceste tehnici se bazează pe realizarea și compararea hashurilor obținute pornind de la imaginile originale și cele analizate; acest lucru se datorează faptului că o imagine identică a ochiului va avea un hash diferit dacă codificarea sa de biți este modificată. ^[7]

Analiza de bază

Pentru a efectua o investigație criminalistică există mai multe instrumente, inclusiv open source. Analizele tipice pornesc de la consultarea manuală a dispozitivelor, verificarea registrelor din sistemele Windows, descoperirea sau crăparea parolelor, căutarea cuvintelor cheie legate de orice infracțiune, extragerea de e-mailuri, imagini și alte informații. ^[8]

Protecția integrității datelor și problema volatilității

În domeniul tehnologiei informației criminalistice, un aspect fundamental este protejarea datelor prezente pe suportul de stocare plasat sub constrângerea confiscării, deci nu în disponibilitatea proprietarului.

Pentru a proteja datele și a garanta inalterabilitatea acestora din urmă, operatorii responsabili de analiza dispozitivelor de stocare utilizează anumite metode menite să garanteze și să dovedească corespondența exactă a conținutului în orice moment al analizei. Pentru a face acest lucru posibil, este necesar să „înghețăm” datele, adică să punem la dispoziție dispozitivele tehnologice pentru a preveni scrierea de biți (chiar accidentală) și pentru a verifica dacă mai târziu datele prezente sunt aceleași. Pentru a îndeplini aceste obligații, pe lângă utilizarea instrumentelor hardware sau software care inhibă orice scriere pe dispozitivele de stocare, se utilizează algoritmi hash (de obicei MD5 sau SHA1 ) pentru a genera un fel de amprentă digitală a fiecărui fișier și / sau a întregului conținutul dispozitivului, făcând astfel posibilă verificarea integrității acestuia în orice moment după confiscare.

Un blocator de scriere portabil conectat la un hard disk

Dispozitivele hardware care permit accesul pe disc în modul de citire numai se numesc blocante de scriere : prin intermediul acestora este posibilă citirea datelor prezente în dispozitiv, extragerea celor de interes sau procedarea cu copia criminalistică . Utilizarea blocatorului de scriere necesită în mod necesar un computer, iar viteza de achiziție depinde de performanțele mașinii utilizate pentru efectuarea copierii.

Un alt tip de dispozitiv hardware este copiatorul al cărui singur scop este să copieze bit cu bit discul „suspect” (obiect de confiscare) pe un alt disc, păstrând în același timp integritatea acestuia așa cum se întâmplă pentru blocatorul de scriere. Copiatorele ating viteze de achiziție foarte mari, atingând adesea 5 GByte pe minut și nu necesită utilizarea unui computer pentru a fi utilizate.

Din punct de vedere al software-ului, un instrument excelent care împiedică scrierea (și, prin urmare, chiar modificarea involuntară a datelor de pe dispozitiv) este Linux : folosind comanda mount vă permite să montați dispozitivul în modul de citire numai (opțiunea nu este disponibilă pe În schimb, sistemele Windows care necesită un blocaj de scriere pentru a accesa discul sursă).

O altă problemă, legată de recuperarea dovezilor digitale, este memoria RAM. Orice informație stocată exclusiv în ea care nu este recuperată înainte ca computerul să fie oprit se poate pierde. Preluarea acestor informații este un exemplu de analize live.

Cu toate acestea, memoria RAM poate fi analizată pentru conținut chiar și după oprirea aparatului; acest lucru se datorează faptului că încărcarea stocată în celule durează încă un anumit timp pentru a se disipa. Lungimea acestei marje de timp, deci posibilitatea de recuperare a datelor, crește pe măsură ce scade temperatura la care este menținută memoria RAM și crește tensiunea la care au fost supuse celulele. Exemple de temperaturi la care se poate ține o memorie RAM deconectată pentru o analiză sunt -60 ° C. Toate acestea sunt în mod evident imposibil de realizat într-o analiză de teren. ^[9]

Multe dintre instrumentele utilizate pentru recuperarea volatilă a datelor necesită, de asemenea, ca computerul să se afle într-un laborator criminalistic; atât pentru a menține dovezile legitime, cât și pentru a facilita munca analiștilor. Dacă este necesar, urmând principiile dictate de reglementări, este posibil să se transporte un sistem „live” și să se utilizeze instrumente pentru a-l menține în starea respectivă. Printre aceste instrumente sunt identificate jiggler-urile mouse-ului, utilizate pentru a împiedica un computer care nu primește intrarea să intre în stand-by (posibil blocare) și sursele de alimentare neîntreruptibile pentru a fi utilizate în timpul transportului la laboratoare.

Una dintre metodele preferate de recuperare a datelor este însă utilizarea de instrumente care vă permit să transferați RAM pe disc. Mai multe sisteme de fișiere au mecanismul de jurnalizare care vă permite să păstrați o mare parte a datelor RAM în mediul de stocare principal în timpul operațiunilor; prin asamblarea acestor informații puteți reconstrui ceea ce se afla în prezent în RAM. ^[10]

Expert criminalist digital

Termenul „expert criminalist computerizat” este folosit pentru a identifica figura profesională care își împrumută activitatea în domeniul infracțiunilor informatice sau infracțiunilor informatice . Întrucât nu există o definiție univocă inclusă în termenul „criminalistică computerizată”, expertul în criminalistică informatică trebuie să aibă grijă de „păstrarea, identificarea, studierea și analiza conținutului stocat în orice mediu sau dispozitiv de stocare”. Activitățile vizează nu numai toate categoriile de computere, ci orice echipament electronic cu potențial de stocare a datelor (de exemplu, telefoane mobile, smartphone-uri, sisteme de automatizare a locuințelor, autovehicule și tot ceea ce conține date stocate). Având în vedere eterogenitatea suporturilor investigabile, este de preferat să numim această figură profesională „expert criminalist digital”.

Relația cu securitatea IT

Există o diferență între criminalistică și securitatea computerelor , deși aceste două domenii de activitate sunt strâns legate; Securitatea cibernetică poate fi considerată, pe de o parte, ca un obstacol și, pe de altă parte, ca o sursă de instrumente și oportunități pentru criminalistica computerizată. De fapt, securitatea IT are ca scop final să abordeze crearea de sisteme cât mai sigure posibil, dar dacă acest grad de securitate ar fi ridicat (de exemplu, de către persoana responsabilă pentru o infracțiune), prin definiție, ar fi mai mult complicat de extras conținutul informațional dorit.

În acest caz, achiziționarea descoperirilor IT va necesita „încălcarea” sistemului analizat, iar în acest domeniu va contribui chiar securitatea IT, ca sursă de studii privind tehnicile de hacking (utile pentru realizarea accesului la informațiile protejate) ) și aplicarea lor practică. În plus, „cele mai bune practici” de securitate definesc multe cerințe privind sistemele care, dacă sunt aplicate corect, pot pune ulterior la dispoziție un număr mare de informații suplimentare, care pot fi utilizate pentru analiza criminalistică.

In lume

Italia

În Italia, legea de referință care definește modul de utilizare în drept a rezultatelor unei analize criminalistice în instanță, este din 18 martie 2008 n. 48, care a ratificat Convenția Consiliului Europei privind criminalitatea informatică, semnată la Budapesta la 23 noiembrie 2001.

Standardul prevede:

sancțiuni mai grele pentru criminalitatea informatică;
reguli mai eficiente împotriva pornografiei infantile online;
sancțiuni și împotriva companiilor;
posibilitatea ca agențiile de aplicare a legii să solicite furnizorului să înghețe datele telematice timp de 6 luni;
garanții mai mari pentru datele cu caracter personal ^[11]

Notă

^ (EN) Leigland, R, A Formalization of Digital Forensics (PDF) pe utica.edu, septembrie 2004. Accesat pe 29 mai 2016.
^ P. Tonini, Manual de procedură penală , Giuffré, 2010, p. 320. Accesat la 29 mai 2016 (arhivat din original la 29 mai 2016) .
^ (EN) Gunsch, G, An Examination of Digital Forensic Models (PDF) pe utica.edu, august 2002. Accesat pe 29 mai 2016.
^ (RO) Garfinkel, S.,Forensic Feature Extraction și Cross-Drive Analysis (PDF) pe simson.net, august 2006. Accesat pe 29 mai 2016.
^ (EN) EXP-SA: Predicția și detectarea calității de membru al rețelei prin analiza automată a hard diskului pe nsf.gov. Adus pe 29 mai 2016 .
^ (EN) Aaron Phillip, David Cowen și Chris Davis, Hacking Exposed Computer Forensics , McGraw Hill Professional, 2009, p. 544, ISBN 0-07-162677-8 . Adus pe 29 mai 2016 .
^ (EN) Dunbar, B, O privire detaliată asupra tehnicilor steganografice și utilizarea lor într-un mediu Open-Systems (PDF) pe sans.org, ianuarie 2001. Accesat pe 29 mai 2016.
^ (EN) Eoghan Casey, Digital Evidence and Computer Crime, Ediția a doua , Elsevier, 2004, ISBN 0-12-163104-4 . Adus pe 29 mai 2016 .
^ (EN) J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum și Edward W. Felten, Ca să nu ne amintim: Atacuri la pornire la criptare Keys , Universitatea Princeton, 21 februarie 2008. Adus pe 29 mai 2016 .
^ (EN) Geiger, M, Evaluating Commercial Counter-Forensic Tools (PDF) pe dfrws.org, martie 2005. Accesat pe 29 mai 2016 (depus de „Original url 30 decembrie 2014).
^ Cybercrime: Convenția de la Budapesta ratificată , pe altalex.com , 7 aprilie 2008. Adus pe 29 mai 2016 .

Bibliografie

Andrea Ghirardini, Gabriele Faggioli, Computer Forensics , Apogeo , 2007, ISBN 88-503-2593-2 .
George Reis, Analiza criminalistică cu Photoshop , Apogeo , 2008, ISBN 88-503-2744-7 .
Marco Cuniberti; Giovanni Battista Gallus; Francesco Paolo Micozzi, The new computer crimes , Giappichelli , 2009, ISBN 978-88-7524-158-2 .
Stefano Aterno; Francesco Cajani; Gerardo Costabile; Marco Mattiucci; Giuseppe Mazzaraco, Computer Forensics and digital investigations , Experta , 2011, ISBN 978-88-6021-258-0 .
David D'Agostini; Sabrina D'Angelo; Luca Violino, Drept penal al tehnologiei informației de la infracțiuni informatice la criminalistică digitală , Experta , 2007, ISBN 978-88-6021-070-8 .

Elemente conexe

linkuri externe

Curs de criminalistică computerizată la Universitatea din Bologna , pe informaticaforense.it .
Curs avansat în „Computer forensics” al Universității din Milano , pe forensics.unimi.it .
Informații în limba italiană privind analiza criminalistică , pe newstechnology.eu . Adus la 28 decembrie 2008 (arhivat din original la 16 mai 2009) .

Controlul autorității	Thesaurus BNCF 52087 · GND (DE) 4774034-6

Portal dreapta

Portal IT

[1] (EN) Leigland, R, A Formalization of Digital Forensics (PDF) pe utica.edu, septembrie 2004. Accesat pe 29 mai 2016.

[2] P. Tonini, Manual de procedură penală , Giuffré, 2010, p. 320. Accesat la 29 mai 2016 (arhivat din original la 29 mai 2016) .

[3] (EN) Gunsch, G, An Examination of Digital Forensic Models (PDF) pe utica.edu, august 2002. Accesat pe 29 mai 2016.

[4] (RO) Garfinkel, S.,Forensic Feature Extraction și Cross-Drive Analysis (PDF) pe simson.net, august 2006. Accesat pe 29 mai 2016.

[5] (EN) EXP-SA: Predicția și detectarea calității de membru al rețelei prin analiza automată a hard diskului pe nsf.gov. Adus pe 29 mai 2016 .

[6] (EN) Aaron Phillip, David Cowen și Chris Davis, Hacking Exposed Computer Forensics , McGraw Hill Professional, 2009, p. 544, ISBN 0-07-162677-8 . Adus pe 29 mai 2016 .

[7] (EN) Dunbar, B, O privire detaliată asupra tehnicilor steganografice și utilizarea lor într-un mediu Open-Systems (PDF) pe sans.org, ianuarie 2001. Accesat pe 29 mai 2016.

[8] (EN) Eoghan Casey, Digital Evidence and Computer Crime, Ediția a doua , Elsevier, 2004, ISBN 0-12-163104-4 . Adus pe 29 mai 2016 .

[9] (EN) J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum și Edward W. Felten, Ca să nu ne amintim: Atacuri la pornire la criptare Keys , Universitatea Princeton, 21 februarie 2008. Adus pe 29 mai 2016 .

[10] (EN) Geiger, M, Evaluating Commercial Counter-Forensic Tools (PDF) pe dfrws.org, martie 2005. Accesat pe 29 mai 2016 (depus de „Original url 30 decembrie 2014).

[11] Cybercrime: Convenția de la Budapesta ratificată , pe altalex.com , 7 aprilie 2008. Adus pe 29 mai 2016 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

V · D · M Criminalistica
Concepte generale	Anchetator · Investigație · Dovezi (lege) · Raport · Scena criminalității
Ramuri și discipline	Forensic Antropologie · Medicină Legală Arheologie · balistică Medicină Legală · Dermatologie legală · criminalistică etică · criminalistică Entomologie · Medicină Legală Geologie · Identikit · Forensic Nursing · Calcul Legală · Medicină Legală · Medicină legală · Legală Odontologie · criminalistice · Medicină Legală Psihiatrie · Podiatrie criminalistică · Psihologie · Toxicologie criminalistică · Urme de criminalistică
Metode și instrumente de investigație	Detectarea suspectului de abuz asupra copiilor · Autopsie · Analiza criminalistică a rețelelor sociale · Analiza cazurilor de cale rece · Analiza urmelor de sânge · Analiza stresului vocal · Copie criminalistică · Sfaturi tehnice (civile) · Sfaturi tehnice (criminale) · Mănuși de parafină · Interogare · Atingere · eroare · Video criminalistică · Expertiză · expertiză caligrafică · Profilare criminală · Traumatism balistic