Криминалистический поиск

Криминалистический поиск - это новая область компьютерной криминалистики. Криминалистический поиск фокусируется на данных, созданных пользователями, таких как файлы электронной почты, записи сотовых телефонов, офисные документы, PDF-файлы и другие файлы, которые легко интерпретируются человеком.

Криминалистический поиск отличается от компьютерного криминалистического анализа тем, что он не пытается проверять или анализировать системные файлы нижнего уровня, такие как реестр, файлы ссылок или проблемы на уровне диска, более часто связанные с традиционными компьютерная криминалистическая экспертиза.

• 1 Почему экспертный поиск
• 2 Цели экспертного поиска
• 3 Преимущества программного обеспечения для криминалистического поиска
• 4 Другие типы проверки
• 5 Значения доказательств данных, созданных пользователем, по сравнению с другими типами данных
• 6 Функциональность программного обеспечения для судебного поиска на высоком уровне
• 7 Изменения в компьютерной криминалистике
• 8 Препятствия на пути внедрения криминалистического поиска в правоохранительные органы
• 9 Заключение
• 10 Источники

Криминалистический поиск возник из-за ряда факторов, включая:

• Улучшения в технологиях, позволяющие менее квалифицированным пользователям выполнять поиск и анализ данных, которые ранее выполнялись бы только экспертом-компьютерщиком. (Эта тенденция прослеживается во многих отраслях.)
• Необходимость снизить высокие затраты на проведение полного компьютерного криминалистического анализа компьютера пользователя, когда в большинстве случаев доказательства, обнаруженные в данных, созданных пользователем, являются наиболее значительными. полезные и все, что требуется.
• Рост облачных вычислений, в результате которого произошел переход от хранения данных на аппаратных средствах локального компьютера к хранению данных в любом количестве удаленных мест.
• Отсутствие квалифицированных экспертов в области компьютерной криминалистики
• Необходимость устранения накопившихся дел в большинстве полицейских агентств, где компьютерная информация требует проверки.
• Необходимость привлечения других видов экспертизы для правильной оценки доказательств, например знание правил бухгалтерского учета, юридические знания и т. д.

Задача программного обеспечения судебно-медицинской экспертизы - позволить человеку, имеющему только общие знания о компьютерах, но обладающему навыками проверки документов или методов расследования, для выполнения и поиска пользователь создал Электронно хранимую информацию (ESI). Данные, которые обычно считаются созданными пользователем, ESI состоят из электронных писем, документов, изображений и других типов файлов, созданных пользователем, в отличие от данных, созданных операционной системой компьютера (то есть файлов реестра, файлов ссылок, нераспределенного пространства. контролируются или создаются компьютером, а не пользователем). Целью просмотра данных, созданных пользователями, является поиск информации, которая может быть использована для принятия решений в рамках расследования.

Программное обеспечение для судебного поиска отличается от использования собственных приложений (например, Outlook) или программного обеспечения для поиска на рабочем столе (например, Google Desktop ) для поиска данных, чтобы в процессе обработки или поиска не было внесено никаких изменений, которые могут повлиять на результаты или исказить выводы. Программное обеспечение интеллектуального поиска также позволит получить доступ к базовым метаданным элементов, недоступных через собственное приложение. Хорошим примером этого могут быть метаданные в документах MS Word. Ряд программных продуктов Forensic Search сможет выполнять восстановление данных для различных типов файлов электронной почты.

Некоторые примеры того, как использование собственного приложения или приложения без криминалистической экспертизы может повлиять на данные:

• Открытие документа Microsoft Word в Microsoft Word может изменить дату создания, изменения или последнего доступа в документе. Это может привести к тому, что в доказательствах будут представлены неверные даты.
• Просмотр данных в некоторых собственных приложениях вызовет запуск системного антивируса, снова изменяя данные или изменяя свидетельства.
• Неспособность заморозить свидетельство до открытие файлов в сочетании с тем фактом, что простое открытие файлов меняет их, может сделать недействительными критические доказательства.

Программное обеспечение для криминалистического поиска сравнивают с eDiscovery просмотрите программное обеспечение, однако это не совсем так. Программное обеспечение для просмотра электронных данных, работая со многими аналогичными типами компьютерных записей и опциями поиска, предлагает дополнительные функции по сравнению с программным обеспечением судебного поиска. Такие функции, как редактирование и юридическое удержание, являются стандартными в программном обеспечении для просмотра электронных данных. Также бывает, что программное обеспечение интеллектуального поиска не соответствует задачам более высокого уровня, изложенным в широко распространенной эталонной модели электронного обнаружения (EDRM). Такие задачи, как идентификация, сбор, сохранение или представление, как правило, не выполняются программным обеспечением для интеллектуального поиска.

Однако настоящая проверка eDiscovery, как правило, является прерогативой квалифицированных практикующих юристов или компаний.

Использование термина eDiscovery стало уловом в некоторых кругах для обработки и поиска информации, хранящейся в электронном виде. (ESI). Однако это неверное представление о термине eDiscovery. Для более детального понимания eDiscovery справочная модель Electronic Discovery (EDRM) является хорошим руководством.

Можно сказать, что судебный поиск более тесно связан с Early Case Assessment (ECA) чем eDiscovery, поскольку ECA не требует тщательной проверки полного обнаружения электронных данных.

При представлении данных как части отчета, который может использоваться для формирования решения или в качестве доказательства, важно, чтобы данные были правильно представлены, чтобы читатель мог это понять.

В случае создания отчетов о данных, созданных системой, таких как файлы реестра, файлы ссылок и другие данные, созданные системой, это может быть дорогостоящим мероприятием. Также может быть случай, когда нет однозначного ответа или объяснения.

Примером этого может быть попытка объяснить непрофессионалу метод и приемы декодирования UserAssist Key в системном реестре Windows. Клавиша UserAssist может содержать большой объем информации о действиях пользователя компьютера. Однако, чтобы объяснить этот ключ, рецензент должен уметь идентифицировать ключ и правильно интерпретировать настройку ключа. Ключи часто кодируются с помощью ROT 13.

После того, как эти ключи декодируются в удобочитаемые форматы, проверяющий должен показать, как настройка связана с случаем. Часто требуется много времени, чтобы просмотреть сотни, даже тысячи настроек, которые иногда дают лишь весьма косвенные, а иногда и спорные результаты.

При просмотре данных, созданных пользователями, таких как электронная почта или контракты, составление отчетов и понимание результатов часто намного проще. Полуквалифицированный пользователь обычно хорошо понимает, как работает электронная почта, поскольку он использует ее в своей повседневной работе. Юридическое лицо понимает договор и не нуждается для этого в специальных судебных знаниях. Это может привести к гораздо меньшим затратам на проверку и менее спорным или косвенным выводам.

Функции программного обеспечения для судебного поиска сосредоточены на том, чтобы позволить пользователю одновременно искать и просматривать ряд данных и файлы пользователей.

Специфическими особенностями программного обеспечения судебного поиска являются:

• Способность обрабатывать различные типы данных, позволяя выполнять их поиск рецензенту с небольшими знаниями компьютерной криминалистики или без них
• Поиск по ключевым словам по всем обрабатываемые данные и типы данных
• Возможность создавать сложные поисковые запросы, такие как включение или исключение данных
• Использование MD5 и других алгоритмов для поиска и идентификации файлов и данных
• Возможность фильтр на основе метаданных, таких как даты, адреса электронной почты и типы файлов
• Возможность просматривать разные данные, введенные в одних и тех же результатах поиска
• Возможность просматривать все результаты в одном пользовательском интерфейсе
• Возможность экспорта элементов в различные форматы, например, электронная почта, Word, HTML
• Возможность создавать отчеты с общим доступом

Есть много новых и появляющихся полей компьютерной криминалистики, такой как облачная экспертиза, криминалистика мобильных телефонов, криминалистика сети, анализ памяти, криминалистика браузеров, криминалистика c сортировка и судебная экспертиза в Интернете. В недалеком прошлом наиболее распространенной ролью компьютерного судебно-медицинского эксперта было посещение дома, места работы или центра обработки данных человека для судебно-медицинской «визуализации» всех компьютеров или устройств, которые могут быть задействованы в деле. Это было отнесено к этапу сбора.

После завершения этапа сбора эти изображения были просмотрены, и соответствующий ESI был предоставлен заинтересованным сторонам. Это потребовало от компьютерного криминалиста значительного опыта и подготовки в следующих областях:

• Определение того, какой компьютер, приложения или устройства могут быть задействованы
• Как разобрать компьютер и извлечь жесткие диски компьютера без причинение ущерба.
• Как правильно сделать криминалистическое изображение, чтобы сохранить цепочку поставок
• Как использовать программное обеспечение для судебного анализа для правильной интерпретации и предоставления результатов

Этот процесс отнимал много времени и дорого. Основная роль компьютерного судебно-медицинского эксперта - исследовать компьютерные доказательства (ESI). Возможно, они не были так хорошо знакомы со всем делом или целями, как агент по делу, детектив, судебный бухгалтер или криминалист. Это часто приводило к неидеальной или трудоемкой идентификации правильных доказательств между разными сторонами. То, что сразу вызовет интерес детектива с глубоким знанием дела и вовлеченных сторон, может остаться незамеченным экспертом компьютерной криминалистики. Примером может быть электронное письмо от подозреваемого в другом деле подозреваемому в этом случае или контактные / телефонные звонки свидетелю от подозреваемого.

Проблема усугубляется тем, что значительно увеличился объем данных, которые необходимо собрать эксперту по компьютерной криминалистике. В настоящее время часто бывает так, что жесткий диск компьютера не может быть создан, например, если компьютер, содержащий улики, слишком велик, или система не может быть выключена для создания образа, поскольку это критически важный сервер, такой как в качестве почтового сервера или файлового сервера компании. Появление облачных вычислений также усложнило сбор доказательств. Данные, требующие сбора и анализа, могут находиться в облаке. В этом случае компьютер для изображения недоступен. Затем судебному эксперту необходимо собрать информацию с помощью программного обеспечения для судебной экспертизы, разработанного для работы с определенными поставщиками облачных услуг.

Короче говоря, сбор доказательств значительно изменился за последние несколько лет. Признавая эти проблемы, была обсуждена концепция гибридной криминалистики и создание инструментов, которые используют другой подход к сбору данных. Концепция гибридной судебной экспертизы заключается в выборочном сборе данных из «живых» систем таким образом, чтобы их можно было рассматривать в качестве надежных доказательств в суде.

Правоохранительные организации, как и многие другие организации, разделены на подразделения по конкретным навыкам. В области компьютерной криминалистики / киберпреступности эти подразделения берут на себя ответственность за все аспекты ESI. Как обсуждалось в пункте 5 «Почему экспертный поиск», эти подразделения обычно бедны по времени и не имеют ресурсов.

Несмотря на то, что время и ресурсы ограничены, основные знания в подразделении исходят от офицеров или консультантов с опытом работы более 7 лет (это предшествует большинству доступных степеней компьютерной криминалистики). Эти офицеры со временем ознакомились с методологией использования пакета программного обеспечения для криминалистического анализа, поскольку это все, что им предлагалось, когда они начинали работу в полевых условиях. Следовательно, когда появляются новые сотрудники или ресурсы, приоритет отдается программному обеспечению для судебно-медицинской экспертизы по сравнению с более новым, более конкретным программным обеспечением и новыми типами областей судебной экспертизы.

Программное обеспечение для судебного поиска стало популярным как метод сокращения времени и затрат на поиск и анализ больших наборов данных за счет сосредоточения внимания на пользовательских данных, которые чаще всего дают доказательства или результаты.

Электронная почта - такое соблазнительное и убедительное доказательство. Это личное, обильное и откровенное. Для большинства взрослых электронная почта является основным средством письменного общения. Когда юристы думают об «электронном открытии», они жаждут именно электронной почты. Поэтому неудивительно, что трафик электронной почты является наиболее востребованным и обсуждаемым ESI.

Новое поколение инструментов разрабатывается для решения проблем, с которыми сталкиваются специалисты в области цифровой криминалистики и электронного поиска..

1. ^Кроуфорд, Стефани (08.08.2011). "HowStuffWorks" Действительно ли мои файлы в безопасности, если я храню их в облаке? "". Computer.howstuffworks.com.. Источник 2012-10-24
2. ^«Отставание в штате Мэн отдела компьютерных преступлений держит детскую порнографию на улицах - State - Бангор Daily News - ОВП Мэн». Bangordailynews.com. 2011-11-25. Проверено 24 октября 2012 г.
3. ^Matrix Group International, Inc. Александрия, Вирджиния, 2003 г. http://www.matrixgroup.net. "Просмотреть статью". Журнал начальника полиции. Проверено 24.10.2012. CS1 maint: несколько имен: список авторов (ссылка )
4. ^«Байты Microsoft Word, Тони Блэр в заднице». Computerbytesman.com. Архивировано с исходный от 18.10.2012. Дата обращения 24.10.2012.
5. ^http://euro.ecom.cmu.edu/program/law/08-732/Evidence/RyanShpantzer.pdf
6. ^" Мнение по этике 362: Право собственности на поставщиков услуг Discovery, не являющихся юристами ". Dcbar.org. 2012-01-12. Проверено 2012-10-24.
7. ^" Коллегия адвокатов округа Колумбия: Продавцы электронных документов, не являющиеся юристами, могут Закон о непрактике ". IT-Lex. 11.07.2012. Проверено 24.10.2012.
8. ^[1]
9. ^" F-Response 4.0.4 и новый Cloud Connector ". F-response.com. 24.07.2012. Проверено 24.10.2012.
10. ^Доктор Ричард Адамс (05.11.2014). «Объединение цифровой криминалистики, электронного обнаружения и реагирования на инциденты». Cite journal требует | journal =()
11. ^http://www.craigball.com/BIYC.pdf
12. ^Ричард, Адамс; Грэм, Манн ; Валери, Хоббс (2017). "ISEEK, инструмент для высокоскоростной параллельной распределенной судебной экспертизы. c сбор данных ". Исследование в Интернете. doi :10.4225/75/5a838d3b1d27f.