Ψηφιακή εγκληματολογία

Αεροφωτογραφία του Ομοσπονδιακού Κέντρου Εκπαίδευσης Επιβολής του Νόμου (Federal Law Enforcement Training Centre – FLETC), όπου αναπτύχθηκαν τη δεκαετία του 1980 και του 1990 τα ψηφιακά πρότυπα εγκληματολογίας των ΗΠΑ

Η Ψηφιακή Εγκληµατολογία (Αγγλ.: Digital Forensics) ή αλλιώς Ηλεκτρονική Εγκληματολογία (αναφερόμενη και ως ψηφιακή εγκληματολογική επιστήμη) είναι κλάδος της Εγκληματολογικής Επιστήμης και περιλαμβάνει την ανάκτηση και διερεύνηση ψηφιακού υλικού, το οποίο εντοπίζεται σε ψηφιακές συσκευές συνήθως εμπλεκόμενες σε ηλεκτρονικά εγκλήματα[1][2], και την κατάρτιση και υποβολή σχετικών εκθέσεων με νομικά αποδεκτό τρόπο. Ο όρος Ψηφιακή Εγκληματολογία αρχικά αναπτύχθηκε ως συνώνυμο της Εγκληματολογίας Υπολογιστών και στη συνέχεια επεκτάθηκε για να καλύψει και τη διερεύνηση ψηφιακού υλικού, το οποίο εντοπίζεται και σε άλλες συσκευές αποθήκευσης ψηφιακών δεδομένων[1]. Με ρίζες στην επανάσταση των προσωπικών υπολογιστών στα τέλη της δεκαετίας του 1970 και στις αρχές της δεκαετίας του 1980, ο κλάδος εξελίχθηκε με τυχαίο τρόπο στη δεκαετία του 1990, και μόνο στις αρχές του 21ου αιώνα άρχισαν να εμφανίζονται σχετικές εθνικές πολιτικές.

Η έρευνα της Ψηφιακής Εγκληματολογίας χωρίζεται σε διάφορους κλάδους, ανάλογα με τον τύπο των συσκευών, των μέσων ή των αντικειμένων:

Οι έρευνες ψηφιακής εγκληματολογίας εφαρμόζονται σε ποικίλες περιπτώσεις. Η πιο συνηθισμένη από αυτές είναι να υποστηριχθούν ή να αντικρουσθούν ισχυρισμοί νομικών υποθέσεων ενώπιον ποινικών ή πολιτικών δικαστηρίων. Οι ποινικές υποθέσεις περιλαμβάνουν την υποτιθέμενη παραβίαση νόμων, οι οποίοι ορίζονται από τη νομοθεσία, επιβάλλονται από την αστυνομία και διώκονται από το κράτος, όπως δολοφονία, κλοπή και επίθεση εναντίον προσώπων. Οι αστικές υποθέσεις, από την άλλη πλευρά, ασχολούνται με την προστασία των δικαιωμάτων και της περιουσίας των ατόμων (που συχνά συνδέονται με οικογενειακές διαφορές), αλλά μπορεί επίσης να αφορούν συμβατικές διαφορές μεταξύ εμπορικών οντοτήτων, όπου μπορεί να εμπλέκεται μια μορφή ψηφιακής εγκληματολογίας, η οποία αναφέρεται ως electronic discovery (ηλεκτρονική ανακάλυψη) ή ediscovery. Στον ιδιωτικό τομέα εφαρμόζονται κατά τη διάρκεια εσωτερικών ελέγχων σε εταιρείες, καθώς και σε έρευνες για τον εντοπισμό, και την ανίχνευση της φύσης και της έκτασης μιας μη εξουσιοδοτημένης διείσδυσης δικτύων.

Για να εξυπηρετηθούν τέτοιες περιπτώσεις χρησιμοποιούνται μεθοδολογίες, οι οποίες ακολουθούν τις αρχές της Επιστήμης της Εγκληματολογίας, οπότε και πραγματοποιείται αναγνώριση, συλλογή, διατήρηση και ανάλυση των ψηφιακών δεδομένων (πειστηρίων) με ταυτόχρονη διατήρηση της ακεραιότητάς τους, και η παραγωγή μιας ενδελεχούς έκθεσης αυτών των συλλεχθέντων πειστηρίων.

Παράλληλα με τον εντοπισμό άμεσων αποδεικτικών στοιχείων διάπραξης ενός εγκλήματος, η ψηφιακή εγκληματολογία μπορεί να χρησιμοποιηθεί για να καταλογίσει πειστήρια σε συγκεκριμένους υπόπτους, να επιβεβαιώσει άλλοθι ή δηλώσεις υπόπτων, να προσδιορίσει την πρόθεση, να προσδιορίσει πηγές (για παράδειγμα σε περιπτώσεις πνευματικών δικαιωμάτων) ή να πιστοποιήσει ψηφιακά έγγραφα.[3] Οι έρευνες είναι πολύ ευρύτερες σε σχέση με άλλους τομείς της εγκληματολογικής ανάλυσης (όπου ο συνήθης στόχος είναι να απαντηθεί μια σειρά απλούστερων ερωτήσεων) και συχνά περιλαμβάνονται σύνθετα χρονοδιαγράμματα ή ισχυρισμούς.[4]

Πριν από τη δεκαετία του 1970, τα εγκλήματα που αφορούσαν υπολογιστές αντιμετωπίστηκαν με βάση τους ισχύοντες νόμους. Τα πρώτα εγκλήματα πληροφορικής αναγνωρίστηκαν στο νόμο του 1978 για τα ποινικά αδικήματα συστημάτων ηλεκτρονικών υπολογιστών, της Φλόριντα ΗΠΑ (Florida Computer Crimes Act), όπου συμπεριελήφθη νομοθεσία κατά της μη εξουσιοδοτημένης τροποποίησης ή διαγραφής δεδομένων σε ένα σύστημα ηλεκτρονικών υπολογιστών.[5][6] Κατά τα προσεχή έτη μεγάλωσε το φάσμα εγκλημάτων σχετικών με την Πληροφορική και ψηφίστηκαν νόμοι αντιμετώπισης θεμάτων πνευματικής ιδιοκτησίας, σεβασμού της ιδιωτικής ζωής/παρενόχλησης (π.χ. διαδικτυακός εκφοβισμός, διαδικτυακής παρακολούθησης και παρενόχλησης και ηλεκτρονικών «αρπακτικών») και παιδικής πορνογραφίας.[7][8] Μόλις στη δεκαετία του 1980 οι ομοσπονδιακοί νόμοι άρχισαν να ενσωματώνουν αδικήματα συστημάτων ηλεκτρονικών υπολογιστών. Ο Καναδάς ήταν η πρώτη χώρα που ψήφισε σχετική νομοθεσία το 1983.[6] Ακολούθησε ο αμερικανικός ομοσπονδιακός νόμος για την απάτη στον τομέα των ηλεκτρονικών υπολογιστών το 1986, οι τροποποιήσεις στους νόμους περί εγκληματικών ενεργειών στην Αυστραλία το 1989 και ο νόμος για την κατάχρηση των υπολογιστών στη Βρετανία το 1990.[6][8]

1980s - 1990s: Ανάπτυξη του πεδίου

[Επεξεργασία | επεξεργασία κώδικα]

Η αύξηση του Ηλεκτρονικού Εγκλήματος κατά τη διάρκεια της δεκαετίας του 1980 και της δεκαετίας του 1990 ώθησε τις υπηρεσίες επιβολής του νόμου να ιδρύσουν εξειδικευμένες ομάδες, συνήθως σε εθνικό επίπεδο, για να χειριστούν τις τεχνικές πτυχές των ερευνών. Για παράδειγμα, το 1984 το FBI δημιούργησε μια ομάδα Ανάλυσης Υπολογιστών και Ανταπόκρισης σε συμβάντα (Computer Analysis and Response Team) και το επόμενο έτος δημιουργήθηκε στην ομάδα αντιμετώπισης απάτης της Βρετανικής Μητροπολιτικής Αστυνομίας τμήμα Ηλεκτρονικού Εγκλήματος. Εκτός από επαγγελματίες του τομέα της επιβολής του νόμου, πολλά από τα πρώτα μέλη των ομάδων αυτών ήταν χομπίστες των ηλεκτρονικών υπολογιστών και έγιναν υπεύθυνοι της αρχικής έρευνας και της κατεύθυνσης του πεδίου.[9][10]

Ένα από τα πρώτα πρακτικά (ή τουλάχιστον δημοσιευμένα) παραδείγματα της ψηφιακής εγκληματολογίας ήταν η έρευνα και στη συνέχεια η ταυτοποίηση και ο εντοπισμός του χάκερ Markus Hess από τον Cliff Stoll το 1986. Ο Cliff Stoll, η έρευνα του οποίου χρησιμοποίησε τεχνικές της Εγκληματολογίας Υπολογιστών και της Εγκληματολογίας Δικτύων, δεν ήταν εξειδικευμένος εξεταστής.[11] Πολλές από τις πρώτες εγκληματολογικές έρευνες ακολούθησαν το ίδιο προφίλ.[12]

Καθ 'όλη τη δεκαετία του 1990 υπήρξε μεγάλη ζήτηση για αυτούς τους νέους και βασικούς ερευνητικούς πόρους. Η καταπόνηση των κεντρικών εξειδικευμένων ομάδων οδήγησε στη δημιουργία περιφερειακών ακόμη και τοπικών ομάδων για την αντιμετώπιση του φόρτου εργασίας. Για παράδειγμα, το 2001 δημιουργήθηκε η Βρετανική Εθνική Μονάδα Εγκληματικότητας Υψηλών Τεχνολογιών (British National Hi-Tech Crime Unit) για την παροχή εθνικής υποδομής για το Ηλεκτρονικό Έγκλημα, με προσωπικό που βρισκόταν τόσο κεντρικά στο Λονδίνο όσο και σε διάφορες περιφερειακές αστυνομικές δυνάμεις (η μονάδα αναδιπλώθηκε στην Υπηρεσία Σοβαρών Οργανωμένων Εγκλημάτων (SOCA) το 2006).[10]

Κατά τη διάρκεια αυτής της περιόδου η επιστήμη της Ψηφιακής Εγκληματολογίας προόδευσε βασισμένη στα επί τούτω (ad-hoc) κατασκευασμένα εργαλεία και τεχνικές που αναπτύχθηκαν από αυτούς τους επαγγελματίες χομπίστες. Αυτό έρχεται σε αντίθεση με άλλους κλάδους της εγκληματολογίας που αναπτύχθηκαν από την εργασία της επιστημονικής κοινότητας.[1][13] Μόλις το 1992 ο όρος "Εγκληματολογία Υπολογιστών" χρησιμοποιήθηκε στην ακαδημαϊκή βιβλιογραφία (αν και πριν από αυτό είχε χρησιμοποιηθεί άτυπα). Μια έκθεση από τους P.A. Collier and B.J.Spa προσπάθησε να δικαιολογήσει αυτό το νέο πεδίο στον κόσμο της Εγκληματολογικής Επιστήμης.[14][15] Η ταχεία εξέλιξη είχε ως αποτέλεσμα την έλλειψη τυποποίησης και κατάρτισης. Στο βιβλίο του του 1995, " High-Technology Crime: Investigating Cases Involving Computers” («Έγκλημα Υψηλής Τεχνολογίας: Διερεύνηση υποθέσεων που αφορούν τους υπολογιστές"), ο K. Rosenblatt έγραψε:

Η λήψη, η διατήρηση και η ανάλυση πειστηρίων, τα οποία βρίσκονται αποθηκευμένα σε ένα σύστημα ηλεκτρονικού υπολογιστή είναι η μεγαλύτερη εγκληματολογική πρόκληση που αντιμετωπίζει η επιβολή του νόμου κατά τη δεκαετία του 1990. Αν και οι περισσότερες εγκληματολογικές εξετάσεις, όπως η αποτύπωση δακτυλικών αποτυπωμάτων και το τεστ DNA, εκτελούνται από ειδικευμένους ειδικούς, το καθήκον της συλλογής και ανάλυσης στοιχείων από συστήματα ηλεκτρονικών υπολογιστών ανατίθεται συχνά σε αξιωματικούς περιπολιών και ερευνητές της αστυνομίας.[16]

2000: Ανάπτυξη προτύπων

[Επεξεργασία | επεξεργασία κώδικα]

Από το 2000, ανταποκρινόμενοι στην ανάγκη τυποποίησης, διάφοροι φορείς και οργανισμοί δημοσίευσαν κατευθυντήριες γραμμές για την Ψηφιακή Εγκληματολογία. Η Επιστημονική Ομάδα Εργασίας για τα Ψηφιακά Πειστήρια (Scientific Working Group of Digital Evidence - SWGDE) δημοσίευσε το 2002 ένα έγγραφο με τίτλο "Βέλτιστες πρακτικές για την Εγκληματολογία Υπολογιστών" (“Best practices for Computer Forensics”), του οποίου ακολούθησε το 2005 η δημοσίευση ενός προτύπου ISO (ISO 17025, Γενικές απαιτήσεις για την ικανότητα δοκιμών και βαθμονόμησης εργαστηρίων (General requirements for the competence of testing and calibration laboratories)).[6][17][18] Το 2004 τέθηκε σε ισχύ από την Ευρώπη μια διεθνής συνθήκη, η Σύμβαση για την εγκληματικότητα στον κυβερνοχώρο (Convention on Cybercrime), με σκοπό την εναρμόνιση των εθνικών νόμων για την εγκληματικότητα στον τομέα των συστημάτων ηλεκτρονικών υπολογιστών, των τεχνικών έρευνας και της διεθνούς συνεργασίας. Η συνθήκη υπογράφηκε από 43 κράτη (συμπεριλαμβανομένων των ΗΠΑ, του Καναδά, της Ιαπωνίας, της Νότιας Αφρικής, του Ηνωμένου Βασιλείου και άλλων ευρωπαϊκών χωρών) και επικυρώθηκε από άλλα 16.

Ιδιαίτερη προσοχή έλαβε και το θέμα της κατάρτισης. Εμπορικές εταιρείες (συχνά εταιρείες παραγωγής εγκληματολογικού λογισμικού) άρχισαν να προσφέρουν σειρές μαθημάτων και πιστοποιήσεις και η ανάλυση Ψηφιακής Εγκληματολογίας συμπεριλήφθηκε ως μάθημα στην Κεντρική Αρχή Εκπαίδευσης και Ανάπτυξης της Αστυνομίας (Central Police Training and Development Authority (CPTDA) ή Centrex) του Ηνωμένου Βασιλείου.[6][10]

Από τα τέλη της δεκαετίας του 1990, οι κινητές συσκευές έχουν γίνει ευρύτερα διαθέσιμες και πέρα από απλές συσκευές επικοινωνίας εξελίσσονται σε πλούσιες μορφές πληροφόρησης, ακόμη και για εγκλήματα που δεν συνδέονται παραδοσιακά με την Ψηφιακή Εγκληματολογία.[19] Παρά ταύτα, η ψηφιακή ανάλυση των τηλεφώνων έχει υστερήσει σε σχέση με αυτή των παραδοσιακών συστημάτων ηλεκτρονικών υπολογιστών, σε μεγάλο βαθμό λόγω προβλημάτων σχετικά με την ιδιοκτησιακή (από τις κατασκευάστριες εταιρείες) φύση των συσκευών.[20]

Επίσης, το επίκεντρο του ενδιαφέροντος του Ηλεκτρονικού Εγκλήματος έχει μετατοπιστεί, ιδίως σε ό,τι αφορά στον κίνδυνο του κυβερνοπολέμου και στην κυβερνοτρομοκρατία. Μια έκθεση του Φεβρουαρίου 2010 από τη Διοίκηση Κοινών Δυνάμεων του στρατού των Ηνωμένων Πολιτειών (United States Joint Forces Command) κατέληξε:

Μέσω του κυβερνοχώρου, οι εχθροί θα στοχεύσουν τη βιομηχανία, τον ακαδημαϊκό κόσμο, την κυβέρνηση, καθώς και τον στρατό στον αέρα, τη γη, τη ναυτιλία και το διάστημα. Με τον ίδιο τρόπο που η δύναμη της αεροπορίας μετασχημάτισε το πεδίο της μάχης του Β 'Παγκοσμίου Πολέμου, ο κυβερνοχώρος έχει σπάσει τα φυσικά εμπόδια, τα οποία προστατεύουν ένα έθνος από τις επιθέσεις στο εμπόριο και την επικοινωνία του.[21]

Το πεδίο της Ψηφιακής Εγκληματολογίας εξακολουθεί να αντιμετωπίζει ανεπίλυτα ζητήματα. Μία έκθεση του 2009, "Ψηφιακή Εγκληματολογική Έρευνα: το Καλό, το Κακό και το Ανεπίλυτο" (“Digital Forensic Research: The Good, the Bad and the Unaddressed"), από τους Gilbert Peterson και Sujeet Shenoi αναγνώρισε μια προκατάληψη για τα λειτουργικά συστήματα των Windows στην Ψηφιακή Εγκληματολογική έρευνα.[22] Το 2010, ο Simson Garfinkel εντόπισε τα ζητήματα που θα αντιμετωπίζουν οι ψηφιακές έρευνες στο μέλλον, συμπεριλαμβανομένου του αυξανόμενου μεγέθους χωρητικότητας των ψηφιακών μέσων, της ευρείας διαθεσιμότητας τρόπων κρυπτογράφησης για τους καταναλωτές, της αυξανόμενης ποικιλίας λειτουργικών συστημάτων και μορφών αρχείων, του αυξανόμενου αριθμού ατόμων που διαθέτουν πολλαπλές συσκευές και των νομικών περιορισμών των ερευνητών. Η έκθεση εντόπισε επίσης ζητήματα υποχρεωτικής συνεχούς κατάρτισης, καθώς και το απαγορευτικά υψηλό κόστος εισόδου στο πεδίο.[11]

Ανάπτυξη εγκληματολογικών εργαλείων

[Επεξεργασία | επεξεργασία κώδικα]

Κύριο άρθρο: List of digital forensics tools

Κατά τη διάρκεια της δεκαετίας του '80 υπήρχαν πολύ λίγα εξειδικευμένα εργαλεία Ψηφιακής Εγκληματολογίας και συνεπώς οι ερευνητές πραγματοποιούσαν συχνά ζωντανή ανάλυση στα συστήματα ηλεκτρονικών υπολογιστών, εξετάζοντας τους υπολογιστές μέσα από το ενεργό λειτουργικό σύστημα χρησιμοποιώντας τα υπάρχοντα εργαλεία διαχείρισης συστημάτων (sysadmin) για την εξαγωγή πειστηρίων. Αυτή η πρακτική ενείχε τον κίνδυνο μεταβολής των ψηφιακών δεδομένων του σκληρού δίσκου, είτε από απροσεξία ή με άλλο τρόπο, γεγονός που οδήγησε σε ισχυρισμούς παραβίασης ακεραιότητας των πειστηρίων. Στην αρχή της δεκαετίας του 1990 δημιουργήθηκαν διάφορα εργαλεία (λογισμικό) για την αντιμετώπιση αυτού του προβλήματος.

Η ανάγκη τέτοιων λογισμικών αναγνωρίστηκε για πρώτη φορά το 1989 στο «Ομοσπονδιακό Κέντρο Εκπαίδευσης για την Επιβολή του Νόμου» των ΗΠA (Federal Law Enforcement Training Center), με αποτέλεσμα τη δημιουργία του IMDUMP [23](από τον Michael White) και του SafeBack [24](που αναπτύχθηκε από την Sydex) το 1990. Παρόμοιο λογισμικό αναπτύχθηκε σε άλλες χώρες. Το DIBS (μια λύση υλικού και λογισμικού) κυκλοφόρησε στο εμπόριο στο Ηνωμένο Βασίλειο το 1991 και ο Rob McKemmish κυκλοφόρησε το Fixed Disk Image δωρεάν για τις μονάδες επιβολής του νόμου στην Αυστραλία.[9] Αυτά τα εργαλεία επέτρεψαν στους ερευνητές να δημιουργήσουν ακριβές αντίγραφο ενός ψηφιακού μέσου ώστε να εργαστούν με αυτό, αφήνοντας τον αρχικό σκληρό δίσκο άθικτο για λόγους επαλήθευσης. Στα τέλη της δεκαετίας του 1990, καθώς αυξήθηκε η ζήτηση για ψηφιακά εγκληματολογικά πειστήρια, αναπτύχθηκαν πιο προηγμένα εμπορικά εργαλεία όπως το EnCase και το FTK, επιτρέποντας στους αναλυτές να εξετάζουν αντίγραφα των ψηφιακών μέσων χωρίς να χρησιμοποιούν οποιαδήποτε ζωντανή πρόσβαση στα μέσα.[6] Πιο πρόσφατα, έχει αυξηθεί η τάση για «ψηφιακή ανάλυση ζωντανής μνήμης» με αποτέλεσμα τη διαθεσιμότητα εργαλείων όπως το WindowsSCOPE.

Πιο πρόσφατα, η ίδια εξέλιξη της ανάπτυξης εργαλείων έχει συμβεί και για τις κινητές συσκευές. Αρχικά οι ερευνητές είχαν πρόσβαση στα δεδομένα απευθείας πάνω στη συσκευή, αλλά σύντομα εμφανίστηκαν ειδικά εργαλεία όπως XRY ή Radio Tactics Aceso.[6]

Διαδικασίες Ψηφιακής Εγκληματολογίας

[Επεξεργασία | επεξεργασία κώδικα]
Ένας φορητός Tableau αναστολέας εγγραφής προσαρτημένος σε ένα σκληρό δίσκο

Κύριο άρθρο: Digital forensic process

Μια ψηφιακή εγκληματολογική έρευνα αποτελείται συνήθως από τρία στάδια:

  • απόκτηση (acquisition) ή απεικόνιση εκθεμάτων (imaging),[25]
  • ανάλυση (analysis) και
  • αναφορά (reporting).[6][26]

Η ιδανική απόκτηση περιλαμβάνει τη λήψη μιας εικόνας της πτητικής μνήμης του υπολογιστή (RAM)[27] και τη δημιουργία ενός ακριβούς αντιγράφου των μέσων (αλλιώς: "ψηφιακό εγκληματολογικό διπλότυπο") σε επίπεδο τομέα (sector), συχνά χρησιμοποιώντας μια συσκευή αποκλεισμού εγγραφής (write blocking) για να εμποδίσει την τροποποίηση του πρωτοτύπου. Ωστόσο, η αύξηση της χωρητικότητας των μέσων αποθήκευσης και η εμφάνιση νέων τεχνολογιών, όπως το υπολογιστικό νέφος (cloud computing)[28], οδήγησαν σε μεγαλύτερη χρήση τη «ζωντανή» απόκτηση, με την οποία και αποκτάται ένα «λογικό» αντίγραφο των δεδομένων αντί ενός αντιγράφου ολόκληρης της φυσικής συσκευής αποθήκευσης.[25] Τόσο το αποκτηθέν αντίγραφο (είτε το λογικό αντίγραφο) όσο και τα πρωτότυπα μέσα/δεδομένα κρυπτογραφούνται (hashed), χρησιμοποιώντας έναν αλγόριθμο κατακερματισμού όπως SHA-1 ή MD5, και οι παραγόμενες τιμές συγκρίνονται για επαλήθευση της ακρίβειας του αντιγράφου.[29]

Μια εναλλακτική (και κατοχυρωμένη με δίπλωμα ευρεσιτεχνίας)[30] προσέγγιση, η οποία έχει ονομαστεί και «υβριδική (ψηφιακή) εγκληματολογία»[31] ή «διανεμημένη (ψηφιακή) εγκληματολογία»[32], συνδυάζει την Ψηφιακή Εγκληματολογία με τις (νομικές) διαδικασίες eDiscovery. Αυτή η προσέγγιση έχει ενσωματωθεί σε ένα εμπορικό εργαλείο που ονομάζεται ISEEK και παρουσιάστηκε μαζί με τα αποτελέσματα των δοκιμών σε διάσκεψη του 2017.[31]

Κατά τη διάρκεια της φάσης της ανάλυσης, ο ερευνητής ανακτά πειστήρια χρησιμοποιώντας διάφορες μεθόδους και εργαλεία. Το 2002, ένα άρθρο του Διεθνούς Περιοδικού Ψηφιακών Αποδείξεων (International Journal of Digital Evidence) αναφερόταν σε αυτό το βήμα ως "μια εις βάθος συστηματική αναζήτηση στοιχείων που σχετίζονται με το εικαζόμενο έγκλημα."[1] Το 2006, ο ερευνητής εγκληματολογίας Brian Carrier περιγράφει μια "διαισθητική διαδικασία", κατά την οποία εμφανίζονται πρώτα προφανείς αποδείξεις και στη συνέχεια διεξάγονται "διεξοδικές αναζητήσεις για να αρχίσουν να γεμίζονται τα κενά».[4]

Η πραγματική διαδικασία ανάλυσης μπορεί να διαφέρει μεταξύ των ερευνών, αλλά στις κοινές μεθοδολογίες περιλαμβάνονται η διεξαγωγή αναζητήσεων λέξεων-κλειδιών σε όλα τα ψηφιακά μέσα (εντός αρχείων καθώς και εντός μη κατανεμημένων και αδιάθετων (slack) χώρων), η ανάκτηση διαγραμμένων αρχείων και η εξαγωγή πληροφοριών μητρώου (για παράδειγμα, για να καταγραφούν οι υπάρχοντες λογαριασμοί χρηστών ή οι συνδεδεμένες συσκευές USB).

Τα ανακτηθέντα πειστήρια αναλύονται για να αναδημιουργήσουν γεγονότα ή ενέργειες και να καταλήξουν σε συμπεράσματα, εργασίες που συχνά μπορούν να εκτελεστούν και από λιγότερο εξειδικευμένο προσωπικό.[1] Όταν ολοκληρωθεί μια έρευνα, τα δεδομένα παρουσιάζονται, συνήθως με τη μορφή γραπτής αναφοράς γραμμένης σε όρους απλών ανθρώπων, χωρίς ή με ελάχιστη τεχνική ορολογία.[1]

Ένα παράδειγμα μεταδεδομένων Exif, τα οποίοα θα μπορούσαν να χρησιμοποιηθούν ως απόδειξη για το πρωτότυπο, στο οποίο αντιστοιχούν.

Η ψηφιακή εγκληματολογία χρησιμοποιείται συνήθως τόσο στο ποινικό δίκαιο όσο και στην ιδιωτική έρευνα. Παραδοσιακά έχει συνδεθεί με το ποινικό δίκαιο, όπου συλλέγονται πειστήρια, τα οποία υποστηρίζουν ή αντιτίθενται σε μια υπόθεση ενώπιον των δικαστηρίων. Όπως συμβαίνει και με άλλους τομείς της εγκληματολογίας, η Ψηφιακή Εγκληματολογία συχνά αποτελεί μέρος μιας ευρύτερης έρευνας που καλύπτει αρκετούς κλάδους. Σε ορισμένες περιπτώσεις, τα συλλεχθέντα πειστήρια χρησιμοποιούνται ως μορφή συλλογής πληροφοριών, η οποία χρησιμοποιείται για σκοπούς άλλους από τις δικαστικές διαδικασίες (για παράδειγμα, για τον εντοπισμό, την ταυτοποίηση ή τον τερματισμό άλλων εγκλημάτων). Ως αποτέλεσμα, η συλλογή πληροφοριών γίνεται μερικές φορές σε ένα λιγότερο αυστηρό δικαστικό πρότυπο.

Σε αστικές διαφορές ή σε εταιρικά θέματα, η ψηφιακή εγκληματολογία αποτελεί μέρος της διαδικασίας ηλεκτρονικής ανακάλυψης (ή eDiscovery) στοιχείων. Οι εγκληματολογικές διαδικασίες είναι παρόμοιες με εκείνες που χρησιμοποιούνται σε ποινικές έρευνες, συχνά με διαφορετικές νομικές απαιτήσεις και περιορισμούς. Εξωδικαστικά, η ψηφιακή εγκληματολογία μπορεί να αποτελέσει μέρος εσωτερικών ερευνών σε εταιρείες.

Ένα κοινό παράδειγμα τέτοιας εφαρμογής θα ήταν μετά από μη εξουσιοδοτημένη διείσδυση σε δίκτυο υπολογιστών. Μια εξειδικευμένη εγκληματολογική έρευνα σχετικά με τη φύση και την έκταση της επίθεσης εκτελείται ως άσκηση περιορισμού των ζημιών, τόσο για να διαπιστωθεί η εξάπλωση της εισβολής όσο και για να εντοπιστεί ο εισβολέας.[3][4] Τέτοιες επιθέσεις πραγματοποιήθηκαν συνήθως μέσω τηλεφωνικών γραμμών κατά τη διάρκεια της δεκαετίας του 1980, αλλά στη σύγχρονη εποχή συνήθως διενεργούνται μέσω του Διαδικτύου.[33]

Η κύρια εστίαση των ερευνών ψηφιακής εγκληματολογίας είναι η ανάκτηση αντικειμενικών ενδείξεων εγκληματικής δραστηριότητας (η οποία ονομάζεται actus reus στη νομική ορολογία). Ωστόσο, το ευρύ φάσμα των δεδομένων που υπάρχουν σε ψηφιακές συσκευές μπορεί να βοηθήσει και σε άλλα πεδία έρευνας.[3]

Καταλογισμός
Τα μεταδεδομένα και άλλα αρχεία καταγραφής μπορούν να χρησιμοποιηθούν για τον καταλογισμό ενεργειών σε ένα άτομο. Για παράδειγμα, τα προσωπικά έγγραφα σε μια μονάδα υπολογιστή ενδέχεται να ταυτοποιούν τον κάτοχό της.
Άλλοθι και δηλώσεις
Οι πληροφορίες που παρέχονται από τους εμπλεκόμενους μπορούν να ελεγχθούν με ψηφιακά πειστήρια. Για παράδειγμα, κατά τη διάρκεια της έρευνας για τις δολοφονίες του Soham (04 Αυγούστου 2002), το άλλοθι του παραβάτη διαψεύστηκε όταν τα αρχεία κινητής τηλεφωνίας του ατόμου με τον οποίο ισχυρίστηκε ότι ήταν μαζί του έδειξαν ότι ήταν εκτός πόλης εκείνη την εποχή.
Πρόθεση
Εκτός από την εύρεση αντικειμενικών πειστηρίων ότι έχει διαπραχθεί ένα έγκλημα, οι έρευνες μπορούν επίσης να χρησιμοποιηθούν για να αποδείξουν την πρόθεση (γνωστή από τον νομικό όρο mens rea). Για παράδειγμα, το Ιστορικό από τους περιηγητές διαδικτύου (browseres) του καταδικασθέντος δολοφόνου Neil Entwistle περιελάμβανε αναφορές προς έναν ιστότοπο, όπου συζητούνταν πώς να σκοτώνεις ανθρώπους (How to kill people).
Αξιολόγηση προέλευσης πειστηρίων
Αντικείμενα (artifacts) και μεταδεδομένα αρχείων μπορούν να χρησιμοποιηθούν για τον προσδιορισμό της προέλευσης ενός συγκεκριμένου πειστηρίου. Για παράδειγμα, σε παλαιότερες εκδόσεις του Microsoft Word ενσωματωνόταν ένα παγκόσμια μοναδικό αναγνωριστικό (Global Unique Identifier) στα αρχεία, με το οποίο ταυτοποιούνταν ο υπολογιστής στον οποίο είχαν δημιουργηθεί. Η απόδειξη εάν ένα αρχείο δημιουργήθηκε στην εξεταζόμενη ψηφιακή συσκευή ή λαμβάνεται από αλλού (π.χ. το Διαδίκτυο) μπορεί να είναι πολύ σημαντική.[3]
Εξακρίβωση γνησιότητας αρχείων
Σχετικά με την "Αξιολόγηση προέλευσης πειστηρίων", τα μεταδεδομένα που σχετίζονται με τα ψηφιακά αρχεία μπορούν εύκολα να τροποποιηθούν (για παράδειγμα, αλλάζοντας την ώρα στο ρολόι του υπολογιστή μπορεί κάποιος να επηρεάσει την ημερομηνία δημιουργίας ενός αρχείου). Ο έλεγχος για εξακρίβωση της γνησιότητας αρχείων αφορά στην ανίχνευση και στον εντοπισμό παραποίησης τέτοιων πειστηρίων.

Ένας σημαντικός περιορισμός σε μια ψηφιακή εγκληματολογική έρευνα είναι η χρήση κρυπτογράφησης. Αυτό διαταράσσει την αρχική εξέταση όπου θα μπορούσαν να εντοπιστούν σχετικά αποδεικτικά στοιχεία χρησιμοποιώντας λέξεις-κλειδιά. Οι νόμοι που υποχρεώνουν τα άτομα να αποκαλύψουν τα κλειδιά κρυπτογράφησης των αρχείων τους εξακολουθούν να είναι σχετικά νέοι και αμφιλεγόμενοι.[11]

Νομικές Εκτιμήσεις, Νομικά Ζητήματα

[Επεξεργασία | επεξεργασία κώδικα]

Η έρευνα επί των ψηφιακών μέσων καλύπτεται από εθνική και διεθνή νομοθεσία. Ειδικότερα για έρευνες υποθέσεων των πολιτικών δικαστηρίων, οι νόμοι ενδέχεται να περιορίζουν τη δυνατότητα των ερευνητών και των αναλυτών να πραγματοποιούν εξετάσεις. Υπάρχουν συχνά περιορισμοί, οι οποίοι αφορούν στην παρακολούθηση ενός δικτύου ή στην ανάγνωση προσωπικών επικοινωνιών.[34] Κατά τη διάρκεια της ποινικής έρευνας, οι εθνικοί νόμοι περιορίζουν την ποσότητα των πληροφοριών που μπορούν να συλλεχθούν.[34] Για παράδειγμα, στο Ηνωμένο Βασίλειο, η λήψη πειστηρίων από τις αρχές επιβολής του νόμου διέπεται από τη νομοθεσία περί αποδεικτικών στοιχείων PACE act.[6] Από νωρίς κατά τη διάρκεια της ύπαρξής του στον τομέα, ο «Διεθνής Οργανισμός για τα Υποδείγματα Υπολογιστών» (International Organization on Computer Evidence - IOCE) ήταν ένας οργανισμός που εργάστηκε για τη θέσπιση συμβατών διεθνών προτύπων για τη λήψη πειστηρίων.[35]

Στο Ηνωμένο Βασίλειο, οι ίδιοι νόμοι που αφορούν στα εγκλήματα πληροφορικής μπορούν επίσης να επηρεάσουν τους ερευνητές της ψηφιακής εγκληματολογίας. Το 1990 ο Νόμος περί Καταχρηστικής Χρήσης Υπολογιστών (Computer Misuse Act 1990) νομοθετεί κατά της μη εξουσιοδοτημένης πρόσβασης σε ψηφιακό υλικό αποθηκευμένο σε συστήματα ηλεκτρονικών υπολογιστών. Αυτό δημιουργεί ιδιαίτερη ιδιαίτερη ανησυχία στους ιδιώτες ερευνητές, οι οποίοι έχουν περισσότερους περιορισμούς από τους ερευνητές των μονάδων επιβολής του νόμου.

Το δικαίωμα του ατόμου στην ιδιωτική ζωή είναι ένας τομέας της ψηφιακής εγκληματολογίας, ο οποίος εξακολουθεί σε μεγάλο βαθμό να μην έχει αποφασιστεί σαφώς από τα δικαστήρια. Ο Νόμος των ΗΠΑ περί προστασίας της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (Electronic Communications Privacy Act - ECPA) επιβάλλει περιορισμούς στην ικανότητα των αρχών επιβολής του νόμου ή των αστικών ερευνητών να παρακολουθούν και να έχουν πρόσβαση σε πειστήρια. Ο Νόμος κάνει διάκριση μεταξύ αποθηκευμένης επικοινωνίας (π.χ. αρχείων ηλεκτρονικού ταχυδρομείου) και μεταδιδόμενης επικοινωνίας (όπως VOIP). Για το τελευταίο, καθώς θεωρείται περισσότερο ως εισβολή στην ιδιωτική ζωή, είναι πιο δύσκολο να αποκτήσει κάποιος ένταλμα.[6][16] Η ECPA επιδρά επίσης στην ικανότητα των επιχειρήσεων να διερευνούν τους υπολογιστές και τις επικοινωνίες των εργαζομένων τους, μια πτυχή που εξακολουθεί να συζητείται ως προς το βαθμό στον οποίο μια εταιρεία μπορεί να πραγματοποιήσει μια τέτοια παρακολούθηση.[6]

Το άρθρο 5 της Ευρωπαϊκής Σύμβασης για την Προάσπιση των Δικαιωμάτων του Ανθρώπου (Article 5 of the European Convention on Human Rights) προβλέπει παρόμοιους με τον ECPA περιορισμούς που αφορούν στην ιδιωτική ζωή και περιορίζει την επεξεργασία και την ανταλλαγή δεδομένων προσωπικού χαρακτήρα τόσο εντός της ΕΕ όσο και με εξωτερικές της ΕΕ χώρες. Η ικανότητα των αρχών επιβολής του νόμου του Ηνωμένου Βασιλείου να διεξάγουν έρευνες ψηφιακής εγκληματολογίας έχει νομοθετηθεί με τον κανονισμό περί διερευνητικών εξουσιών (Regulation of Investigatory Powers Act).[6]

Ψηφιακά Πειστήρια

[Επεξεργασία | επεξεργασία κώδικα]
Τα ψηφιακά πειστήρια μπορούν να εμφανιστούν σε διάφορες μορφές

Κύριο άρθρο: Digital evidence

Όταν τα ψηφιακά πειστήρια χρησιμοποιούνται σε δικαστήρια, τότε εμπίπτουν στις ίδιες νομικές κατευθυντήριες γραμμές όπως και άλλες μορφές αποδεικτικών στοιχείων.[6][36] Τα δικαστήρια συνήθως δεν απαιτούν αυστηρότερες κατευθυντήριες γραμμές. Στις ΗΠΑ χρησιμοποιούνται οι Ομοσπονδιακοί Κανόνες Έρευνας Πειστηρίων (Federal Rules of Evidence) για την αξιολόγηση του αποδεκτού των ψηφιακών πειστηρίων, στο Ηνωμένο Βασίλειο η νομοθεσία περί αποδεικτικών στοιχείων (PACE 1984) και ο Κανονισμός για της Αποδείξεις σε Αστικές Υποθέσεις (Civil Evidence Acts) έχουν παρόμοιες κατευθυντήριες γραμμές και πολλές άλλες χώρες έχουν τους δικούς τους σχετικούς νόμους. Οι ομοσπονδιακοί νόμοι των ΗΠΑ περιορίζουν τις λήψεις σε μόνο αντικείμενα με προφανή αποδεικτική αξία. Αναγνωρίζεται πως αυτό δεν είναι πάντοτε δυνατό να συμβεί με τα ψηφιακά μέσα πριν από την εξέταση.[34]

Οι νόμοι που αφορούν στα ψηφιακά πειστήρια αντιμετωπίζουν δύο θέματα: την ακεραιότητα και την αυθεντικότητά τους. Η ακεραιότητα διασφαλίζει ότι η πράξη της λήψης και απόκτησης πειστηρίων από ψηφιακά μέσα δεν τροποποιεί αυτά τα αποδεικτικά στοιχεία (είτε το πρωτότυπο είτε το αντίγραφο). Η αυθεντικότητα αναφέρεται στην ικανότητα επιβεβαίωσης της ακεραιότητας των πληροφοριών. Για παράδειγμα επιβεβαιώνει ότι τα αντίγραφα των μέσων είναι ταυτόσημα με τα αρχικά στοιχεία.[34] Η ευκολία με την οποία μπορούν να μεταβληθούν τα ψηφιακά πειστήρια σημαίνει ότι η τεκμηρίωση της αλυσίδας επιτήρησης (Chain of Custody) από τη σκηνή του εγκλήματος, μέσω ανάλυσης και, τελικά, έως να βρεθούν τα πειστήρια ενώπιον του δικαστηρίου (μια μορφή του ιστορικού ή της διαδρομής ελέγχου) είναι σημαντική για τη διαπίστωση της αυθεντικότητας των πειστηρίων.[6]

Οι δικηγόροι έχουν επιχειρηματολογήσει πως επειδή τα ψηφιακά πειστήρια μπορούν θεωρητικά να τροποποιηθούν υπονομεύεται η αξιοπιστία των πειστηρίων. Οι αμερικανοί δικαστές έχουν αρχίσει να απορρίπτουν αυτή τη θεωρία, όπως στην υπόθεση των ΗΠΑ εναντίον του Bonallo, όπου το δικαστήριο έκρινε ότι «το γεγονός ότι είναι δυνατόν να αλλάξουν τα δεδομένα που περιέχονται σε έναν υπολογιστή είναι σαφώς ανεπαρκές για να αποδειχθεί αναξιοπιστία».[6][37] Στο Ηνωμένο Βασίλειο κατευθυντήριες γραμμές όπως αυτές που έχουν εκδοθεί από τον Σύνδεσμο Ανωτάτων Αξιωματικών Αστυνομίας (Association of Chief Police Officers – ACPO) ακολουθούνται για να βοηθήσουν στην τεκμηρίωση της αυθεντικότητας και της ακεραιότητας των πειστηρίων.

Οι ερευνητές ψηφιακών πειστηρίων, ιδίως σε ποινικές έρευνες, πρέπει να διασφαλίζουν ότι τα συμπεράσματα βασίζονται σε πραγματικά στοιχεία και στις προσωπικές ειδικές γνώσεις τους.[6] Στις ΗΠΑ, για παράδειγμα, οι Ομοσπονδιακοί Κανόνες Έρευνας Πειστηρίων (Federal Rules of Evidence) δηλώνουν ότι ένας ειδικευμένος εμπειρογνώμονας μπορεί να καταθέσει "με τη μορφή μιας γνώμης ή άλλως" εφόσον:

(1) η μαρτυρία βασίζεται σε επαρκή γεγονότα ή δεδομένα, (2) η μαρτυρία είναι προϊόν αξιόπιστων αρχών και μεθόδων και (3) ο μάρτυρας εφάρμοσε αξιόπιστα τις αρχές και τις μεθόδους στα πραγματικά στοιχεία της υπόθεσης.[38]

Οι κλάδοι της ψηφιακής εγκληματολογίας μπορούν να έχουν ο καθένας τις δικές του ειδικές οδηγίες για τη διεξαγωγή των ερευνών και τη διαχείριση των πειστηρίων. Για παράδειγμα, τα κινητά τηλέφωνα μπορεί να απαιτείται να τοποθετούνται σε κλωβό Faraday κατά τη διάρκεια της λήψης ή της απόκτησης πειστηρίων, προκειμένου να αποφευχθεί η περαιτέρω ασύρματη επικοινωνία της συσκευής. Στο Ηνωμένο Βασίλειο η εγκληματολογική εξέταση υπολογιστών σε ποινικές υποθέσεις υπόκειται στις κατευθυντήριες γραμμές του Συνδέσμου Ανωτάτων Αξιωματικών Αστυνομίας (Association of Chief Police Officers – ACPO).[6] Υπάρχουν επίσης διεθνείς προσεγγίσεις για την παροχή καθοδήγησης σχετικά με τον τρόπο διαχείρισης των ψηφιακών πειστηρίων. Ο "Οδηγός Ηλεκτρονικών Πειστηρίων" (Electronic Evidence Guide) του Συμβουλίου της Ευρώπης προσφέρει ένα πλαίσιο για τις αρχές επιβολής του νόμου και τις δικαστικές αρχές σε χώρες που επιδιώκουν να δημιουργήσουν ή να ενισχύσουν τις δικές τους κατευθυντήριες γραμμές για τον εντοπισμό και τον χειρισμό ηλεκτρονικών πειστηρίων.[39]

Ερευνητικά Εργαλεία

[Επεξεργασία | επεξεργασία κώδικα]

Το παραδεκτό των ψηφιακών πειστηρίων εξαρτάται από τα εργαλεία που χρησιμοποιούνται για την εξαγωγή τους. Στις ΗΠΑ, τα εγκληματολογικά εργαλεία υπόκεινται στο πρότυπο Daubert, όπου ο δικαστής είναι υπεύθυνος για τη διασφάλιση πως οι διαδικασίες και το λογισμικό που χρησιμοποιούνται είναι αποδεκτά. Σε μια δήλωση του 2003, ο Brian Carrier ισχυρίστηκε ότι οι κατευθυντήριες γραμμές Daubert απαιτούσαν να δημοσιευθεί ο κώδικας των εγκληματολογικών εργαλείων και να αξιολογηθούν από ομότιμους κριτές. Κατέληξε στο συμπέρασμα ότι "τα εργαλεία ανοικτού κώδικα μπορούν να πληρούν με μεγαλύτερη σαφήνεια και πληρότητα τις απαιτήσεις των κατευθυντήριων γραμμών από ό,τι τα ιδιόκτητα εργαλεία".[40] Ο Josh Brunty δήλωσε το 2011 ότι η επιστημονική επικύρωση της τεχνολογίας και του λογισμικού που σχετίζονται με την πραγματοποίηση μιας ψηφιακής εγκληματολογικής εξέτασης είναι κρίσιμη για κάθε εργαστηριακή διαδικασία. Ισχυρίστηκε ότι «η επιστήμη της ψηφιακής εγκληματολογίας βασίζεται στις αρχές των επαναλαμβανόμενων διαδικασιών και των ποιοτικών πειστηρίων, επομένως, το να γνωρίζει κάποιος πώς να σχεδιάσει και να διατηρήσει κατάλληλα μια καλή διαδικασία επικύρωσης είναι βασική απαίτηση για κάθε ερευνητή ψηφιακής εγκληματολογίας ώστε να υπερασπιστεί τις μεθόδους του σε δικαστήριο».[41]

Καθώς οι νόμοι παραβιάζονται από τους εγκληματίες και τώρα χρησιμοποιούνται εκτεταμένα μικρές ψηφιακές συσκευές (π.χ. ταμπλέτες, smartphones, flash drives), οι έρευνες της ψηφιακής εγκληματολογίας δεν περιορίζονται απλώς στην ανάκτηση δεδομένων από συστήματα ηλεκτρονικών υπολογιστών, αλλά επεκτείνονται για να καλυφθούν και οι νέες αυτές τεχνολογίες και συσκευές. Ορισμένες από αυτές τις συσκευές έχουν πτητική μνήμη, ενώ μερικές έχουν μη πτητική μνήμη. Υπάρχουν επαρκείς μεθοδολογίες για την ανάκτηση δεδομένων από την πτητική μνήμη, ωστόσο, δεν υπάρχει λεπτομερής μεθοδολογία ή πλαίσιο για την ανάκτηση δεδομένων από μη πτητικές μνήμες.[42] Ανάλογα με τον τύπο των συσκευών, των μέσων ή των αντικειμένων, η έρευνα της ψηφιακής εγκληματολογίας διακλαδίζεται σε διάφορους τύπους.

Εγκληματολογία Υπολογιστών

[Επεξεργασία | επεξεργασία κώδικα]

Ο στόχος της εγκληματολογίας υπολογιστών είναι να εξηγήσει την τρέχουσα κατάσταση ενός ψηφιακού αντικειμένου (artifact), όπως ενός συστήματος ηλεκτρονικού υπολογιστή, ενός αποθηκευτικού μέσου ή ενός ηλεκτρονικού εγγράφου.[43] Ο κλάδος αυτός καλύπτει συνήθως τα συστήματα ηλεκτρονικών υπολογιστών, τα ενσωματωμένα συστήματα (ψηφιακές συσκευές με στοιχειώδη υπολογιστική ισχύ και ενσωματωμένη μνήμη) και τη στατική μνήμη (όπως USB αποθηκευτικές μονάδες).

Η εγκληματολογία υπολογιστών μπορεί να ασχοληθεί με ένα ευρύ φάσμα πληροφοριών: από τα αρχεία καταγραφής (όπως το ιστορικό διαδικτύου) έως τα πραγματικά ψηφιακά αρχεία στη μονάδα δίσκου. Το 2007 οι εισαγγελείς χρησιμοποίησαν ένα υπολογιστικό φύλλο που ανακτήθηκε από τον υπολογιστή του Joseph E. Duncan III για να αποδειχθεί προμελέτη και να εξασφαλισθεί η θανατική ποινή.[3] Ο δολοφόνος της Sharon Lopatka εντοπίστηκε το 2006 μετά από τον εντοπισμό στον υπολογιστή του θύματος μηνυμάτων ηλεκτρονικού ταχυδρομείου από το θύτη, τα οποία περιγράφουν λεπτομερώς βασανιστήρια και φαντασιώσεις θανάτου.[6]

Συσκευές κινητών τηλεφώνων σε σακούλα πειστηρίων του Ηνωμένου Βασιλείου
Ιδιωτικός Ερευνητής και Πιστοποιημένος Εξεταστής Ψηφιακής Εγκληματολογίας απεικονίζει (imaging) έναν σκληρό δίσκο επιτόπου στο πεδίο για εγκληματολογική εξέταση.

Εγκληματολογία Κινητών Συσκευών

[Επεξεργασία | επεξεργασία κώδικα]

Η εγκληματολογία κινητών συσκευών αποτελεί υπο-κλάδο της ψηφιακής εγκληματολογίας σχετικά με την ανάκτηση ψηφιακών πειστηρίων ή δεδομένων από μια κινητή συσκευή. Διαφέρει από την εγκληματολογία υπολογιστών κατά το ότι μια κινητή συσκευή θα διαθέτει ενσωματωμένο σύστημα επικοινωνίας (π.χ. GSM) και, συνήθως, διαφορετικούς ανά κατασκευάστρια εταιρεία μηχανισμούς αποθήκευσης, οι οποίοι είναι και ιδιόκτητοι από την ίδια την κατασκευάστρια. Οι έρευνες συνήθως επικεντρώνονται σε απλά δεδομένα, όπως δεδομένα κλήσεων και επικοινωνιών (Σύντομα Μηνύματα - SMS/μηνύματα ηλεκτρονικού ταχυδρομείου - Email), και όχι η σε βάθος ανάκτηση των διαγραμμένων δεδομένων.[6][44] Τα δεδομένα SMS από μια έρευνα κινητής συσκευής βοήθησαν να απαλλαχθεί ο Patrick Lumumba από τη δολοφονία της Meredith Kercher.[3]

Οι κινητές συσκευές είναι επίσης χρήσιμες για την παροχή πληροφοριών θέσης. είτε από ενσωματωμένες δυνατότητες GPS/εντοπισμού τοποθεσίας ή μέσω αρχείων καταγραφής κυψελών της κινητής τηλεφωνίας, τα οποία παρακολουθούν τις συσκευές εντός της εμβέλειας τους. Τέτοιου τύπου πληροφορίες χρησιμοποιήθηκαν για τον εντοπισμό των απαγωγέων του Thomas Onofri το 2006.[3]

Εγκληματολογία Δικτύων

[Επεξεργασία | επεξεργασία κώδικα]

Η εγκληματολογία δικτύων ασχολείται με την παρακολούθηση και ανάλυση της κίνησης του δικτύου υπολογιστών, τόσο σε τοπικό όσο και σε WAN/διαδικτυακό επίπεδο, με σκοπό τη συλλογή πληροφοριών, τη συλλογή πειστηρίων ή την ανίχνευση εισβολών.[45] Η δικτυακή κίνηση συνήθως συλλέγεται σε επίπεδο πακέτων και είτε αποθηκεύεται για μεταγενέστερη ανάλυση ή φιλτράρεται σε πραγματικό χρόνο. Σε αντίθεση με άλλους τομείς της ψηφιακής εγκληματολογίας, τα δεδομένα της εγκληματολογίας δικτύου είναι συχνά προσωρινά και σπάνια καταγράφονται, καθιστώντας τον συγκεκριμένο κλάδο συχνά χρήσιμο μόνο ως εκ των υστέρων αντίδραση.

Το 2000, το FBI παρέσυρε τους χάκερς Aleksey Ivanov και Gorshkov στις Ηνωμένες Πολιτείες για μια ψεύτικη συνέντευξη εργασίας. Παρακολουθώντας τη δικτυακή κίνηση μεταξύ των υπολογιστών τους στην Αμερική και εκείνων που είχαν στη Ρωσία, το FBI εντόπισε κωδικούς πρόσβασης που τους επέτρεψαν να συλλέξουν στοιχεία απευθείας από υπολογιστές με έδρα τη Ρωσία.[6][46]

Εγκληματολογία Ανάλυσης Δεδομένων

[Επεξεργασία | επεξεργασία κώδικα]

Η Εγκληματολογία Ανάλυσης Δεδομένων είναι ένας κλάδος της ψηφιακής εγκληματολογίας. Εξετάζει τα δομημένα δεδομένα με στόχο να αποκαλυφθούν και να αναλυθούν μοτίβα δόλιων δραστηριοτήτων που προκύπτουν από οικονομικά εγκλήματα.

Εγκληματολογία Βάσεων Δεδομένων

[Επεξεργασία | επεξεργασία κώδικα]

Η εγκληματολογία των βάσεων δεδομένων είναι ένας κλάδος της ψηφιακής εγκληματολογίας που σχετίζεται με την εγκληματολογική μελέτη των βάσεων δεδομένων και των μεταδεδομένων τους.[47] Οι έρευνες χρησιμοποιούν περιεχόμενο των βάσεων δεδομένων, αρχεία καταγραφής και δεδομένα εντός της RAM για να δημιουργήσουν ένα χρονοδιάγραμμα ή να ανακτήσουν σχετικές πληροφορίες.

Περαιτέρω ανάγνωση

[Επεξεργασία | επεξεργασία κώδικα]
  1. 1,0 1,1 1,2 1,3 1,4 1,5 M Reith; C Carr; G Gunsch (2002). An examination of digital forensic models. International Journal of Digital Evidence. 
  2. Carrier, B (2001). «Defining digital forensic examination and analysis tools». International Journal of Digital Evidence 1: 2003. 
  3. 3,0 3,1 3,2 3,3 3,4 3,5 3,6 Various (2009). Eoghan Casey, επιμ. Handbook of Digital Forensics and Investigation. Academic Press. σελ. 567. ISBN 978-0-12-374267-4. 
  4. 4,0 4,1 4,2 Carrier, Brian D (7 Ιουνίου 2006). «Basic Digital Forensic Investigation Concepts». Αρχειοθετήθηκε από το πρωτότυπο στις 26 Φεβρουαρίου 2010. 
  5. «Florida Computer Crimes Act». Αρχειοθετήθηκε από το πρωτότυπο στις 12 Ιουνίου 2010. Ανακτήθηκε στις 31 Αυγούστου 2010. 
  6. 6,00 6,01 6,02 6,03 6,04 6,05 6,06 6,07 6,08 6,09 6,10 6,11 6,12 6,13 6,14 6,15 6,16 6,17 6,18 6,19 Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8. 
  7. Aaron Phillip· David Cowen· Chris Davis (2009). Hacking Exposed: Computer Forensics. McGraw Hill Professional. σελ. 544. ISBN 978-0-07-162677-4. Ανακτήθηκε στις 27 Αυγούστου 2010. 
  8. 8,0 8,1 M, M. E. «A Brief History of Computer Crime: A» (PDF). Norwich University. Αρχειοθετήθηκε (PDF) από το πρωτότυπο στις 21 Αυγούστου 2010. Ανακτήθηκε στις 30 Αυγούστου 2010. 
  9. 9,0 9,1 Mohay, George M. (2003). Computer and intrusion forensics. Artechhouse. σελ. 395. ISBN 978-1-58053-369-0. 
  10. 10,0 10,1 10,2 Peter Sommer (January 2004). «The future for the policing of cybercrime». Computer Fraud & Security 2004 (1): 8–12. doi:10.1016/S1361-3723(04)00017-X. ISSN 1361-3723. 
  11. 11,0 11,1 11,2 Simson L. Garfinkel (August 2010). «Digital forensics research: The next 10 years». Digital Investigation 7: S64–S73. doi:10.1016/j.diin.2010.05.009. ISSN 1742-2876. 
  12. Linda Volonino· Reynaldo Anzaldua (2008). Computer forensics for dummies. For Dummies. σελ. 384. ISBN 978-0-470-37191-6. 
  13. GL Palmer· I Scientist· H View (2002). «Forensic analysis in the digital world». International Journal of Digital Evidence. Ανακτήθηκε στις 2 Αυγούστου 2010. 
  14. Wilding, E. (1997). Computer Evidence: a Forensic Investigations Handbook. London: Sweet & Maxwell. σελ. 236. ISBN 978-0-421-57990-3. 
  15. Collier, P.A.; Spaul, B.J. (1992). «A forensic methodology for countering computer crime». Computers and Law. 
  16. 16,0 16,1 K S Rosenblatt (1995). High-Technology Crime: Investigating Cases Involving Computers. KSK Publications. ISBN 978-0-9648171-0-4. Αρχειοθετήθηκε από το πρωτότυπο στις 7 Μαρτίου 2016. Ανακτήθηκε στις 4 Αυγούστου 2010. 
  17. «Best practices for Computer Forensics» (PDF). SWGDE. Αρχειοθετήθηκε από το πρωτότυπο (PDF) στις 27 Δεκεμβρίου 2008. Ανακτήθηκε στις 4 Αυγούστου 2010. 
  18. «ISO/IEC 17025:2005». ISO. Αρχειοθετήθηκε από το πρωτότυπο στις 5 Αυγούστου 2011. Ανακτήθηκε στις 20 Αυγούστου 2010. 
  19. SG Punja (2008). «Mobile device analysis». Small Scale Digital Device Forensics Journal. Αρχειοθετήθηκε από το πρωτότυπο στις 2011-07-28. https://web.archive.org/web/20110728051616/http://www.ssddfj.org/papers/SSDDFJ_V2_1_Punja_Mislan.pdf. 
  20. Rizwan Ahmed (2008). «Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective». 6th International Conference on E-Governance. Αρχειοθετήθηκε από το πρωτότυπο στις 2016-03-03. https://web.archive.org/web/20160303222523/http://www.csi-sigegov.org/emerging_pdf/34_312-323.pdf. 
  21. "The Joint Operating Environment" Αρχειοθετήθηκε 2013-08-10 στο Wayback Machine., Report released, 18 February 2010, pp. 34–36
  22. Peterson, Gilbert· Shenoi, Sujeet (2009). Digital Forensic Research: The Good, the Bad and the Unaddressed. Advances in Digital Forensics V. IFIP Advances in Information and Communication Technology. 306. Springer Boston. σελίδες 17–36. Bibcode:2009adf5.conf...17B. doi:10.1007/978-3-642-04155-6_2. ISBN 978-3-642-04154-9. 
  23. Mohay, George M. (2003). Computer and Intrusion Forensics. Artech House. ISBN 9781580536301. 
  24. Fatah, Alim A.· Higgins, Kathleen M. (Φεβρουάριος 1999). Forensic Laboratories: Handbook for Facility Planning, Design, Construction and Moving. DIANE Publishing. ISBN 9780788176241. 
  25. 25,0 25,1 Adams, Richard (2013). «'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice» (PDF). Murdoch University. Αρχειοθετήθηκε (PDF) από το πρωτότυπο στις 14 Νοεμβρίου 2014. 
  26. «'Electronic Crime Scene Investigation Guide: A Guide for First Responders» (PDF). National Institute of Justice. 2001. Αρχειοθετήθηκε (PDF) από το πρωτότυπο στις 15 Φεβρουαρίου 2010. 
  27. «Catching the ghost: how to discover ephemeral evidence with Live RAM analysis». Belkasoft Research. 2013. 
  28. Adams, Richard (2013). «'The emergence of cloud storage and the need for a new digital forensic process model» (PDF). Murdoch University. 
  29. Maarten Van Horenbeeck (24 Μαΐου 2006). «Technology Crime Investigation». Αρχειοθετήθηκε από το πρωτότυπο στις 17 Μαΐου 2008. Ανακτήθηκε στις 17 Αυγούστου 2010. 
  30. Method and system for searching for, and collecting, electronically-stored information. Elliot Spencer, Samuel J. Baker, Erik Andersen, Perlustro LP. 2009-11-25. https://patents.google.com/patent/US8392706. 
  31. 31,0 31,1 Richard, Adams; Graham, Mann; Valerie, Hobbs (2017). «ISEEK, a tool for high speed, concurrent, distributed forensic data acquisition» (στα αγγλικά). Research Online. doi:10.4225/75/5a838d3b1d27f. http://ro.ecu.edu.au/adf/171/. 
  32. Hoelz, Bruno W. P.· Ralha, Célia Ghedini· Geeverghese, Rajiv (8 Μαρτίου 2009). Artificial intelligence applied to computer forensics. ACM. σελίδες 883–888. doi:10.1145/1529282.1529471. ISBN 9781605581668. 
  33. Warren G. Kruse· Jay G. Heiser (2002). Computer forensics: incident response essentials. Addison-Wesley. σελ. 392. ISBN 978-0-201-70719-9. 
  34. 34,0 34,1 34,2 34,3 Sarah Mocas (February 2004). «Building theoretical underpinnings for digital forensics research». Digital Investigation 1 (1): 61–68. doi:10.1016/j.diin.2003.12.004. ISSN 1742-2876. 
  35. Kanellis, Panagiotis (2006). Digital crime and forensic science in cyberspace. Idea Group Inc (IGI). σελ. 357. ISBN 978-1-59140-873-4. 
  36. US v. Bonallo, 858 F. 2d 1427 (9th Cir. 1988).
  37. «Federal Rules of Evidence #702». Αρχειοθετήθηκε από το πρωτότυπο στις 19 Αυγούστου 2010. Ανακτήθηκε στις 23 Αυγούστου 2010. 
  38. «Electronic Evidence Guide». Council of Europe. Απριλίου 2013. Αρχειοθετήθηκε από το πρωτότυπο στις 27 Δεκεμβρίου 2013. 
  39. Brunty, Josh (Μαρτίου 2011). «Validation of Forensic Tools and Software: A Quick Guide for the Digital Forensic Examiner». Forensic Magazine. Αρχειοθετήθηκε από το πρωτότυπο στις 22 Απριλίου 2017. 
  40. Jansen, Wayne (2004). Ayers. NIST. doi:10.6028/NIST.SP.800-72. Αρχειοθετήθηκε από το πρωτότυπο στις 12 February 2006. https://web.archive.org/web/20060212052654/http://csrc.nist.gov/publications/nistpubs/800-72/sp800-72.pdf. Ανακτήθηκε στις 26 February 2006. 
  41. A Yasinsac· RF Erbacher· DG Marks· MM Pollitt (2003). «Computer forensics education» (PDF). IEEE Security & Privacy. Ανακτήθηκε στις 26 Ιουλίου 2010. 
  42. «Technology Crime Investigation :: Mobile forensics». Αρχειοθετήθηκε από το πρωτότυπο στις 17 Μαΐου 2008. Ανακτήθηκε στις 18 Αυγούστου 2010. 
  43. Gary Palmer, A Road Map for Digital Forensic Research, Report from DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, 7–8 August 2001, Page(s) 27–30
  44. «2 Russians Face Hacking Charges». Moscow Times. 24 Απριλίου 2001. Αρχειοθετήθηκε από το πρωτότυπο στις 22 Ιουνίου 2011. Ανακτήθηκε στις 3 Σεπτεμβρίου 2010. 
  45. Olivier, Martin S. (March 2009). «On metadata context in Database Forensics». Digital Investigation 5 (3–4): 115–123. doi:10.1016/j.diin.2008.10.001. http://www.sciencedirect.com/science/article/B7CW4-4TSD9G6-1/2/a5031117d753054d92f2afba332eadf8. Ανακτήθηκε στις 2 August 2010. [νεκρός σύνδεσμος]