ترجمه تخصصی مقاله: مقدمه ای بر جرم شناسی رایانه ای

فصل 1- مقدمه ای بر جرم شناسی رایانه ای

 

1. 1. : مقدمه

هزاران سال قبل در کشور چین، از اثرانگشت در تمامی اسناد تجاری استفاده می شد. این امر مشابه استفاده از امضاها در شرایط کنونی است. از امضا و اثرانگشت برای تایید سند، یا اعطای مجوز لازم برای انجام اقدامات ذکر شده در سند استفاده می شود. این وضعیت، نخستین مورد از اجرای عملیات جُرم شناسی در سطح جهانی محسوب می شود. از آن زمان به بعد، سازمان های مجری قانون در اقصی نقاط جهان ، به آهستگی مهارت ها و ابزارهای جرم شناسی را برای بررسی صحنه های جُرم توسعه دادند. آن ها از دانش و روش های جرم شناسی ، برای مطلع شدن از رخدادهای به وقوع پیوسته استفاده نموده اند. مثالی برجسته در این زمینه، سونگ کی ، یک دانشمند جرم شناسی مشهور در چین باستان است. وی تجربیات زندگی و افکار خود راجع به پزشکی قانونی را در کتاب زدودن تخلفات : پزشکی جرم شناسانه ، مورد مستندسازی قرار داده است. چنین آثاری، به منزله نخستین ها در نوع خود در سطح جهانی محسوب می شوند

در آغاز قرن بیستم، با پیشرفت های صورت گرفته در علم و فناوری  ، تکنیک های جرم شناسی جدید متعددی توسعه پیدا کردند. رشد فزاینده این تکنیک ها ، منجر به این می شود که سازمان های قانونی، واحدهای جرم شناسی تخصصی را دائر بکنند. هدف از این کار، مطالعه شواهد بدست آمده از صحنه جُرم است.

1. 1. 1. : تاریخچه در سال های آغازین

جرم شناسی رایانه، بر خلاف جُرم شناسی عمومی، تاریخچه بسیار کوتاه و مختصری دارد. تکامل آن از 30 سال قبل در آمریکا آغاز شده است. در آن دوران، مجریان قانون و بازرسان نظامی ، شاهد افزایش تعداد جرایم رایانه ای (جرایم سایبری یا الکتریکی)، در نرخی هشداردهنده بودند. با توجه به وجود چنین روندی، FBI مسئولیت راه اندازی برنامه رسانه های مغناطیسی در سال 1984 را بر عهده گرفت. اکنون این برنامه با اسم تیم تحلیل و واکنش رایانه ای (CART) مشهور می باشد. هدف حفاظت از اسناد محرمانه دولتی است.انجام بازرسی های مربوطه و حفاظت از اطلاعات بسیار مهم دولتی در برابر افشا، و کاهش خطرات احتمالی و آتی نسبت به این اطلاعات ، از جمله سایر اهداف مربوط به این برنامه تلقی می شوند. مامور ویژه ای به اسم مایکل آندرسون، که مسئولیت آغاز برنامه CART را بر عهده داشت ، در سال های بعد شهرت پدر جرم شناسی رایانه ای را برای خود دست و پا کرد. از آن زمان به بعد، هنر حفاظت از اطلاعات امنیتی، و بررسی جرایم سایبری، به زیربنا و جز جدایی ناپذیری از جرم شناسایی رایانه ای تبدیل گردیده است.

 

 

 

 

در دسامبر 1997،  گروه 8 (G8) شامل 8 کشور پیشرفته صنعتی یعنی کانادا، فرانسه، آلمان، ایتالیا، ژاپن، روسیه، انگلیس و آمریکا ، گروه دیگری را برای رسیدگی به جرایم فناوری های پیشرفته تشکیل دادند. در طول جلسات این گروه، G8 رسماً ماهیت بین المللی جرایم رایانه ای را تایید کرد. برای نخستین بار، متخصصان فناوری های پیشرفته از اقصی نقاط جهان برای بحث راجع به اصول جرم شناسی رایانه ای، نقاط تماس برای پیگیری دائمی تخلف، و گفتگوهای صنعتی، و مقابله با تهدید دائماً در حال افزایش جرایم سایبری گرد هم آمدند. همکاری های صنعتی برای کمک به حفاظت / نگهداری از داده ها ، از آن زمان به بعد همواره برقرار بودند.

در محیط امروزی، توان رایانه ای دائماً در حال پیشرفت، در اختیار دولت، شرکت های خصوصی و حتی آحاد جامعه قرار گرفته است.انواعی از این قدرت سریعاً در حال افزایش عبارتند از قدرت شبکه سازی، انواع کاربردهای جدیدی برای اینترنت، تجارت الکترونیک همچون استیم شرکت VALVE و دستگاه های سیار قابل دسترسی از طریق شبکه همچون گوشی های هوشمند و PDAها. تمامی فناوری های جدید، فرصت های طلایی را برای انجام جرایم سایبری سازمان یافته فراهم می کنند. این جرایم می توانند از هر مکانی از جهان، و در هر لحظه ای رخ بدهند. علیرغم تلاش های اولیه CART،  رایانه ها و سایر ابزارهای الکترونیکی، به وفور به عنوان ابزارهای انجام فعالیت های غیرقانونی علیه افراد، کسب و کارها، سازمان ها و کُل دولت ها در حال استفاده هستند. بدلیل استفاده وسیع از فناوری های شبکه و اینترنت، جرم سایبری به واقعیت جدیدی تبدیل شده است که همه روزه با آن روبرو هستیم. جرایم فناوری پیشرفته همچون سرقت اطلاعات شخصی، کلاهبرداری های مالی، سرقت دارایی های فکری ، جاسوسی سایبری، نفوذ به شبکه ، و غیره، با سرعت زیادی رو به افزایش هستند.

علیرغم برقراری این روند بخوبی پایدار شده، سازمان های مجری قانون در اقصی نقاط جهان ، فاقد تجربه لازم برای مقابله امن با فعالیت های مجرمانه سایبری هستند. در حال حاضر، جرایم سایبری ضرر چند میلیاردی را در زمینه مالی ایجاد نموده است. همچنین ضررهایی به اعتبار شرکت ها، سازمان ها و دولت ها وارد شده است. در اینجا با ضرورت آشکار برای اتخاذ رویکردی همه جانبه ، برای بررسی سوانح دیجیتال و جرایم مربوط به رایانه روبرو هستیم. همچنین بایستی از قربانیان و داده هایشان محافظت بکنیم. حفاظت در برابر حملات سایبری، به یکی از ارکان جدایی ناپذیر فرایند تحلیل جرم شناسی تبدیل شده است. البته چنین حفاظتی، منجر به صرف زمان اضافه، عدم سهولت اجرایی و هزینه های اضافه می شود.

1. 1. 2. : یک حوزه در حال ظهور

مقامات اقصی نقاط جهان در تلاش برای مقابله با این نوع جدید از جرایم، درصدد تشکیل واحدهای ویژه جرایم فناوری پیشرفته هستند. آن ها به صورت اختصاصی مسئول مقابله با جرایم سایبری ، و بررسی تخلفات صورت گرفته بر اساس دستگاه های دیجیتال و رایانه ها هستند. آزمایشگاه های جرم شناسی رایانه ای در اقصی نقاط جهان دائر شده اند تا به  بررسی و حل و فصل جرایم کمک بکنند. این آزمایشگاه ها با گردآوری، تجزیه و تحلیل و ارائه اطلاعات و شواهد الکترونیکی ذخیره شده روی رایانه ها ، و سایر دستگاه های الکترونیکی کشف یا مصادره شده، کار خود را انجام می دهند.در نتیجه موفقیت آن ها، تقاضا برای فناوری های نوآورانه جرم شناسی رایانه ای ، با نرخ قابل ملاحظه ای افزایش یافته است. یک حوزه صنعتی جدید در حال تشکیل و شکوفایی است. این حوزه به صورت تخصصی خدمات جرم شناسی رایانه ای همچون بازیابی داده های حذف شده را ارائه می دهد ، و فناوری های تقاضا شده برای بازرسی های جرم شناسانه را توسعه می دهد. شرکت نرم افزاری guidance ،که اکنون بخشی از opentext است ، یک شرکت پیشرو و رهبر جهانی در زمینه کشف الکترونیک و بازرسی های دیجیتالی است. این شرکت با محصولات پرچم دار خود راه حل های بررسی رایانه منطبق با استانداردهای صنعتی (encase) را  فراهم می سازد. این ابزارها به بازرسان این امکان را داده تا داده هایی از طیف وسیعی از دستگاه ها را بدست بیاورند، شواهد بالقوه را از طریق تحلیل جرم شناسی سطح دیسک استخراج بکنند، و گزارش های جامعی از یافته ها ارائه بدهند. در تمامی حالت ها زنجیره بازرسی دیجیتالی برقرار می باشد و صحت و تمامیت شواهد تضمین می شود [1].

در همین حال، تحقیقات دانشگاهی در زمینه جرم شناسی رایانه ای رو به گسترش هستند و بشدت فعال شده اند. اصلی ترین محفل محققان دانشگاهی و اجرایی فعال در زمینه جرم شناسی دیجیتال یعنی کنفرانس DFRWS [18]، در سال 2018، هجدهمین سالگرد خود را جشن می گیرد. بسیاری از جدیدترین تحقیقات و موضوعات و دیدگاه ها راجع به بهترین روش های کاربردی ، در آن کنفرانس معرفی می شوند.برای مثال، یک وظیفه رایج برای یک بازرس دیجیتال، بازیابی فایل های حذف شده یا مفقود شده است. راه حل های فعلی، اکثراً برای بازیابی در دسترس (پیوسته) کاربرد دارند. آن ها از ابتدا تا انتها روی بلوک های داده ای مجاور، در دستگاه های مربوطه ذخیره شده اند. متاسفانه، بخش چشمگیری از فایل هایی که به وفور در زندگی روزمره بکار می روند ، همچون ایمیل ها، به بخش های مختلفی تقسیم و ذخیره سازی می شوند. علت این است که آن ها خیلی بزرگ هستند یا به دفعات مورد دسترسی و اصلاح قرار می گیرند. بازیابی فایل های تفکیک شده، یک امر بسیار چالش برانگیز است. تعیین ترتیب و موقعیت فیزیکی قسمت های مختلف اگر نگوییم غیرممکن ، اما بشدت دشوار است. این موضوع به عنوان یک حوزه تحقیقاتی باز مطرح می باشد. در گذشته در DFRWS، رویکردهای امیدوارکننده متعددی پیشنهاد شدند. یکی از آن ها سیستم شکاف دوبخشی است [3] . این روش به نحو موثری فایل های حذف شده با تفکیک و ذخیره سازی در دو بخش را بازیابی می کند. سایرین، ساختارهای فایل داخلی و منحصربه فرد برای انواع فایل ها را در نظر می گیرند. برای مثال بازیابی بخش های حذف شده از فایل های تصویر [4].در ادامه این کتاب، بیشتر راجع به این موضوع بحث می کنیم.

در طول رشد صنعت جرم شناسی رایانه ای ، شاهد افزایش تقاضا برای متخصصان جرم شناسی رایانه ای هستیم. متاسفانه تقاضا بالاتر از خدمات عرضه شده است. در کل جهان، دولت ها و سازمان ها بشدت از کمبود متخصصان جرم شناسی رایانه ای گلایه دارند. این وضعیت به یک محدودیت جدی در این بخش ها تبدیل شده است.برای کاهش مشکل کمبود استعداد، اکنون برنامه های آموزشی و مدارک زیادی همچون SANS و INFOSEC وجود دارند. دانشگاه ها در اقصی نقاط جهان، نسبت به ارائه مدارک مختلف در زمینه جرم شناسی دیجیتال مبادرت ورزیده اند.

1. 1. 3. : چالش ها

جرم شناسی رایانه ای، حتی با وجود تاریخچه ای اندک ، یک دانش ضروری برای مجریان قانون محسوب می شود و با سرعت زیادی روبه رشد است. البته جرم شناسی رایانه ای در عصر حاضر با چالش های بسیاری روبروست. آن ها ما را مجبور کرده تا تکنیک های تحلیلی جدیدی را شناسایی و توسعه بدهیم. در سال های اخیر، پیشرفت فوق العاده شبکه های رایانه ای و فناوری های اینترنتی ، به اصلی ترین چالش پیش روی متخصصان این حرفه تبدیل شده است.ترکیب توسعه سریع ، دسترسی جهانی،تاثیر بالای جمعیت، منجر به سواستفاده بسیاری از مجرمان سایبری از این فناوری ها شده است. لذا آن ها بیشترین آسیب پذیری را نسبت به جرایم سایبری پیدا کرده اند. پیشرفت های سریع، کار متخصصان جرم شناسی رایانه ای برای کشف و گردآوری شواهد را دشوار کرده است. زیرا محدوده شواهد و روش های مخفی سازی با پیشرفت فناوری افزایش یافته اند.

چالش دیگر پیش روی متخصصان جرم شناسی رایانه ای این است که توسعه فناوری های جدید اینترنت و شبکه ، سرعت بیشتری از اصلاحات اقتصادی داشته اند. این موارد از نظر مقایسه ای ، سرعت تغییرات کمتری دارند. هنگامی که انواع فناوری های الکترونیکی مراحل توسعه را پشت سرگذاشته تا سریعتر به مصرف کننده برسند ، حتی ضروری ترین قوانین نیز باید یک سری بازنگری و اصلاحات را پشت سرگذاشته تا اجرایی بشوند. تا زمانی که یک فعالیت غیرقانونی اعلام نشود، فقط غیراخلاقی است و مقامات قادر به مقابله با آن نیستند. این محدودیت های قانونی، موانع غیرضروری را در بررسی های دیجیتال و گردآوری شواهد ایجاد می کنند. برای مثال، قلدری مجازی ، یک روش آنلاین برای آسیب زوری به دیگران است و یک مشکل حاد اجتماعی تلقی می شود. مطالعه جدیدی نشان می دهد یکی از هر 5 کودک، قربانی قلدری مجازی روی وبسایت های رسانه های اجتماعی می شود [5]. البته سواستفاده کنندگان بندرت جریمه می شوند زیرا قوانینی در این زمینه وجود نداشته و پیگیری وضعیت آنان دشوار می باشد. اجرای غیراستاندارد فناوری ها نیز بدلیل تغییر یا عدم تصویب استانداردهای ISO هم مشکل ساز است. این فناوری ها در داخل دسته بندی رایج حاکم بر قوانین قرار نمی گیرند و لذا حفره قانونی ایجاد شده و فناوری ها تحت سواستفاده قرار می گیرند.علاوه بر این، مستندسازی ضعیف فنی در راستای بازرسی ، کار انجام امور و تهیه شواهد را دشوار می کند. تایید آن ها به مراتب دشوارتر خواهد بود.

هرچند جرم شناسی رایانه ای سنتی بشدت به بررسی آماری بسترهای رسانه ای ذخیره داده ها وابسته است (تحلیل مرده نامیده می شود زیرا سیستم در حالت خاموش است). موج جدید از حملات با استفاده از جدیدترین فناوری ها ، اثر کمی روی درایو سخت قربانی بجا می گذارند. علت این است که مهاجم سعی می کند از حافظه های متغیر رایانه قربانی(RAM، کش، ثبات ها) استفاده بکند. نتیجتاً، تکنیک های سنتی همچون دسترسی آفلاین به دیسک سخت ، کارایی خود را از دست می دهند.

برای حل این مشکل، از تحلیل زنده بجای تحلیل مرده استفاده می شود. هرچند تحلیل زنده نیز بسترهای ذخیره سازی را بررسی می کند اما تمرکزش روی حافظه غیرثابت است. این روش چالش های جدیدی دارد زیرا این تکنیک حالت تهاجمی دارد و منجر به نظارت فعال بر سیستم می شود. اگر مهاجم متوجه تحلیل سیستم بشود و آن را به عنوان اقدامی دفاعی خاموش بکند، آنگاه اکثر داده های متغیر، برای همیشه از دست می روند. از سوی دیگر، حتی در صورتی که سیستم فعال باشد ، کرنل و برنامه های بکار رفته توسط متخصصان جرم شناسی، اثر منفی بر نتایج بررسی ها بجا می گذارند. تحلیل گرانی که تحلیل زنده  را انجام می دهند باید کاملاً مراقب باشند تا اثر وارده بر سیستم به حداقل برسد. این مساله بسیار مهمی است. بدین ترتیب نه تنها حضورشان مخفی می شود ، بلکه تمامیت قانونی شواهد بدست آمده نیز حفظ می شود.

در سال های اخیر، تاکید زیادی روی انجام تحلیل زنده قرار داده شده است. یکی از دلایلی که عنوان شد این است که بسیاری از حملات علیه سیستم های رایانه ای ، هیچ اثری روی درایو سخت بجا نمی گذارند. مهاجم فقط به اطلاعات روی حافظه متغیر نفوذ می کند. مثال هایی از این حملات عبارتند از کرم های اینترنتی و روت کیت ها. دلیل دیگر، استفاده بیشتر از ذخیره سازی رمزنگاری شده است. احتمال قوی وجود دارد که تنها کپی از کلیدهای رمزگشایی حافظه در حافظه رایانه باشند، و خاموش شدن رایانه منجر به از دست رفتن اطلاعات می شود (برای انجام تحلیل مرده). برای مثال، برخی سیستم عامل ها از فایل های سیستمی رمزگذاری شده پیش فرض یا قابل تنظیم استفاده می کنند. بیت لاکر ویندوز 7-8 یا نسخه های لینوکسی که شاخه های کاربران را رمزگذاری می کنند از این جمله محسوب می شوند. این فناوری ها، مشکلات چالش برانگیز رمزنگاری را وارد فرایند جرم شناسی می کنند. بسیاری از آن ها بدون برخورداری از دانش کلیدهای رمزی مورد استفاده قابل حل نمی باشند.

یکی از پیشرفت های خاص فناوری، اثر چشمگیری را روی محیط اجتماعی و تجاری بجا گذاشته است. طرز کار این سیستم ها بنحو بی سابقه ای از زمان اختراع رایانه های رومیزی دستخوش تغییر شده است. این پیشرفت در حوزه رایانش ابری صورت گرفته است. دسترسی سریع و آسان به منابع شبکه ای و قابلیت های رایانشی مناسب ، یک امر کلیدی برای موفقیت موسسات مالی، مراکز تحقیقاتی، دانشگاه ها، سازمان های دولتی و موسسات مالی است. امروزه شرکت های متوسط نیز به رایانش ابری روی آورده اند تا قابلیت های خود را بهبود بدهند. رایانش ابری دسترسی جهانی کاربران به داده های پردازشی مشترک ، رایانش،و ذخیره سازی را فراهم ساخته و هزینه های قطعات و سخت افزارهای مورد نیاز بشدت کاهش می یابند. به طریقی مشابه اجاره آپارتمان ، مشتریان حق استفاده از سخت افزار مستقر در سازمان ثالث را خریداری می کنند. تفاوت بین این حالت ها این است که کلاینت به تمامی سخت افزارها دسترسی دارد ولی حق یک دستگاه یا سخت افزار خاص را خریداری نمی کند . رایانش ابری منافع زیادی برای کلاینت ها در پی دارد اما برای جرم شناسی رایانه ای چالش برانگیز می باشد. محدودیت های منطقی و قانونی برای مقابله با مشکلات ذخیره از راه دور وجود دارند.بدلیل پیشرفت و استقرار سریع، قوانین اندکی در این زمینه به چشم می خورند. این موضوع شبیه سایر موضوعات مطرح شده تا این لحظه است (و بسیاری دیگر که اشاره نشده اند).

در همان سطحی که پیشرفت در فناوری های ذخیره دیسک مهم هستند ، ظرفیت روزافزون ذخیره سازی چالش هایی را برای جرم شناسی رایانه ای در پی دارد ، علی الخصوص الگوریتم های موجود در زمینه بازیابی داده و اینکه عملکرد و بهره وری شان در چه حدی باشد. با افزایش ذخیره سازی رایانه ای،حجم دیسک ها از 8 مگابایت به 3 ترابایت رسیده است. نیاز به ذخیره سازی سریعاً رو به افزایش است و این روند همچنان ادامه دار خواهد بود. این دستگاه های ذخیره سازی بزرگ، به الگوریتم های بهینه تری برای تفکیک و بازیابی داده ها نیاز دارند . همچنین با پیدایش حافظه ssd (درایو حالت جامد)و محبوب شدن به عنوان ابزار اصلی ذخیره سازی در رایانه های شخصی، چشم انداز جرم شناسی رایانه ای دستخوش تغییر شده است . ممکن است شواهد بالقوه نابود بشوند زیرا ssd ها با هدف خودنابودسازی فایل ها و ارتقای بهره وری طراحی شده اند. در این وضعیت، بازیابی فایل های حذفی غیرممکن است.خوشبختانه استثنائات زیادی بر خلاف این مکانیزم ها وجود دارند. برای مثال، در صورتی که ssd ها در دستگاه های NAS (ذخیره متصل به شبکه)، دستگاه های RAID، و اتصال خارجی از طریق USB یا FIREWIRE بکار بروند، فاقد مکانیزم خود تخریبی هستند و به صورت سنتی بازیابی می شوند. همچنین، این مکانیزم ها در نسخه های قدیمی ویندوز، مک و لینوکس پشتیبانی نمی شوند. آن ها نیز استثنا تلقی می شوند. البته توجه بیشتری باید به سمت کارکرد SSD ها معطوف بشود. چالش های جرم شناسی روی SSD ها باید مورد توجه قرار بگیرند [6-7].

برای پیچیده تر شدن شرایط، روش های فشرده سازی متعددی روی داده ها اعمال می شوند. بدین ترتیب فضای ذخیره سازی مورد نیاز کاهش می یابد. برای مثال NTFS رایج ترین سیستم فایل برای ویندوز ، از الگوریتم L2NT1 برای فشرده سازی استفاده می کند . بدین ترتیب جریانی از صفرهای پیوسته از فضای ذخیره سازی فیزیکی فایل ها حذف می شوند. به طریق مشابه، سایر روش های فشرده سازی و کدگذاری روی سیستم عامل های دیگر اعمال شده تا بهره وری دیسک ها افزایش یابد [8].این نتایج منجر به افزایش پیچیدگی در سطح سیستم عامل می شوند.بررسی های جرم شناسی رایانه ای، به شکل فزاینده ای پیچیده تر می شوند.

همانند بسیاری از نبردها، جنبه عملیاتی در زمینه بازرسی های جرم شناسی رخ می دهد.در سایر حوزه های امنیت اطلاعات نیز وضعیت اینگونه است. با تکامل تکنیک های بازرسی جرم شناسی، مجرمان نیز از تکنیک های پیشرفته تری استفاده کرده یا از نواقص تکنیک های موجود سود می برند تا بازیابی و شناسایی شواهد باقیمانده را غیرممکن بکنند یا هیچگونه شواهدی بجا نمی گذارند. این عمل، فرایند ضدجرم شناسی نامیده می شود و بوسیله طیف وسیعی از ابزارهای آنلاین موجود در مسیر صحیح قرار می گیرد.

یک مثال، صفر کردن یک درایو است. پس از نفوذ مهاجم به سیستم و دستیابی به هدف مدنظر، برای مثال سرقت اطلاعات، سعی می کند با صفر کردن درایو، رد حمله را بپوشاند. منظور ثبت مقدار صفر روی کُل درایو است. هرچند بازیابی داده ها از درایو صفر شده امکان پذیر است، اما تدبیر بهتر نوشتن جریان های داده تصادفی ، به صورت مکرر و متوالی است. مسیرهای مختلفی تعریف شده اند تا داده های اصلی غیرقابل خواندن بشوند [9]. علت این است که داده ها حالت باینری و گسسته دارند . شدت میدان مغناطیسی پیوسته است و بازنویسی یک بیت، میدان مغناطیسی را کاملاً خنثی نمی کند. لذا جایگزینی 0 با 1 ، مقدار موثر 0.95 را به همراه دارد. تفسیر این است که 0.95 بخوبی و در سطح قابل قبولی برابر با 1 است. هد مغناطیسی این تفاوت را قبول می کند [9]. بررسی حرفه ای دیسک سخت با استفاده از هد ، حداقل 20 برابر حساس تر ازهد درایو سخت عادی است و این تمایز شناسایی می شود [9]. اگر بازرس گمان بکند که درایو سخت صفر شده است ، این تمایزات به عنوان نشانه ای برای کشف بیت های اصلی بکار می روند. هر رونویسی متوالی ، کشف مقدار حقیقی را دشوارتر می کند . نه تنها تعیین تعداد دفعات رونویسی دشوار می شود (برای درایوهای سخت با استفاده زیاد بخش های آن به صورت قانونی حذف می شوند). قدرت جریان مغناطیسی بین دو بیت در محدوده خطا تغییر می کند (تفاوت بین 1.000001 و 1.000009 خیلی اندک است). ترکیب صفر کردن و رونویسی تصادفی، عملی بهینه برای مهاجم است. برای این منظور، ابتدا داده ها تصادفی می شوند و سپس همه چیز صفر می شود. بازیابی آماری شدیداً دشوار می شود. بهره وری زمانی این فرایند به مراتب بیشتر از رونویسی مکرر کُل درایو است.

در مثال فوق، واضح است که مهاجم قصد خرابکارانه دارد. وی سعی می کند شواهد حمله خود را مخفی بکند. این وضعیت همواره واضح و شفاف نیست. امنیت اطلاعات طبق سه دسته بندی بررسی می شود : کلاه های سفید، کلاه های خاکستری و کلاه های سیاه. واژه کلاه سفید اشاره به شخصی دارد که حفاظت اطلاعات را به صورت بیش فعالانه انجام می دهد. بازرس جنایی ، مدیر امنیت اطلاعات از این افراد هستند. کلاه سیاه شخصی است که سعی می کند با اهداف خرابکارانه به اطلاعات حفاظت شده دسترسی پیدا بکند. وی به صورت هدفمند نسبت به غیرفعال سازی، نفوذ، فریبکاری و فرار از تدابیر امنیتی اقدام می کند.در نهایت کلاه های خاکستری کارگران قراردادی ماهر در زمینه روش های امنیت رایانه ای هستند. آن ها به عنوان کلاه سفید یا کلاه سیاه ، با توجه به انگیزه کارفرما فعالیت می کنند. واضح است که مجرمان سایبری همواره بدنبال روش های جدیدتر و بهتری برای مخفی سازی نشانه های دیجیتالی خود هستند. بازرسان دیجیتال باید دائماً فناوری های تحلیلی نوآورانه ای را برای غلبه بر آن ها توسعه بدهند.

1-1-4: ریسک حریم خصوصی در جرم شناسی دیجیتال

علاوه بر این، طی چند سال گذشته، حریم خصوصی در حوزه جرم شناسی دیجیتال ، بیشتر از گذشته از سوی آحاد جامعه مورد توجه واقع شده است. جدیدترین رخدادها، نشان دهنده میزان اهمیت آن هستند. برای مثال در ژانویه 2008، ادیسون چن ، یک بازیگر فیلم هنگ کنگی، دچار رسوایی جنسی شد و عکس های لخت وی که 4 سال قبل گرفته شده بودند ، به وفور روی اینترنت منتشر شدند. تکنیسین های رایانه ای که رایانه وی را تعمیر کرده به این عکس ها دسترسی پیدا کرده و آن ها را به صورت غیرقانونی روی اینترنت منتشر کردند [10]. لذا دغدغه حریم خصوصی مانع از این می شود که بسیاری افراد بدنبال بررسی یا کمک حرفه ای باشند زیرا از شرمساری و تحقیر ، علی الخصوص در رابطه با اطلاعات حساس هراس دارند.

از نظر ذهنی، شاهد هستیم که تضادی بین حکم پیگیری قانونی و حق حریم خصوصی وجود دارد. پرونده های حریم خصوصی منجر به افشای داده های خصوصی شده که به پرونده اصلی هیچ ربطی ندارند.متاسفانه تخطی به حریم خصوصی غیرقابل بازگشت است و آثار ناشی از آن غیرقابل چشم پوشی هستند حتی در صورتی که فرد بیگناه باشد. با اعمال قوانین سیاسی می توان تا حدی این مشکل را برطرف کرد. در اتحادیه اروپا، دو قانون اصلی راجع به حریم خصوصی وجود دارند : 1- منشور حقوق اساسی اتحادیه اروپا 2000 [11] و 2- قانون حفاظت داده های اتحادیه اروپا – 1995 [12]. در آمریکا،قوانین زیادی راجع به حریم خصوصی در حوزه های مختلف اعمال می شوند. برای مثال، قانون بیمه سلامت و مسئولیت (HIPAA) برای صنعت خدمات درمانی ساخته شده است ، اما موسسات مالی باید قانون گرام- لیچ بیلی (GLBA) را رعایت بکنند [13].

هرچند سیاست هایی برای محدودسازی حقوق بازرسان جرم شناسی وجود دارند، اما ماهیت متضاد بررسی های دیجیتال و حریم خصوصی، دستیابی به تعادل را همچنان دشوار می سازند. خوشبختانه برخی فناوری های حفاظت از حریم خصوصی توسط بازرسان دیجیتالی بکار رفته تا این مشکل را برطرف بکنند. برای مثال تکنیک جستجوی کلیدواژه با لحاظ کردن حریم خصوصی ، توسط بازرسان برای جستجوی کلیدواژه ها بکار می رود [14]. گمنام سازی یا حذف اطلاعات شخصی از داده های ثبتی و حفظ سایر ویژگی ها ، یکی دیگر از تکنیک های مورد تایید برای بازرسی های جرم شناسی است.

1. 1. 4. : مسیر پیش رو

هنگامی که زمان بیشتری از ورود به عصر دیجیتال سپری می شود، شاهد هستیم که تعداد بیشتری از سازمان ها، کسب و کارها و موسسات دولتی ، اطلاعات سازمانی و مالکیت فکری را کاملاً دیجیتال می کنند و در فضای وب حضور می یابند. محیط دیجیتال به یک کسب و کار بزرگ تبدیل شده است ، همانند سایر جنبه های زندگی. دیجیتالی شدن اطلاعات و حضور آنلاین به سازمان ها این شانس را داده تا به صورت موثر نسبت به مدیریت، انتقال و ذخیره سازی اطلاعات اقدام بکنند (افزایش فرصت های موفق). همچنین تعداد و شدت تهدیدهای ایجاد شده نسبت به اطلاعات نیز افزایش می یابند.

برای مثال، ماهیت جرایم مالی در گذر زمان تغییر یافته است. انتقال اسناد کاغذی به دیجیتالی، یک نمونه از این تحولات است. قبل از عصر دیجیتال،  مجرمان پول و رسیدهای جعلی درست می کردند و افراد را ترغیب به دروغگویی برای فریب سایرین می کردند. امروزه، مجرمان دائماً از اینترنت برای شناسایی قربانیان استفاده می کنند. روش هایی همچون هک کردن، ویروس و بدافزار، لوگ کلید، فیشینگ بکار می روند. پیشرفت های فناوری، کار مجرمان برای انجام این فعالیت ها را تسهیل نموده اند. آن ها گمنام باقی می مانند. ما همچنان شاهد جرایم سنتی مالی هستیم اما جرایم مبتنی بر رایانه هنوز در مرحله شکوفایی هستند. در حال حاضر، جرایم مالی ارتباط تنگاتنگی با جرایم سایبری پیدا کرده اند و تهدید واقعی دراین شرایط ظاهر می شود.

هنگامی که ماهیت جرایم مالی تغییر می کند، رویکرد حداقل سازی فرصت های عمل مجرمانه نیز تغییر می کند. به طور خاص، اکنون بسیاری از جرایم از طریق سیستم های رایانه ای انجام می شوند. جرم شناسی رایانه ای امکان بررسی شواهد دیجیتالی را فراهم می سازد. در غیر اینصورت، قضاوت خوبی راجع به جرایم دیجیتال در دادگاه ها انجام نمی گیرد. بزرگترین و جدی ترین چالش پیش روی ما، گردآوری و دریافت داده های الکترونیکی و تحلیل آن ها برای بازسازی  و تشخیص تقلبات مالی است.

اینکه مهارت های عینی جرم شناسی رایانه ای دارای رابطه نزدیکی با فناوری اطلاعات و ارتباطات باشند، جرم شناسی رایانه ای را به بخش کوچکی از راه حل مقابله با جرم تبدیل می کند. جرم شناسی و فناوری به تنهایی برای رفع مشکلات کافی نیستند. متخصصان جرم شناسی رایانه ای، به ذهنیت تیمی ایمان دارند و روی دانش تخصصی تمرکز می نمایند. یک نمونه از این اقدامات، بررسی جرایم مالی است. از آن ها تحت عنوان حسابدار یا حسابرس جرم شناسی نیز یاد می شود. این افراد بشدت ماهر نه تنها در زمینه جرم شناسی رایانه ای تخصص دارند ، بلکه تکنیک های وقوع تقلب و جرایم مالی را نیز بررسی می کنند. این روند در سایر حوزه های تخصصی نیز به چشم می آید و نتیجتاً با تیم هایی روبرو هستیم که از تمامی مهارت های لازم و به اندازه کافی برخوردار هستند. پرونده اخیر اختلاس انرژی گریفیث، نشان دهنده کارایی این مدل است [15]. تحلیل های جرم شناسی زیادی روی طیف وسیعی از داده های الکترونیکی از افراد دخیل انجام شده اند. برای مثال جستجوی اطلاعات دیجیتالی بدست آمده از کلیدواژه ها به زبان های مختلف ، هر زمانی که مورد مناسبی شناسایی بشود متخصصان دلالت های مربوطه را کاملاً بررسی کرده و نظریه پردازی را انجام داده تا شواهد تکمیلی بدست بیاورند. در نهایت تیم بررسی کننده موفق به شناسایی تخلفات مختلف شده است. مجموعه مهارت های ترکیب شده با یکدیگر ، به تنهایی توسط هر فردی قابل دستیابی نیستند.

بدلیل ماهیت و اهداف موجود در جرم شناسی رایانه ای، مجرمان فعالیت های مجرمانه را از اقصی نقاط جهان انجام می دهند.این جرایم به منزله نبرد بدون مرز هستند و در حوزه های قضایی مختلف جریان دارند. علاوه بر چالش های فنی پیگیری جرایم سایبری ، شرایط قانونی بدلیل حضور چندحوزه بشدت پیچیده می شود. یک حوزه قانونی، حق فعالیت در حوزه دیگر را ندارد. بدین ترتیب به همکاری های بین المللی برای انجام بررسی ها و محکوم سازی مجرمان نیاز است.

پلیس بین الملل ، برنامه های جرایم سایبری را تنظیم کرده است تا خود را با تهدیدهای نوظهور هماهنگ بکند. هدف هماهنگ سازی و کمک به فعالیت های بین المللی برای مقابله با جرایم ناشی از رایانه هاست. هرچند تلاش های بین المللی زیادی برای مقابله با جرایم و تروریسم سایبری انجام شده اند، اما دستیابی به روش های موثر، تعاملی و مشارکتی برای مقابله با شرایط پیچیده در چند حوزه قضایی، بشدت دشوار است.

همانند صحنه واقعی جرم، جرم شناسی رایانه ای توسط متخصصان این حوزه مورد پشتیبانی قرار می گیرد. برای حفظ صحنه، متخصصان جرم شناسی دیجیتال باید تضمین کرده که فایل های لوگ سیستم، داده های سیستم عامل، و غیره به خوبی دریافت و ذخیره می شوند. متخصصان جرم شناسی رایانه ای باید در جایگاهی باشند که به انجام فعالیت های قانونی کمک بکنند. باید تضمین بشود که شواهد مورد پشتیبانی هستند و نتایج قانونی منصفانه ای بدست می آیند. برای غلبه با مشکلات دستیابی به این هدف و بدلیل تغییرات دائمی ، و استانداردسازی سریع در حوزه های مختلف از جمله گردآوری شواهد،باید این عمل را همواره به انجام رساند. بسیار مهم است که متخصصان جرم شناسی رایانه ای دستورالعمل ها و اصول فعلی را دنبال بکنند زیرا مطابق توضیحات قبلی ، کار تیمی بسیار عالی منجر به موفقیت جرم شناسی دیجیتالی می شود. دنبال کردن استانداردها توسط کار تیمی ، ادامه کار را نسبت به حالت فردی تسهیل می کند.

جرم شناسی رایانه ای دارای چشم انداز قابل ملاحظه ای برای حل جرایم و بهبود امنیت جامعه است. رایانه ها و دستگاه های دیجیتال، نقش پُررنگ تری در جرایم ایفا می کنند.

1. 2. : جرم شناسی رایانه ای چیست و چرا مهم است؟

دستگاه های دیجیتالی همچون گوشی تلفن، PDA ها، لپ تاب ها، رایانه های رومیزی و سایر دستگاه های ذخیره سازی ، بر بسیاری از جنبه های زندگی امروزی سایه افکنده اند. آن ها حاوی اطلاعاتی بیشتر از تصور افراد هستند. دیجیتالی شدن اطلاعات و سهولت ذخیره سازی ، بازیابی و توزیع ، به طرق مختلفی زندگی را متحول ساخته است همچنین رسانه های چاپی به صورت مکرر نزول نموده اند. برای مثال صنعت چاپ بدلیل گرایش به جهان آنلاین، در احیای خود دچار مشکل شد. امروزه موسسات مالی، بیمارستان ها، سازمان های دولتی ، کسب و کارها، اخبار و حتی سازمان های جنایی بدون دسترسی به انبوه اطلاعات و دستگاه های دیجیتالی که تضمین شده هستند، قادر به فعالیت نیستند. متاسفانه به این دلیل، عصر دیجیتال منجر به ظهور جرایم دیجیتالی شده است. مجرمان از دستگاه ها برای انجام عمل مجرمانه ، کلاهبرداری ، هک، سرقت هویت، اختلاس، پورنوگرافی کودک، سرقت اسرار تجاری و غیره استفاده می کنند. به طور فزاینده ای دستگاه های دیجیتالی همچون رایانه ها، گوشی های تلفن، دوربین ها و غیره در صحنه جرم یافت می شوند. لذا نیاز است که بازرسان دستگاه های دیجیتالی را بررسی کرده تا شواهدی همچون ایمیل، عکس، ویدئو، پیام های متنی، فایل های گزارش مبادلات و غیره را بدست بیاورند. آن ها در بازسازی صحنه جرم و شناسایی مهاجم مفید واقع می شوند. یکی از جالب ترین دادگاه های جنایی دهه گذشته به پرونده عظیم شرکت انرون برمی گردد. به لطف شواهد دیجیتال و بالغ بر 200 هزار ایمیل و سند اداری بدست آمده از رایانه های دفاتر شرکت، پیگیری موفقیت آمیز بوده است. جرم شناسی رایانه ای بخش مهمی از پیگیری های قانونی است و برای بخش خصوصی نیز مفید است. برای مثال طرح های جبران سوانح برای شرکت های تجاری بشدت بر اساس داده های دیجیتالی و استراتژی های حفاظت قانونی است و این اطلاعات منجر به لغو همکاری با یک کارمند می شوند [16].

جرم شناسی رایانه ای با تقلید یا بررسی نحوه اجرای حملات ، امنیت را ارتقا می دهد. این روش بشدت برای حل جرایم مبتنی بر وقایع مفید است. معمولاً شرکت های بزرگ، مشاوران جرم شناسی رایانه ای را استخدام کرده تا امنیت سیستم های اطلاعاتی شان را تست بکنند. متخصصان این شرکت ها تلاش می کنند تا موانع دفاعی را پشت سر بگذارند. این عمل تست نفوذ نامیده می شود. متخصصان نقش هکرهای کلاه سفید را بازی می کنند. بیشتر تمرکز این خدمات روی دلیل وقوع حملات قبلی قرار دارد. در گام اول، هدف تشخیص این حملات است. تحلیل بدافزار و جستجوی فایل های قابل کنترل، مثال های خوبی از کاربردهای جرم شناسی رایانه ای هستند.

جرم شناسی رایانه ای دقیقاً چیست؟ به زبان ساده، در این حالت دانش سنتی بازرسی در محیط دیجیتالی به اجرا گذاشته می شود. جرم شناسی رایانه ای بدنبال استخراج شواهد دیجیتال از سیستم های مشکوک به شیوه قانونی است و با استفاده از شواهد، فرضیات مربوط به جرم اثبات می شوند. در نهایت اثبات های لازم در اختیار دادگاه قرار می گیرند. جرم شناسی رایانه ای دارای دو بخش اساسی است. مورد اول جنبه فنی اجرای تحلیل جرم شناسی روی رسانه های دیجیتالی است. مورد دوم جنبه قانونی نگهداری از شواهد و اثبات توالی رخدادها را شامل می شود. مورد اول به اسم بررسی دیجیتالی نیز شناخته می شود. بررسی دیجیتالی از دستگاه دیجیتال موجود در صحنه جرم آغاز می شود. تفاوت بین بررسی دیجیتالی و جرم شناسی رایانه ای این است که جرم شناسی دیجیتال باید ملاحظات قانونی دریافت، حفظ و نگهداری از شواهد را رعایت بکند.

با پیشرفت فناوری، جرم شناسی رایانه ای نیز پیشرفت کرده است. دستگاه های محاسبه گر سیار همچون گوشی های هوشمند و تبلت ها ، به وفور در سال های اخیر استفاده شده اند. آن ها مکمل یکدیگر هستند و قابلیت های زیادی ایجاد می کنند. بدین ترتیب طیف وسیعی از اطلاعات دستکاری شده و در دستگاه های سیار ذخیره می شوند. بدین ترتیب هدف جدیدی پیش روی مهاجمان قرار می گیرد. لذا واژه جرم شناسی رایانه ای تمامی دستگاه های ذخیره دیجیتال همچون گوشی های هوشمند و تبلت ها، GPS، MP3 پلیر را شامل می شود و لفظ جرم شناسی دیجیتال برای آن بکار می رود (یا جرم شناسی سایبری)

برای انجام واقعی جرم شناسی رایانه ای، طیف وسیعی از اصول و تکنیک های استفاده از رایانه/ شبکه بکار می روند. آن ها امکان دنبال کردن و حمایت از پرونده را فراهم می سازند. برای مثال، تحلیل های آماری روی پرداخت الکترونیک در یک دانشگاه کانادایی نشان می دهند که الگوی مشکوکی وجود دارد. تعداد پرداخت های کارکنان پس از ساعت ها یا آخرهفته ها در مرکز کپی در حد بالایی است.بدین ترتیب دانشگاه نسبت به اجرای ممیزی روی سیستم پرداخت الکترونیکی اقدام نموده است.

در نهایت فرد متقلب دستگیر می شود [17]. از نظر فنی (حذف جنبه فنی) ، می توان از جرم شناسی رایانه ای تحت عنوان جرم شناسی محاسباتی نیز یاد نمود.

جرم شناسی رایانه ای بدلایل مختلف مهم است زیرا امکان بازیابی داده، سیستم ، تحلیل مشکل ، تحلیل حافظه متغیر و سایر دستگاه های ارزشمند را فراهم ساخته و در عین حال بر اساس یک چهارچوب از مشروعیت شواهد دیجیتال پشتیبانی می کند (که برای استفاده در دادگاه ضروری است). فرض شود اطلاعات در پایگاه داده شرکت وجود ندارند و مدیر بدنبال حل مشکل است. پس از بررسی سیستم، وی متوجه باگی در پچ شده که محدودیت کلیدهای خارجی را تغییر می دهد (برای مرتبط سازی جداول در پایگاه داده کاربرد دارد). برخی جداول به صورت خودکار حذف شده اند.روش های مختلفی برای حل مشکل وجود دارند. اگر پشتیبان قبل از پچینگ وجود داشته باشد ، می توان به آن حالت بازگشت کرد یا با تحلیل حافظه یا درایو ، وجود اطلاعات فیزیکی و امکان بازیابی بررسی می شود.

لازم بذکر نیست که جرم شناسی نقش پررنگ و شناخته شده ای در دادگاه دارد و با شواهد دیجیتالی از جمله پورنوگرافی کودک روبرو می باشد. چنین شواهدی در سال های اخیر بشدت افزایش یافته اند. CART در FBI بیش از 2000 پرونده را در سال 1999 بررسی نموده است که حجم داده هایشان 17 ترابایت است اما در 4 سال دادگاه، این رقم از 6500 پرونده و 782 بایت داده فراتر می رود (مطابق شکل 1.2).

سازمان ها و شرکت ها به صورت مکرر از شواهد دیجیتال در اختیار خود استفاده می کنند. علاوه بر این، وقوع تخلف در صنایع مالی و بیمه رو به افزایش است و سالیانه میلیاردها دلار ضرر تحمیل می شود. این مساله به یکی از پیچیده ترین و چالش برانگیزترین مسائل صنعتی در عصر مدرن تبدیل شده است.

در نهایت، تکنیک های تحلیل جرم شناسی برای تحلیل رایانه های تحت نفوذ نیز بکار می روند.برای مثال تکنیک های حمله مهاجم از جمله چگونگی دسترسی و اقدامات مربوطه بررسی می شوند. تحلیل بدافزار و واکنش به رخداد مثال هایی از این دست هستند. نیاز به تکرار نیست که این اطلاعات بشدت ارزشمند می باشند.

1. 3. : شواهد دیجیتال

هر زمانی که جرمی رخ می دهد، بررسی جنایی در دست اجرا قرار می گیرد. سوای بررسی ، هر عمل جرم شناسانه به معنی کشف واقعیت های مفید برای انجام بررسی هاست. تحلیل گران نه تنها دنبال کشف مجری جرم هستند بلکه در صورت ایجاد سناریوهای جدید فرصت کشف روش ها و ایده های ضد جرم پدید می آید. یک بخش مهم بررسی ، ایمن سازی صحنه جرم است. سپس دستگیری و محکوم شدن مجرمان صورت می گیرد. برای تکمیل بررسی به شواهد دیجیتالی نیاز داریم. ایمن سازی صحنه جرم منجر به گردآوری شواهد می شود. برخی شواهد ناپایدار و تخریب پذیر هستند. بقیه براحتی تغییر می کنند. آن ها مانع از ادامه بررسی ها می شوند.

مظنونین بیگناه هستند جز اینکه مقصر بودن شان ثابت بشود. تمامی شواهد گردآوری شده ارزشمند هستند تا زمانی که اعتبار و کاربرد دادگاهی شان مشخص بشود.شواهد دادگاهی صرفاً اشاره به شواهدی با ارزش دادگاهی دارند. سایر شواهد که غیرمرتبط باشند کنار گذاشته می شوند. انواع مختلفی از شواهد وجود دارند و در گذشته بررسی های جرم شناسانه به جنبه های فیزیکی، شواهد مشهود همچون dna، لکه خون، ردپا و اثرانگشت ، آسیب به اموال و البته سلام قاتل پرداخته اند. در سال های اخیر، جرایم رایانه ای افزایش چشمگیری یافته اند. دستگاه های دیجیتال از جمله رایانه ها و موبایل ها ، به عنوان ابزار ارتکاب یا حضور در جرم کاربرد دارند. بدین ترتیب بازرسان به نوع جدیدی از شواهد جرم شناسی ، یعنی شواهد دیجیتالی پرداخته تا با جرم مقابله بکنند.

هرگونه اطلاعات ذخیره یا منتقل شده در فرمت ماشینی ، باید اعتبار و تمامیت لازم را داشته باشد تا در دادگاه بکار برود و به اسم شواهد دیجیتال از آن یاد می شود [18]. این شواهد ممکن است یک سند 1000 صفحه ای باشد، یا ویدئوی 24 ساعته یا تک بیتی که به هر دلیلی مهم است. مثال هایی از این دست عبارتند از پورنوگرافی کودکان، ایمیل ها، فایل های متنی، فراداده فایل و سایر داده ها در فرمت های مختلف. شواهد دیجیتال روی هر بستری از جمله دیسک های سخت، گوشی های هوشمند، cd، تبلت، کارت دوربین دیجیتال، دستگاه های gps و غیره یافت می شوند (شکل 1-3) [19].

همچنین در حین گردآوری شواهد دیجیتال،بدلیل اینکه صحنه دیجیتالی است باید احتیاط  کرد که همه اطلاعات جمع آوری بشوند. برای مثال، در حال حاضر روند فشن برای دستگاه های الکترونیکی (درایوهای فلش) ظاهر نامرتبی دارد. بسیاری از دستگاه های الکترونیکی با ظاهری متفاوت از وسایل سنتی ساخته می شوند و به وسایل مصرفی زیبا تبدیل شده اند. مثال هایی از این درایوهای usb در شکل 1-4 به نمایش درآمده اند. لذا بازرس باید با دقت صحنه جرم را بررسی بکند و مطمئن بشود که دستگاه های غیرمتعارف بررسی می شوند.

 

 

نکته مهم دیگر اینکه تمامی شواهد جرم دیجیتال، دیجیتالی نیستند. برای مثال، عرف است که افراد رمزعبورهای خود را در جایی نوشته و در مکانی مناسب نگهداری می کنند. شکل 1-5 نشان دهنده فردیست که رمز عبور را روی کاغذ چسبان نوشته و روی مانیتور می چسباند. کشف رمزعبورهای نوشته شده ساده تر از حدس رمزعبور کشف نشده است. در صورت یافتن این مورد، به عنوان مکمل شواهد دیجیتال محسوب می شود.

 

امروزه شواهد دیجیتال برای حل انبوهی از جرایم از جمله تهدیدهای آنلاین، افراد گم شده،تقلب مالی، سرقت، مواد مخدر، پورنوگرافی کودک، خودکشی/ آدم کشی و غیره کاربرد دارند. برای مثال در سال 2005 قاتل سریال بدنام btk با استفاده از فایل روی فلاپی شناسایی شد [21] . وی از 1974 تحت تعقیب بود و حداقل 10 نفر را کشته بود. سایر شواهد دیجیتالی از جمله ایمیل یا شماره تلفن مظنونین نیز برای حل مشکل وصحنه جرم کاربرد دارند زیرا اطلاعات مهمی را مخفی می کنند.

شواهد دیجیتال، دسته دیگری از شواهد هستند و مانند چاقوی خونی یا اسلحه شلیک شده می مانند. برای صدور حکم به شواهد نیاز است و هرگز با شواهد خوب روبرو نیستیم. این یعنی شواهد دیجیتال به اندازه شواهد فیزیکی ارزشمند هستند. گاهی اوقات ارزش آن ها از شواهد فیزیکی بیشتر است و مستقیماً قابل تشخیص می باشند.

همانند سایر انواع شواهد، دو موضوع مهم راجع به شواهد دیجیتال به چشم می خورند. برای حضور در دادگاه، باید هر دو مورد را مورد پذیرش قرار داد. دلیل اول اینکه شواهد دیجیتال هنوز یک نوع شواهد هستند و باید با صدور حکم قانونی به آن ها رسیدگی کرد. در اینجا مدیریت دستگاه های دیجیتال با سردرگمی بزرگی روبرو می شود. بررسی های دیجیتال (نه لزوماً جرم شناسی) برای ایجاد فرضیه راجع به پرونده و مظنون بکار می روند. در یکی از جدیدترین موارد، گوشی بدون رمزعبور بدون حکم پلیس جستجو شده است و این موجب نارضایتی عمومی می شود. جالب ترین مساله این است که آیا تلفن بدلیل غیرقانونی استفاده شدن،هنوز شواهد محسوب می شود؟ [22].

شواهد دیجیتال باید محدودیت های قانونی مشابه شواهد فیزیکی را رعایت کرده تا در دادگاه بدون سخت گیری زیاد استفاده بشوند [23-24]. در کشور آمریکا، اعتبار شواهد دیجیتال مطابق قانون فدرال تعیین می شود. در انگلیس، قانون پلیس و شواهد جنایی و شواهد مدنی نقشی ایفا می کنند. بسیاری از سایر کشورها نیز قوانین خاص خود را دارند. معمولاً قوانین شواهد دیجیتال روی دو مساله تاکید دارند : تمامیت و اعتبار. شواهد دیجیتال اگر در حین گردآوری و تحلیل دستکاری نشده باشند، شرط تمامیت را برآورده می کنند. توانایی تایید شواهد، بیانگر اعتبار آن هاست [25].اعتبار یعنی دقیق و قابل اطمینان بودن منابع داده. اعتبار در این فصل مورد اشاره قرار نمی گیرد.مستندسازی زنجیره دستیابی از صحنه جرم تا دادگاه، امر مهمی برای تعیین اعتبار شواهد می باشد [23].این موضوع برای شواهد دیجیتال مهم و چالش برانگیز است زیرا آن ها منحصر به فرد هستند و به تمامیت بیشتری در مقایسه با شواهد سنتی نیاز دارند. تخریب چاقوی خونی به مراتب سخت تر از فراداده یا فایل مهم است.

بدلیل اینکه شواهد دیجیتال از نظر اجرایی قابل دستکاری هستند، به اعتقاد برگزارکنندگان دادگاه، اعتبار شواهد دیجیتال ذاتاً کمتر از سایر شواهد است. لذا زنجیره پیگیری حفظ شده تا شواهد مراحل مختلف را پشت سربگذارند. برای مثال تابع رمزنگاری هش به وفور برای تضمین تمامیت شواهد دیجیتال بکار می رود. باید در طول بررسی، صحنه جرم را حفظ کرد. یک تکنیک رایج برای حفاظت از سیستم رایانه ای ، ساخت کپی هایی از دستگاه های ذخیره سازی دیجیتالی همچون دیسک سخت، فلش درایو usb است.معمولاً این کپی ها معادل با تصاویر جرم شناسی هستند و مازاد بر شواهد اصلی تعریف می شوند. برای تحلیل های عمیق به آزمایشگاه منتقل می شوند. محاسبه مقادیر هش تصاویر مهم است تا از تصاویر عادی تمایز داده بشوند. ایده اصلی زنجیره شواهد ، ارائه شواهد معتبر و منطقی به دادگاه ها است. نگهداری محتاطانه مانع از خرابکاری یا دستکاری می شود. این کار با مستندسازی کنترل شواهد همراه می شود و کل دوره نگهداری را شامل می شود. حفاظت فیزیکی مناسب از شواهد نیز ضروریست. در این حالت، دستکاری در شواهد دشوارتر خواهد بود. ریسک بهره برداری غلط بشدت کاهش می یابد.

در آمریکا چنین تصمیم گیری شده که اصل بیگناه تا اثبات تقصیر، باید برای شواهد نیز اعمال بشود.به عبارتی دیگر، چنین فرض می شود که اطلاعات قابل اعتماد هستند جز هنگامی که به فرضیات شک بشود. در پرونده آمریکا- بونالو، دادگاه این حکم را صادر کرد که می توان ماهیت داده های رایانه ای را تغییر داد زیرا آن هاغیرقابل اطمینان تلقی می شوند [23-26].در انگلیس، ACPO و سایر سازمان ها دستورالعمل هایی را برای استانداردسازی فرایند بررسی و مدیریت شواهد تدوین نموده اند. شاخه های جزئی جرم شناسی دیجیتال هم دستورالعمل های خاص خود را برای مستندسازی اعتبار شواهد ثبت نموده اند. برای مثال، جرم شناسی موبایل مستلزم این است که موبایل ها داخل محفظه فارادی قرار بگیرند. بدین ترتیب از ارسال/ دریافت داده جلوگیری می شود [23].

بازرسان دیجیتال به صورت قانونی قدرت نتیجه گیری راجع به شواهد و دانش تخصصی را دارا می باشند [23]. آن ها هرگونه برداشت ذهنی، جهت گیری و دیدگاه را نادیده می گیرند. برای مثال، قانون فدرال شواهد آمریکا بیان می کند که یک متخصص باید راجع به اظهارنظر و سایر موارد در شرایط زیر گواهی بدهد [27]:

• شواهد بر اساس واقعیت ها و داده های کافی گردآوری شده باشند
• شواهد بر اساس اصول و روش های معتبر و مطمئن بدست آمده باشند
• شاهد روش ها و اصول را به شیوه صحیح نسبت به واقعیت ها اعمال کرده باشد

حملات خرابکارانه شدیداً افزایش یافته اند. بسیاری افراد قربانی جرایم آنلاین در آینده می شوند. شواهد دیجیتال نقش بزرگتری در حل و فصل جرم و دادگاهی کردن مجرم ایفا می کنند.

1. 4. : تکنیک ها و روش های جرم شناسی رایانه ای

بررسی های جرم شناسی رایانه ای طی چند مرحله صورت می گیرند. با انجام این کار، فرضیه های مربوط به جرم تست می شوند. فرض کنید فردی متهم به دستیابی به پورنوگرافی کودک روی اینترنت است. برای اثبات ادعا، درایو USB حاوی داده ها در منزل وی پیدا می شود. باید دستگاه را از لحاظ فیزیکی در موقعیت خوبی قرار داد. حفاظت از طریق تصویربرداری دیسک صورت می گیرد و کپی از کل دیسک ساخته شده و در رایانه تحلیل گر ذخیره می شود (این کپی صرفاً تصویر مجرمانه یا تصویر نامیده می شود و نمی توان آن را با تصویر دیجیتال bmp یا jpg اشتباه گرفت). سپس دستگاه به آزمایشگاه ارسال شده تا تحت بررسی های بیشتر قرار بگیرد. هیچ یک از تصاویر مجرمانه روی دیسک با دسترسی رایج قرار نمی گیرند ، بلکه این عمل و بررسی های مربوطه به تحلیل گر موکول می شود. در نهایت فایل های حذف یا بازیافت شده بدست می آیند. تصویر درایو usb در دادگاه به عنوان شواهد مورد استفاده قرار می گیرد.

برخی مدل های روش شناسانه در حوزه جرم شناسی دیجیتال توسعه داده شده اند. بسیاری از این مطالعات در [28] خلاصه شده اند. سه مدل مهم را در اینجا توصیف می کنیم :

• مدل KRUSE یا HEISER  [29] : مدل 3 A نامیده می شود زیرا سه مرحله ی آن با حرف A آغاز می شوند (مطابق شکل 1-6).
• مدل دانشگاه یل [30] : این مدل توسط کیسی که ناظر امنیتی سیستم های IT دانشگاه یل بوده توسعه داده شده است. این مدل بشدت شبیه فرایند استاندارد پاسخ به سانحه است.شش مرحله آن عبارتند از ملاحظات اولیه، برنامه ریزی، تشخیص، حفظ داده، گردآوری و مستندسازی، طبقه بندی، مقایسه و تفکیک، و بازسازی (شکل 1-7).
• مدل رودنی مک کمیش [31] : این مدل توسط افسر پلیس استرالیا پیشنهاد شده است. این مدل شامل 4 مرحله است که مورد بررسی قرار می گیرند  (شکل 1-8).

 

با توجه به مدل های فوق الذکر، با یک سری واقعیت های جالب و آشکار روبرو می شویم :

• شباهت هایی بین آن ها وجود دارد هرچند آن ها از دولت های مختلف در نقاط مختلف جهان یا دانشگاه ها ناشی می شوند.
• هر مدل روی مرحله خاصی تمرکز می کند
• هرچند یک سری شباهت ها و تفاوت ها وجود دارند، اما هدف اصلی همچنان استخراج شواهد دیجیتالی است که می توان آن ها را در دادگاه معرفی نمود. با اشاره به دادگاه، دادگاه فقط پس از نقض قانون نسبت به پذیرش شواهد اقدام می کند. شکل زیر نشان دهنده سه تغییر اساسی از پلیس به سازمان قانونی و دادگاه برای تصمیم گیری است.

 

 

 

بر اساس چیزی که مشاهده شده است، مدل جدیدی را معرفی می کنیم که تمرکز اصلی آن روی فرایندهای مهم و اصلی  قرار گرفته است (مدل های روش شناسانه). در ادامه کار، جزئیات و اقدامات هر مرحله را شرح می دهیم.

مهم ترین و اصلی ترین مولفه های هر مدل از صحنه شروع جرم ، تا رسیدن به آزمایشگاه و ارائه پرونده در دادگاه ادامه می یابند.

 

 

با توجه به توضیحات فوق، می توان سه مرحله اساسی را بازسازی کرد و لذا هر مرحله در کنار سایر مراحل تکمیل می شود تا بتوان هر مرحله را به صورت مستقل توضیح داد. لذا یک بررسی جرم شناسی رایانه ای رایج ، معمولاً شامل سه مرحله مطابق شکل 1-9 است.

1. 1. 1. : مرحله آماده سازی

قبل از اینکه بازرس به صحنه جرم برود، باید برای این نوع جرم آمادگی داشته باشد. متخصصان این عمل را به اجرا می گذارند. ابزارهای مناسبی برای پیگیری جرم مورد نیاز هستند زیرا انواع مختلفی از صحنه های جرم وجود دارند و ابزارها و روش های مناسبی بکار می روند. همچنین بازرس باید ملاحظات قانونی را برای ورود به صحنه جرم ، و اهداف مربوطه در اختیار داشته باشد.

1. 1. 2. : در داخل صحنه جرم

مراحل اول و دوم این قسمت که شامل گردآوری و حفظ شواهد هستند ، به صورت سخت گیرانه طبق دستورالعمل ها به اجرا گذاشته می شوند. اقدامات متنوعی برای حفظ صحنه جرم وجود دارند که تخریب بالقوه شواهد را محدود می کنند (حذف عملاً غیرممکن است). مرحله حفاظت از سیستم دیجیتال ، با گردآوری شواهد دستگاه های دیجیتال آغاز می شود. مرحله حفظ سیستم دیجیتال با گردآوری شواهد از دستگاه های دیجیتال همراه است. متدولوژی استاندارد گردآوری شواهد ضمن حفظ صحت آن ها،تصویری را برای حفاظت از اطلاعات مهم برای دادگاه ایجاد می کند.خطا روی کپی بدلیل ذاتش امکان پذیر است. بسیاری از توصیه ها در این زمینه، به مستندسازی تغییرات روی فایل های کپی اختصاص دارند.اگر آسیب غیرقابل بازگشت خیلی زیاد باشد، کپی دیگری ایجاد شده و مراحل مستندسازی مجدداً انجام می شوند (با اصلاحات لازم برای جلوگیری از تکرار).حفظ شواهد دیجیتال یک امر اساسی برای شناسایی مظنون است خصوصاً بخاطر ریسک دستکاری و جعل شواهد توسط مهاجم (شکل 1-10).

جا دارد به این نکته اشاره کنیم که برای برخی شواهد الکترونیکی خاص، رویه های اولیه ای برای مصادره دستگاه تعریف شده اند. در ابتدا برای گوشی های هوشمند و موبایل ها، اقدامات اولیه زیر روی صحنه جرم انجام می شوند :

 

 

 

1-اگر دستگاه خاموش باشد، به هر دلیلی نباید روشن بشود.

2-اگر دستگاه روشن است نباید خاموش بشود. باید با احتیاط وضعیت باتری را بررسی کرد تا مطمئن شد قبل از ورود به آزمایشگاه خاموش نمی شود. احتیاط های زیر ضروری هستند :

• ایزوله کردن دستگاه از شبکه با قراردادن در حالت پرواز یا عایق کردن با محفظه فارادی
• ثبت اطلاعات روی صفحه یا عکس برداری از آن در صورت امکان
• یافتن شماره سریال دستگاه و وارد کردن کد زیر در گوشی نوکیا * # 06 #  . با جداکردن محفظه باتری شماره سریال گوشی مشخص می شود
• جداکردن وسایل برقی از برق
• خارج کردن سیم کارت گوشی به هر دلیلی منجر به حذف سابقه تماس می شود (دریافتی، خروجی، از دست رفته)
• افتادن روی زمین یا قرارگرفتن در معرض میدان مغناطیسی یا دمای بالا ، روی داده های ذخیره شده اثرگذار می باشد
• در صورت دریافت تماس در زمان مصادره، بلافاصله آن را از شبکه ایزوله کنید و به ماهیت اطلاعات (تماس گیرنده و علت) توجه بکنید. ممکن است بسیاری از اطلاعات مهم بلافاصله پس از سانحه از بین بروند
• دستگاه های سیار باید به آزمایشگاه شواهد دیجیتال ارسال بشوند و اتصالات الکتریکی در صورت امکان برقرار باشند
• در صورت وجود کد امنیتی یا بین روی گوشی ، باید از قربانی یا مظنون درخواست کرد تا در زمان و فعالیت های بازرسی صرفه جویی بکند.

ثانیاً، برای دستگاه های ذخیره ساز، یک سری روش های اولیه در صحنه جرم به اجرا گذاشته می شوند :

اگر دستگاه ذخیره ساز به رایانه یا گوشی هوشمند متصل شده باشد :

• ما با توجه به وضعیت کمی منتظر می مانیم تا عملیات کپی به پایان برسد. تنها استثنا عمل بک آپ گیری است که در حالت عملیات و سنکرون سازی قرار می گیرد. بدین ترتیب با انبوهی از داده ها روبرو هستیم که نمی توان انتظار آن ها را کشید.

اگر به هیچ دستگاهی وصل نشده باشد :

• انجام برچسب گذاری و نوشتن مکان شناسایی
• قراردادن در جعبه های مخصوصی و ارسال به آزمایشگاه شواهد دیجیتال

اگر ابزار ذخیره سازی خارجی باشد ، باید شماره سریال را مورد ثبت و عکس برداری قرار داد. اگر کابل داده ای وجود دارد باید آن را وصل نمود.

1. 1. 3. : مرحله مراجعه در آزمایشگاه شواهد دیجیتال

مرحله سوم است و شامل 4 مرحله جزئی می باشد (بررسی، تحلیل، بازسازی و ارائه). بازرسی شواهد مفید در داده های گردآوری شده در مرحله نخست را جستجو می کند. هرگونه اطلاعات مربوط به پرونده از جمله ایمیل ها، عکس ها، ویدئو، پیام متنی ، گزارشات لوگ و غیره در این مرحله بررسی و از کُل داده ها استخراج می شوند.

در بسیاری موارد، امکان مخفی سازی یا حذف شواهد دیجیتال وجود دارد. روند واقعی کشف این اطلاعات ، در بررسی های مختلف متفاوت می باشد. دلیل اصلی تفاوت در دستگاه های بکار رفته برای بازیابی و تکنیک های مخفی سازی توسط مجرم است. استراتژی های رایج عبارتند از :

• جستجوی کلیدواژه ها : هم در داخل فایل ها و فضای خالی/ مصرف نشده انجام می شود. فایل های مخفی اکثراً در این مکان ها قرار می گیرند.
• شناسایی فایل های لیست سیاه بر اساس امضای فایل (مقدار هش)
• بازیابی فایل های حذف شده
• استخراج اطلاعات رجیستری : برای مثال لیست های TYPEURL فهرستی از تمامی URL های بازدید و تایپ شده توسط کاربر را دارا می باشد.
• تجزیه و تحلیل فایل های لوگ

 هنگامی که جرمی رخ می دهد، بازرسان فرضیه های اولیه زیادی را راجع به شرایط بوقوع پیوسته و عوامل مسئول مطرح می کنند. در مرحله نخست شواهد گردآوری می شوند. مرحله اول به دفعات تکرار می شود. در مرحله سوم، صحنه جرم بازسازی می شود. مرحله بازسازی شامل بازسازی رخدادها و اقدامات صورت گرفته است و مطابق شواهد انجام می شود. هنگامی که تحلیل گران به شواهد بیشتری دست می یابند ، فرضیه های غلط انکار می شوند . یک فرضیه منطقی ادامه می یابد و نهایتاً اثبات می شود.

در نهایت مرحله آخر به اسم مرحله ارائه / نمایش انجام می شود. در این مرحله گزارشات برای انتقال نتایج به مخاطبان مناسب، تهیه و تنظیم می شوند. هنگامی که از تحلیل گر درخواست بشود که شهادتی را ثبت بکند ، دادگاه و هیئت منصفه راجع به اعتبار شواهد قانع می شوند. این افراد خود تخصص در استفاده از رایانه ندارند تا نتایج شواهد را مستقیماً درک بکنند. لذا زبان تهیه این گزارش و شیوه تحریر آن، نقش خیلی مهمی در اثربخشی پیگیری پرونده دارد.

بازرسان دیجیتال معمولاً از تکنیک های مختلفی برای حل جرایم و کشف اطلاعات استفاده می کنند.مهم ترین موارد در ادامه توصیف می شوند.

• گردآوری داده ها : تصاویر دیسک سخت با برنامه یونیکسی به اسم DD تهیه می شوند. این برنامه دسترسی مستقیمی به درایو دارد و بخش های مدنظر را کپی می کند.با انجام این کار، اطلاعات موجود راجع به سیستم حداکثر می شوند. فراداده های فایل سیستم و مکان های خالی دیسک حاوی اطلاعاتی هستند که بوسیله ابزارهای سنتی قابل کپی برداری نیستند.
• تحلیل حجم دیسک : معمولاً دیسک های سخت به چندین واحد منطقی ذخیره سازی تقسیم می شوند. از آن ها تحت عنوان پارتیشن نیز یاد می شود. مثال هایی از تکنیک های پرکاربرد عبارتند از بررسی پیوستگی و تشخیص هرگونه حالت مشکوک برای دیسک . بخش های غیرپارتیشن بندی شده از نظر داده های مخفی و پارتیشن های حذف شده بررسی می شوند.
• بازیابی داده : فایل ها در ابتدا بوسیله یک شناسه ذخیره می شوند. بدین ترتیب به سیستم عامل هشدار داده می شود که در ادامه با یک فایل پیوسته و واحد روبرو می شویم. هنگامی که فایلی حذف می شود، شناسه حذف می شود لذا سیستم عامل فضا را خالی قلمداد می کند (به همین دلیل نصب برنامه بیشتر از حذف طول می کشد).البته امکان استخراج دستی داده از درایو و بازسازی فایل همچنان وجود دارد.
• جستجوی کلید واژه : محدوده های حافظه بر اساس رشته جستجو، مستقیماً جستجو می شوند. این روش مستقیماً محتوای آدرس های حافظه را بررسی می کند. هرگونه حفاظت نرم افزاری اعمال شده توسط مهاجم کنار زده می شود.
• تشخیص داده های مخفی : داده های مخفی بالقوه تشخیص داده می شوند. برای مثال داده های رمزی مبتنی بر رمزنگاری ، محتوای فایل های مخفی ، فایل های موقت یا جایگزین مورد استفاده برنامه های کاربردی یا سیستم عامل شناسایی می شوند.
• استخراج اطلاعات رجیستری ویندوز : این اطلاعات به موضوعاتی همچون حساب های کاربری کلیدهای محصولات نرم افزاری ،تاریخچه مراجعه به وب، دستگاه های USB متصل ربط دارند. اکتشاف داده ها ، روشی مطلوب برای دستیابی به شواهد است.
• کرک کردن : گاهی اوقات فایل های مهم دارای رمزعبور یا رمزگذاری هستند. بازرسان معمولاً از این رمزعبورها  و کلیدها برای بازگشایی فایل ها محروم هستند. در این حالت، باید به امنیت سیستم نفوذ کرد که خود موضوع دیگریست
• تحلیل فایل های لوگ : از نظر فنی، امکان خواندن دستی فایل های لوگ وجود دارد ، اما استفاده از ابزارهای تحلیلی برای خواندن فایل های لوگ به صورت موثرتر، ذهنی امر مطلوبی است. این فایل ها سریعاً غیرقابل کنترل و بسیار بزرگ می شوند. گاهی اوقات اطلاعات ساده ای همچون لوگین، برای محکوم کردن خلافکار کافی هستند لذا نمی توان این اطلاعات را نادیده گرفت.
• تحلیل مسیر زمانی : با شناسایی الگوها در فعالیت سیستم همراه است و مشابه تحلیل فایل لوگ می باشد.
• مهندسی معکوس : در مهندسی معکوس (در سطح کاملاً عمیق)، عملی مشابه برنامه ها انجام می شود. با اعمال این داده ها، سعی می شود برنامه را مورد بازسازی یا اصلاح قرار داد. بدافزار با مهندسی معکوس ، یک امر رایج برای تشخیص طرز کار آن است. و آنگاه اقدامات دفاعی در برابر آن اعمال می شوند. این تحلیل برای تشخیص بدافزار بودن یک برنامه بکار می رود. اگر شواهد دیگری نیز وجود داشته باشند، کار دادگاه تسهیل می شود.
• مستندسازی تحلیل فراداده : فراداده یعنی اطلاعات مربوط به یک فایل و داده های آن. برای مثال آخرین مرحله بازگشایی فایل و حساب های کاربری ایجاد شده. با راست کلیک و انتخاب ویژگی ها از منو، اطلاعات زیادی راجع به فایل بدست می آیند. ابزارهای تخصصی نیز برای کسب اطلاعات بیشتر در دسترس هستند. اگر وضعیت فراداده مشخص بشود، بازیابی فایل تسهیل می شود (حتی بازیابی فایل بدون آن غیرممکن می شود). برای مثال در فایل های تصویر ، فراداده در فرمت EXIF یافت می شود [32-33].
• تحلیل جرم شناسی چندرسانه ای : بسادگی یعنی تحلیل جرم شناسی چندرسانه ای که در تضاد با فایل های عادی قرار می گیرد. چندرسانه ای شامل صوت، ویدئو، تصاویر و سایر فایل ها می باشد.
• ردگیری IP : برای تعیین مبدا تخلف روی فایل یا عمل بکار می رود. برای مثال منشا ایمیل های خلافکارانه تعیین می شود [34].
• تحلیل ترافیک شبکه : این تکنیک معمولاً در کنار ردگیری IP و بدلیل یکسانی استفاده می شود. تحلیل ترافیک شبکه برای تعیین حجم رخدادها نیز کاربرد دارد (برای مثال تعداد ایمیل های خلافکارانه ارسالی). تحلیل ترافیک شبکه ، یکی از عوامل اصلی در سیستم های تشخیص/ پیشگیری از نفوذ (IDS/IPS) است. فایل های لوگ این سیستم ها معمولاً حاوی شواهدی از فعالیت مجرمانه هستند.

مجدداً باید به این نکته مهم اشاره نمود که فهرست فوق هرگز کامل نیست و دائماً رو به گسترش است. با تکامل فناوری، روش های استفاده از آن ها برای وقوع جرم نیز گسترش می یابد. تکنیک های جرم شناسی رایانه ای نیز باید متحول بشوند. آن ها با تحولات منفی ایجاد شده مقابله می کنند.

1. 5. : انواع جرم شناسی رایانه ای

در بخش های قبل با یک نگاه کُلی نسبت به بررسی جرم شناسی رایانه ای اقدام نمودیم. این عمل به منزله دانش گردآوری شواهد از دستگاه های دیجیتال تلقی می شود. امروزه انبوهی از دستگاه های دیجیتال و رسانه ها وجود دارند که جرم شناسی را به شاخه های کوچکتری تقسیم می کنند. برای غلبه بر چالش های تحولات دائمی فناوری، جرم شناسی رایانه ای در طول سال ها رشد چشمگیری یافته است. بدین ترتیب حالت های جدیدی دائماً ظاهر می شوند.

بر اساس اهداف جرم شناسی یا دستگاه های دیجیتال بکار رفته در بررسی ها، خصوصاً از لحاظ فنی و سایر شواهد دیجیتال مدنظر بازرسان ، جرم شناسی به چند زیرشاخه تقسیم شده که مشهورترین ها به شرح زیر هستند :

• جرم شناسی فایل سیستم : داده ها روی تجهیزات فیزیکی همچون درایو سخت یا فلش نگهداری، از طریق فایل سیستم برچسب گذاری و مدیریت می شوند. فایل های سیستمی شناخته شده عبارتند از FAT، NTFS، EXTکه رایج ترین ها هستند. موارد دیگری نیز وجود دارند. مجرمان می توانند فایل سیستمی خود را بسازند تا شرایط پیچیده بشود. جرم شناسی فایل سیستمی معمولاً برای تعیین مکان قرار گیری فایل و شناسایی شواهد مفیدتر بکار می رود. وجود یک سیستم فایل اختصاصی و ناهنجاری در مکان داده ها ، اثبات کننده فعالیت های غیراخلاقی است. فعالیت های غیراخلاقی نمادی از فعالیت غیرقانونی هستند هرچند مستقیماً جریمه نمی شوند. بررسی های بیشتر در این وضعیت ضروری است.
• جرم شناسی حافظه (جرم شناسی RAM) :  علیرغم اینکه چنین اسمی به کار می رود ، اما این واژه اشاره به تکنیک استفاده از جرم شناسی روی هرگونه حافظه متغیر از جمله رم، کش، رجیسترها (با رجیستری اشتباه گرفته نشود) دارد. جرم شناسی حافظه در طول تحلیل زنده انجام می شود زیرا محتوای حافظه غیرمتغیر پس از خاموشی سیستم، به صورت دائمی از دست می رود.
• جرم شناسی سیستم عامل : تحلیل فایل های لوگ بخش مهمی از جرم شناسی سیستم عامل است. فرمت های فایل لوگ بین سیستم عامل های مختلف ، کاملاً با یکدیگر تفاوت دارند. معادل لینوکسی رجیستری ویندوز به صورت GUI سلسله مراتبی رجیستری تعریف نمی شود بلکه یک سری فایل های متنی متوالی را شامل می شود. برای انجام جرم شناسی سیستم عامل، بازرسان باید دانش کامل و عمیقی از چندین سیستم عامل داشته باشند و معنی فایل های لوگ سیستم عامل های مختلف را درک بکنند.
• جرم شناسی چندرسانه ای : جرم شناسی چندرسانه ای یعنی اعمال تکنیک های جرم شناسی رایانه ای روی فایل های حاوی داده های بصری/ صوتی و فرای داده های متنی. صوت های ضبط شده، فایل های موسیقی، ویدئو و تصویر از آن جمله می باشند. موارد متعددی وجود دارند که طی آن فایل های چندرسانه ای به عنوان شواهدی مفید بکار می روند. فایل های موسیقی سرقت شده، ثبت صوتی و ویدئویی وضعیت مجرمان، تصاویر غیرقانونی پورنوگرافی مثال های خوبی در این زمینه هستند.
• جرم شناسی شبکه  : ردگیری IP و نظارت بر ترافیک شبکه، اصلی ترین ارکان جرم شناسی شبکه به شمار می آیند. هدف اصلی بررسی شواهد فعالیت های غیرقانونی در حین انتقال فایل یا اطلاعات است. باید به این نکته مهم توجه نمود که اکثر کاربردهای جرم شناسی شبکه از اینترنت، LAN ، شبکه پراکنده محلی، و اتصالات شبیه سازی شده روی ماشین های مجازی و هاست ها استفاده می کنند. همه موارد با تکنیک های یکسانی تجزیه و تحلیل می شوند. تحلیل حساب های رسانه های اجتماعی ، ترکیبی از جرم شناسی شبکه و چندرسانه ای است و بستگی به تکنیک مورد استفاده دارد.
• جرم شناسی پایگاه داده : قطعاً پایگاه داده ها حاوی انواع مختلفی از اطلاعات هستند. این داده به صورت خرابکارانه بکار می روند یا موارد سرقت یا حذف شده مورد شناسایی قرار می گیرند. گاهی اوقات پایگاه داده خود یک نوع اطلاعات ارزشمند است. جداول نیز به صورت ساختاریافته حاوی اطلاعات مهمی راجع به سازمان های خلافکار هستند.
• جرم شناسی بدافزار : جرم شناسی بدافزار اشاره به مهندسی معکوس یک بدافزار دارد اما تشخیص بدافزارهای موجود یا بالقوه را نیز شامل می شود. یکی از روش های مفید و سریع استفاده از فایل GOAT است (زیرا فایل برای حفظ منافع قربانی می شود).فایل های goat کار تحلیل گران برای بررسی تغییرات بدافزار پس از آلوده سازی را تسهیل می کنند.
• جرم شناسی دستگاه های موبایل : هرچند تعریف این واژه ذهنی است ، اما در عمل ماهیت پیچیده تری پیدا می کند. دستگاه های موبایل امروزی ، به مراتب کوچکتر از رایانه ها هستند. سیستم عامل خاص خود را دارند و برای هدف خاصی بکار می روند. تمامی جرم شناسی ها روی این دستگاه ها نیز صدق می کنند. برخی موبایل ها از سیستم عامل های ویژه ای برخوردارند همچون ios، ویندوز موبایل، بلک بری و بقیه اوپن سورس هستند همچون آندروید. بازرس باید از تمامی این موارد مطلع باشد. دستگاه های موبایل زیادی نیز وجود دارند برای مثال گوشی های هوشمند، gps، دستیار شخصی دیجیتال (PDA) و دوربین های دیجیتال که همگی سیستم عامل ها و قابلیت های متفاوتی دارند. داده های مختلفی در آن ها ذخیره می شوند. گوشی تلفن برای ضبط مکالمه، تصاویر دیجیتال ، متن و ایمیل ، فهرست تماس و حتی فایل های ضبط شده ویدئویی کاربرد دارد. هدف جرم شناسی GPS بررسی اطلاعاتی همچون نقاط مسیر ، جهت ها، مسیرها، مسیرهای مطلوب و غیره است تا الگوی سفر مظنون را شناسایی بکند. باید اشاره کرد که مدل و سازنده نیز در این روش نقش دارند و کار بازرسی را دشوارتر می کنند. حتی تحلیل دو دستگاه بسیار مشابه در بازار مصرف کننده، ترکیبات مختلفی از تکنیک ها برای بازیابی اطلاعات را نیاز خواهد داشت.
• جرم شناسی ایمیل : همانطور که در جرم شناسی موبایل اشاره شد، در ایمیل های عادی، اطلاعات زیادی وجود دارند. خرابکاران از این اطلاعات ایمیلی استفاده کرده و با ارسال اسپم بدنبال کلاهبرداری یا انتشار بدافزار هستند. با عملیات ساختگی، آدرس های IP استخراج می شوند. به مهاجم تصویری از وضعیت شبکه داده می شود. هدرها شامل انبوهی از اطلاعات هستند که برای هکرها مفید هستند و در تمامی ایمیل ها یافت می شوند. حتی قبل از در نظر گرفتن محتوای ایمیلی، درز اطلاعات نتایجی را در جهان واقعی در پی خواهد داشت. ایمیل ها برای بازرسان مفید هستند زیرا امکان کشف جزئیات راجع به فرستنده / گیرنده و انگیزه وی را فراهم ساخته یا حتی یک نمونه از شواهد قابل ارائه به دادگاه تلقی می شوند. یک مثال از این عمل، انجام تحلیل فراابتکاری روی هدرها (فراداده ایمیل)برای تضمین سازگاری با فرمت مدنظر خدمات دهنده ایمیل است. برای مثال اگر ایمیل یاهو باشد اما اطلاعات سربرگ متفاوت باشند (عدد صحیح و اسم)، این علامت معتبری از دستکاری در ایمیل می باشد.
• جرم شناسی دیوار آتش : دیوارهای آتش برای تضمین یا محدودسازی دسترسی بر اساس یک سری قوانین از پیش تعریف شده توسط مدیر بکار می روند. آن ها اولین خط دفاع در برابر سرقت اطلاعات و حملات سایبری هستند. آن ها با جرم شناسی سازگاری دارند. تحلیل فایل لوگ بخش مهمی از جرم شناسی فایروال است. لوگ ها شامل اطلاعات برنامه های اجرا شده برای دسترسی به اطلاعات، درخواست ها ، حساب کاربر یا آدرس IP هستند. تمامی این اطلاعات برای شناسایی حملات و جزئیات مفید هستند و نه تنها دفاع در برابر حملات آتی ممکن می شود ، بلکه عامل مسئول شناسایی می شود.
• جرم شناسی مالی : فعالیت های مجرمانه مالی همچون تقلب شرکتی ، تقلب در بورس و اوراق بهادار، تقلب در خدمات سلامت ، تقلب در موسسات مالی ، تقلب رهن ، بیمه، بازاریابی انبوه و پولشویی طی سال گذشته افزایش یافته اند [15].در عصر حاضر، رسانه های دیجیتال برای ذخیره سازی انبوهی از اطلاعات مالی در سیستم های متعدد و پیچیده بکار می روند. شیوه های وقوع تقلب از روش سنتی جعل حساب ها و رسیدها به سمت دستکاری در فایل ها یا تغییر اطلاعات مهم گرایش پیدا کرده اند. می توان براحتی با دستکاری در برچسب زمانی معتبر و بزرگ، سرمایه گذار را فریب داد. برای مثال، مبادلات غیرقانونی داخلی برای فریب افراد بکار می روند. برای رسیدگی به این چالش ها، تکنیک های ممیزی جرم شناسی دائماً در حال تکامل و توسعه هستند. ممیزی مدرن جرم شناسی از روش های جدیدی همچون بازرسی حضوری، مغایرت گیری از صورت های بانکی، بررسی تمامی قراردادها و پرداخت ها و غیره استفاده می کند. روش های سنتی نیز در جای خود استفاده می شوند. علاوه بر این، چندین تکنیک تحلیل رایانه ای همچون داده کاوی نیز به صورت گسترده برای تشخیص تقلب بکار می روند.

علاوه بر این، با توجه به اینکه دستگاه های دیجیتال چگونه در اجرای جُرم نقش دارند، جرم شناسی رایانه ای به سه دسته اصلی به شرح زیر تقسیم می شود :

• دستگاه ها به صورت مستقیم به عنوان ابزاری برای فعالیت مجرمانه بکار می روند. برای مثال میکروفون مخفی برای گوش دادن به یک مکالمه
• دستگاه قربانی جرم است. برای مثال هنگامی که هویت فرد به صورت آنلاین سرقت می شود یا رمزعبورش به سرقت می رود
• دستگاه نقش جانبی را نسبت به جرم دارد و به صورت غیرعمدی شواهد مفید برای بررسی ها را گردآوری می کند. مثالی از این دست هنگامی است که گردشگر از لحظه جرم عکس برداری می کند. لذا مظنون در عکس ظاهر می شود.

در تمامی موارد،باید از تکنیک های مختلفی برای بررسی و حل و فصل جرم استفاده نمود. لذا جرم شناسی رایانه ای اندکی دستخوش تغییر می شود [36].

1. 6. : منابع مفید

منابع متعددی روی اینترنت وجود دارند. برخی از آن ها در این بخش یافت می شوند :

• ابزارهای موجود برای کمک به بازرسی های جرم شناسانه
• تست تصاویر ، مجموعه داده و چالش ها برای یادگیری و اجرای تکنیک های جرم شناسی دیجیتال
• آموزش های جرم شناسی رایانه ای، کتب و منابع مرجع
• گروه های گفتگو/ گروه های کاربری اختصاص یافته به جرم شناسی دیجیتال
• کنفرانس بین المللی و ژورنال های حرفه ای مرتبط با جرم شناسی دیجیتال

منابع لیست شده در ادامه کامل نیستند و تمامی منابع آنلاین موجود را شامل نمی شوند. لیست منابع به صورت یک لیست سریع آنلاین برای افراد علاقه مند به تکنیک ها و تحقیقات جرم شناسی رایانه ای تهیه شده است. توجه بکنید که ممکن است URL ها از آخرین بازدید ، تغییر پیدا کرده باشند.