Criminalistică digitală

Criminalistica digitală (engleză digital forensics) [1], împreună cu investigațiile digitale, este o ramură a științelor criminalisticii ce se ocupă de recuperarea și investigarea datelor stocate digital în dispozitivele informatice și de comunicații ce au fost implicate într-un incident de securitate cibernetică. Termenul a fost inițial folosit pentru calculatoare dar în prezent este extins pentru a acoperi investigarea tuturor dispozitivelor capabile să stocheze sau să transmită date digitale, rețele și comunicații fără fir.

Examinarea unui hard drive într-o investigație criminalistică digitală

Investigația digitală combină elementele dreptului cu informatica și are scopul de a identifica, preleva, analiza și prezenta în instanță informații stocate electronic ce se pot constitui ca probe în cadrul unui proces juridic. Probele descoperite și analizate în cadrul procedurii de investigare a infracțiunilor informatice sunt de natură fizică și digitală, ele pot consta din componente hardware și mijloace media ce conțin date.

Pe lângă identificarea probelor directe ale infracțiunilor, criminalistica și investigarea digitală poate fi folosită și la identificarea sursei în cazurile ce au ca obiect drepturile intelectuale, autentificarea documentelor, etc.

Metodele criminalistice de investigație au început să fie utilizate pentru colectarea dovezilor digitale în instanțele de judecată la mijlocul anilor 1980 odată cu apariția și creșterea rapidă a utilizării computerelor personale de către persoane fizice și firme. De-a lungul anilor, pe măsură ce utilizarea computerelor personale a crescut, criminalitatea informatică a crescut și metodele au devenit mai diverse.

Noțiunea de infracțiune informatică a fost atestată pentru prima dată în legislația S.U.A. (Computer crime act of 1978) [2, p. 107], unde, în anii ʼ70, autoritățile din statul Florida au depistat o serie de încălcări ale legislației, efectuate în perioada anilor ʼ50-ʼ70.[2][3][4][5]

Tipuri de criminalistică digitală

modificare

Criminalistica digitală conține mai multe subdiscipline:

Investigarea calculatoarelor

modificare

Se ocupă cu obținerea de probe legale din calculatoare, laptopuri, sisteme înglobate și medii de stocare (HDD, CD/DVD, USB, memorie DRAM) în sprijinul investigațiilor și procedurilor judiciare.

Există multiple motive pentru care este necesar să se implementeze tehnicii de investigare criminalistică a computerelor:

  • analiza sistemelor de calcul ce aparțin acuzaților sau părților în procese judiciare
  • analiza unui sistem de calcul în urma efracției acestuia, pentru determinarea modului în care atacatorul a obținut acces și în ce mod a acționat pe sistemul de calcul
  • obținerea de probe împotriva unui angajat pe care firma dorește sa îl disponibilizeze
  • obținerea de informații referitoare la modul de funcționare a unui sistem de calcul în scopul depanării erorilor, optimizării performanțelor sau a deconstrucției inverse (inginerie inversă).
  • recuperarea datelor în cazul unor erori de hardware sau software.

Investigarea rețelelor

modificare

Este procesul prin care se realizează monitorizarea, capturarea, stocarea și analizarea activităților sau evenimentelor din rețea pentru a descoperi sursa de atacuri de securitate, intruziuni sau alte incidente (atacuri cu viruși, malware, viermi), trafic anormal în rețea și încălcări ale securității, într-o manieră ce poate fi folosită în fața legii.

Investigarea criminalistică a rețelelor are două roluri:

  • securitatea - implică monitorizarea unei rețele pentru depistarea traficului anormal și identificarea intruziunilor.
  • implementarea legilor - analize ale traficului din rețea pot avea ca sarcini reasamblarea fișierelor transferate, căutarea după anumiți termeni sau analiza comunicațiilor între persoane (sesiuni chat sau e-mail).

Investigarea dispozitivelor mobile

modificare

Se ocupă cu recuperarea dovezilor electronice de la telefoane mobile, smartphone-uri, cartele SIM, PDA-uri, dispozitive GPS,tablete și console de jocuri.

Similar calculatoarelor, rețelelor, site-urilor și serviciilor online, dispozitivele mobile pot fi compromise, de asemenea, prin diferiți vectori de atac. Astfel de atacuri, pot viza mai multe controale de securitate incluzând gestionarea datelor, canalele de comunicare, mecanisme de criptare etc.

Dispozitivele mobile sunt, de asemenea, utile pentru furnizarea de informații despre locație, aflate în sistemul integrat de urmărire GPS/localizare, sau din arhiva site-urilor web care urmăresc dispozitivele din gama lor.[6]

Investigarea bazelor de date

modificare

Criminalistica bazelor de date se referă la ramura științei criminalistice digitale legată de studierea bazelor de date din servere și a datelor pe care le păstrează. Infracțiunile cercetate sunt îndreptate către cine accesează baza de date și ce atacuri sunt efectuate.
Investigația bazelor de date poate fi utilizată de asemenea, pentru a verifica acordurile comerciale, cum ar fi un litigiu recent dintre două companii sau pentru a examina tranzacțiile efectuate pe o anumită perioadă de timp pentru a identifica tranzacții frauduloase.[7]

 
Exemplu de metadată de imagine Exif pentru stabilirea originii.

Investigarea imaginilor

modificare

Este folosită pentru extragerea și analiza imaginilor fotografice achiziționate digital pentru a valida autenticitatea acestora prin recuperarea metadatelor fișierului imagine și stabilirea istoricului.

Investigarea Audio/Video

modificare

Este o tehnică tipică de criminalistică digitală pentru colectarea, analiza, evaluarea și autentificarea fișierelor audio/video, sisteme CCTV, necesare într-o procedură juridică[8]

Certificări

modificare
  • Certified Forensic Computer Examiner (CFCE)
  • Certified Computer Examiner (CCE)
  • Cyber Security Forensic Analyst (CSFA)
  • Certified Forensic Examiner (CFE)
  • Access Data Certified Examiner (ACE)[9]
  • Computer Hacking Forensic Investigator (CHFI)[10][11]
  • Certified Digital Forensics Examiner (CDFE)
  • Certified Network Forensics Examiner (CNFE)[12]
  • Advanced Digital Forensics (ADF)[13]

Multe companii producătoare de software de investigație criminalistică oferă și certificări specializate asupra produselor lor: Guidance Software (EnCase), AccessData (Forensic Forensic Toolkit-FTK), PassMark Software (OSForensics), X-Ways Software Technology (X-Ways Forensics).

Software

modificare

Există mai multe tipuri de software cu surse deschise și comerciale care oferă unelte de analiză criminalistică digitală.

 
Wireshark, aplicație pentru monitorizarea și înregistrarea traficului în rețea
  • Autopsy (Basis Technology Corp.) - multiplatformă, GPL
  • Amped FIVE (Amped Software) - proprietar, utilizat de poliție, agenții militare, de securitate și guvernamentale din întreaga lume. Amped FIVE este cel mai important software pentru investigații ale imaginilor și fisiere audi/video.
  • Digital Forensics Framework (Digital Forensics) - multiplatform, GPL
  • EnCase (Guidance Software) - Windows, proprietar
  • Forensic Explorer (GetData) - Windows, proprietar
  • Foremost - a stat la baza aplicației Scalpel
  • FTK Arhivat în , la Wayback Machine. (AccessData)- recunoscut ca standard pentru software criminalistic pentru calculatoare, Windows, proprietar
  • SIFT - Ubuntu, GPL
  • OpenText (Guidance Software) - Windows, proprietar
  • Oxygen Forensics - proprietar, pentru dispozitive mobile
  • Stellar - recuperare de date pentru Linux
  • UltimateForensics Arhivat în , la Wayback Machine. - software pentru căutarea și analiza datelor din fragmente de imagine, video sau streaming online.
  • Windows Forensic Toolchest - Windows, proprietar
  • Wireshark - un instrument popular folosit pentru monitorizarea și înregistrarea traficului în rețea
  • .XRY - folosit pentru a analiza și recuperare de informații de pe dispozitivele mobile[14][15]

Sisteme de operare

modificare
  • BackBox - distribuție bazată pe Ubuntu rapidă și ușor de utilizat, dezvoltată pentru a efectua teste de penetrare și evaluări de securitate.
  • BlackArch - distribuție bazată pe Arch Linux, concepută pentru testări de penetrare și cercetători în domeniul securității. Arch Linux este furnizat cu mai mulți manageri de ferestre, inclusiv Fluxbox, Openbox, Awesome și spectrwm. Dispune în repository de peste 2000 de instrumente specializate pentru testarea penetrării și analiză criminalistică digitală.
  • Kali Linux - distribuție bazată pe Debian, cu o colecție de instrumente de securitate și criminalistică digitală. Anterior cunoscută sub numele de BackTrack, dispune de suport pentru arhitectură ARM și mai multe medii desktop.
  • Parrot OS - Parrot (fostul Parrot Security OS) este o distribuție bazată pe Debian, orientată pe securitate, care conține o colecție de utilități destinate testelor de penetrare, criminalistică, inginerie inversă, hacking, confidențialitate, anonimat și criptografie. Dezvoltat de Frozenbox, Parrot OS vine cu MATE ca mediu desktop implicit.

Live CD

 
Interfață CAINE Linux
  • CAINE Linux - bazat pe Ubuntu, creat ca un proiect de criminalistică digitală cu o interfață grafică prietenoasă. A fost inițial inclus în proiectul CRIS dezvoltat la Universitatea din Modena și Reggio Emilia
  • DEFT Arhivat în , la Wayback Machine. - distribuție live CD/USB bazată pe Xubuntu, ușor de utilizat, cu o detectare excelentă a hardware-ului și aplicații open source dedicate răspunsului la incidente și criminalității informatice.
  • Grml - este un sistem de operare bazat pe Debian, conceput pentru a rula în principal de pe un CD live, dar și de pe o unitate USB. În plus față de instrumentele sysadmin, distribuția conține software de securitate și de rețea, de recuperare de date și investigații criminalistice.
  • Matriux Arhivat în , la Wayback Machine. - distribuție de securitate bazată pe Debian, se compune din instrumente de recuperare a datelor, care pot fi utilizate în scopuri de analiză și investigare a criminalității. Matriux este conceput pentru a rula live CD/DVD sau USB, dar poate fi instalat pe hard disk.
  • MacForensicsLab Arhivat în , la Wayback Machine. - suită completă de instrumente de analiză pentru Mac OS X
  • MacQuisition Boot CD Arhivat în , la Wayback Machine. - soluție puternică, ce rulează pe sistemul de operare Mac OS X și peste 185 de modele diferite de computere Macintosh.
  • Pentoo - bazat pe Gentoo
  • PlainSight Arhivat în , la Wayback Machine. - bazat pe Knoppix
  • SAFE Boot Disk - bazat pe Windows PE
  • SMART Linux - utilizat de numeroase agenții guvernamentale, militare și de informații ale S.U.A.
  • WinFE ( Windows Forensic Environment) - bazat pe Windows PE [16][17]

Vezi și

modificare

Referințe și note

modificare

Legături externe

modificare

Blbliografie

modificare
  • Serge Le Doran, Philippe Rosé: Cyber-Mafia, Editura Antet, București, 1998.
  • Mihai Prună Ștefan, Ioan-Cosmin: Criminalitatea informatică, Editura Sitech, 2008, ISBN 978-606-530-073-6
  • Clint P. Garrison: Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data, Syngress, 2010, ISBN 9781597495387
  • Cory Altheide: Digital Forensics with Open Source Tools, Syngress Media, 2011, ISBN 9781597495868
  • Philip Polstra: Linux Forensics, Pentester Academy, 2015, ISBN 9781515037637
  • Xiaodong Lin: Introductory Computer Forensics: A Hands-on Practical Approach, 1st ed. 2018, Springer, ISBN 9783030005801
  • Joakim Kävrestad: Fundamentals of Digital Forensics: Theory, Methods, and Real-Life Applications, Springer, 2018, ISBN 9783319963181