Така се изследва киберпрестъпността: CSI на цифровите престъпления
Когато се извърши цифрово престъпление, следването на улики за достигане до престъпника не е лесна задача. Необходимо е намесата на компютърни експерти, които са тези, които извършват разследването. CSIs на цифрови престъпления са специализирани да следват следа, че всички незаконни манипулиране на компютъра оставя по пътя си.
Тази пътека се основава на принципа на Locard Exchange, според който всички цифрови контакти оставят следа. От обикновен разговор с WhatsApp до случай на кибертормоз или корпоративно хакване, всичко оставя следа в компютърните мрежи, които експертът може да следва, за да идентифицира престъпника или престъпника в кибернетичното пространство и щетите, настъпили в системата на потребителя.
Тази задача на мониторинга и изследванията е сложна и изисква стратегия. Карлос Алдама, компютърен инженер в Aldama Informática Legal, обяснява, че "понякога е необходимо" да се позволи "на нападателя да продължи да извършва престъпления, за да събере повече данни. саксии за мед (саксии с мед), с които нападателят е "разсеян", мислейки, че атакува целта и ни позволява да събираме техните данни. "
8 стъпки за разследване на цифрови престъпления
В процеса на разследване на цифрови престъпления компютърните експерти обикновено следват следните стъпки:
1. Идентификация на престъплението: \ t Тя позволява да се знае средата, в която се извършва цифровото престъпление, за да се създаде стратегията и стъпките, които трябва да се следват. Манипулирането на WhatsApp или друга социална мрежа за включване на фрази или разговори не е същото като индустриален шпионаж или хакване на сървър на компания, въпреки че всички тези форми представляват престъпление.
2. Намалете местопрестъплението: колкото по-голям е изследователският сценарий, толкова по-малко ефективен ще бъде той. Чрез ограничаване на полето експертите могат по-добре да идентифицират доказателствата за следата за намиране на киберпрестъпник.
3. Запазване на доказателствата: От съществено значение е да се събере цялата необходима информация чрез устройството, от което е извършено престъплението, за да се покажат последствията. За целта компютърните експерти използват различни средства. Списъкът с технологии е дълъг, ние подчертаваме:
- Съдебно клониране за събиране и клониране на твърди дискове
- Пишете блокери, за да не модифицирате анализираните дискове
- Мобилни устройства за съдебномедицински анализ
- Фарадееви клетки, за да се избегне отдалечен достъп и изтриване на данни
4. Задържане на доказателствата: \ t да се постигне и гарантира „неманипулиране на данни“. ефективното задържане се извършва пред нотариус или чрез актове със свидетели, в които се изчисляват доказателствата Hash. Той също така изисква голяма прецизност при регистрацията, етикетирането и прехвърлянето на безопасно място. Всички тестове трябва да поддържат своя цифров формат, така че да могат да бъдат проверени и проверени.
Важността на тази стъпка е фундаментална, тъй като, както твърди Aldama, "ако не е направено правилно, много неща могат да ни се случат: например, че мобилен телефон, който разглеждаме, има софтуер за дистанционно управление и изтриваме теста или че данните попадат в ръцете на трета страна, която може да ги манипулира, когато е възможно, събирането на доказателства трябва да бъде удостоверено по технически начин, като се посочва времевият отпечатък, който дава гаранции за всички действия.
5. Анализирайте доказателствата: трябва да се извърши реконструкция на престъплението, като се анализират данните, за да се отговори на въпросите от разследването. Обичайно е да се работи върху клонирани машини за извършване на необходимите криминалистични тестове, проучване на всички елиминирани данни и извършване на задълбочено проучване на всяко доказателство в съответствие с предмета на компютърните науки.
Когато е настъпила кражба, извличането на данни първо се извършва чрез външни устройства, чрез мрежа или интернет. Второ, анализира се авторството на изтичането на данни, винаги идентифицирайки, когато е възможно, крайния отговорен за дестинацията и след това проверка на навигацията, извършена с „слепи“ търсения, в резултат на положителни термини (цели на търсене) и отрицателни (думи, които могат да застрашат комуникациите, неприкосновеността на личния живот ...), могат да ни отведат директно към фокуса на разследването.
6. Документация и резултати: Много е важно да се документират всички изследвания в доклада и да се направи добре, защото в противен случай това не е валидно. Тези доклади трябва да бъдат разбираеми за неспециалисти. Процесът на разследване на извършеното цифрово престъпление трябва да се събира стъпка по стъпка, за да може съперникът да постигне същите заключения след същите стъпки.
7. Ратификация в съда и защита на доклада: В съдебния процес компютърните експерти трябва да представят цялата информация, събрана при разследването. Изложението на неговата изследователска работа трябва да бъде разбираемо за неспециалисти в тази област. Това се основава на ефективността на съдебния процес.
Марисол Нуево Еспин
съвет: Карлос Алдама, Компютърен инженер на Aldama Computer Legal