Цифровые расследования и улики


Существует огромное количество определений цифровой экспертизы и расследований. В этом разделе я приведу те определения, которые использую лично я, вместе с обоснованиями. Объектом цифрового расследования является некоторое цифровое устройство, задействованное в инциденте или преступлении. Цифровое устройство могло использоваться при совершении физического преступления, а могло и стать источником события, нарушившего правила или закон. Приведу пример первого случая: подозреваемый собирает в Интернете информацию для подготовки физического преступления. Среди примеров второго случая можно выделить получение несанкционированного доступа к компьютеру, загрузку незаконного материала по сети или отправку электронной почты с угрозами. После того как факт нарушения будет выявлен, начинается расследование. Оно должно ответить на такие вопросы: почему произошло нарушение, кто или что послужил причиной и т. д.
Цифровым расследованием называется процесс разработки и проверки гипотез, отвечающих на вопросы о цифровых событиях. Задача решается научным методом: эксперт строит гипотезы на основе найденных улик, а затем проверяет их поиском дополнительных улик, которые доказывали бы несостоятельность данной гипотезы. Цифровой уликой называется цифровой объект, содержащий надежную информацию, которая поддерживает или опровергает гипотезу.
/>Возьмем сервер, подвергшийся внешнему вторжению. Расследование начинается с определения ответа на вопрос: когда это произошло и кто это сделал.
В процессе расследования обнаруживаются данные, которые были созданы событиями, связанными с инцидентом. Эксперт восстанавливает на сервере удаленные записи журнала, находит программы, задействованные в атаке, и многочисленные уязвимости, существующие на сервере. По этим и другим данными строится гипотеза относительно того, какая уязвимость была использована нападающим, и что он делал потом. Позднее эксперт анализирует конфигурацию брандмауэра (firewall) и журнала. По результатам анализа он определяет, что некоторые сценарии, сформулированные в гипотезах, невозможны, потому что сетевой трафик соответствующего типа не существовал, а в журнале не нашлось обязательных записей. Таким образом обнаруживаются улики, опровергающие одну или несколько гипотез.
В этой книге я использую термин «улика» в следственном контексте. Улики имеют как юридическое, так и следственное применение. Приведенное ранее определение относилось к следственному применению улик; далеко не всегда найденные улики могут быть предъявлены в суде. Поскольку требования к юридической допустимости улик зависят от страны или штата, а я не обладаю юридической подготовкой, я сосредоточу внимание на общей концепции улик, а вы можете внести поправки с учетом местного законодательства. В действительности никаких юридических требований, относящихся именно к файловым системам, не существует, поэтому необходимую информацию можно почерпнуть из общей литературы по цифровому расследованию. 
| >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Цифровые расследования и улики:

  1. Основы цифровых расследований
  2. Процесс анализа места цифрового преступления
  3. Расследование и учет несчастных случаев на производстве. Несчастные случаи на производстве, подлежащие расследованию и учету
  4. Новые времена: появление цифровой мобильной телефонии
  5. 7.3. Кино. Видео. Цифровые технологии
  6. РАЗГЛАШЕНИЕ ДАННЫХ ПРЕДВАРИТЕЛЬНОГО РАССЛЕДОВАНИЯ (cт. 310 УК РФ).
  7. § 8. Правила расследования несчастных случаев и профессиональных заболеваний
  8. ПРИКАЗЫ О РАССЛЕДОВАНИИ ПО ВЛАДЕЛЬЧЕСКИМ АССИЗАМ
  9. 19.4. Расследование и учет несчастных случаев на производстве
  10. 4. Расследование и учет несчастных случаев на производстве
  11. 8.7.2. Ситуация «Расследование несчастного случая»
  12. 13.3. Расследование и учет несчастных случаев
  13. § 7. Расследование и учет несчастных случаев на производстве
  14. ПОСЯГАТЕЛЬСТВО НА ЖИЗНЬ ЛИЦА, ОСУЩЕСТВЛЯЮЩЕГО ПРАВОСУДИЕ ИЛИ ПРЕДВАРИТЕЛЬНОЕ РАССЛЕДОВАНИЕ (ст. 295 УК РФ).
  15. Расследование и учет несчастных случаев на производстве.
  16. ВОСПРЕПЯТСТВОВАНИЕ ОСУЩЕСТВЛЕНИЮ ПРАВОСУДИЯ И ПРОИЗВОДСТВУ ПРЕДВАРИТЕЛЬНОГО РАССЛЕДОВАНИЯ (ст. 294 УК РФ).