Иногда сбор данных включает в себя просто копирование читаемых файлов с носителя. Но часто другие метаданные могут быть собраны с устройств судебными экспертами. Метаданные-это данные о состоянии файлов на устройстве или о самом устройстве. Полезные метаданные могут включать в себя то, как был получен доступ к файлам, была ли выдана команда выключения или удаления, или пытался ли пользователь скопировать файлы на другое устройство.
Работа непосредственно с исходным носителем часто приводит к удалению ценных метаданных. Профессиональные службы поиска данных и судебной экспертизы всегда проводят анализ и отчетность по виртуальным копиям носителей, когда это возможно.
Еще один способ сохранить метаданные — изолировать устройство от других систем хранения. Держите его от Wi-Fi и проводных сетевых подключений.
Иногда благонамеренные сотрудники могут случайно перезаписать ценные метаданные, если они подключают флэш-накопитель, пытаясь скопировать файлы с помощью обычных средств для анализа. Оставьте копирование данных профессиональным судебным экспертам.
Подумайте, необходимо ли хранение за пределами площадки для долгосрочного управления доказательствами или модульная система управления доказательствами на месте может удовлетворить ваши потребности. Модульные системы смогут масштабироваться, если изменятся потребности в хранении доказательств или доступное пространство.
Сотрудники должны будут периодически подписывать доказательства для отчетности или консультаций с адвокатом. Услуги адвоката в
АБ РО «Адвокатская фирма Ревякины и партнеры» на сайте https://advokatrev.ru/, разрешение судебных споров, оказывает юридические услуги гражданам, а также организациям и индивидуальным предпринимателям во всех сферах бизнеса в г. Ростове-на-Дону и других регионах России. Запись всех этих транзакций необходима для поддержания надлежащей цепочки поставок.
Это может быть сложно для большинства организаций, в которых нет штатного менеджера по доказательствам. Даже те правоохранительные органы, у которых есть менеджеры по доказательствам, не могут дежурить круглосуточно. Подумайте, могут ли автоматические шкафчики доказательств упростить мониторинг транзакций.
Новые электронные устройства постоянно появляются на рынке. В частности, появление технологии Интернета вещей (IoT) означает, что многие другие типы устройств теперь хранят данные. Вы должны регулярно пересматривать свои методы управления цифровыми доказательствами, чтобы убедиться, что они учитывают все новые типы устройств и форм цифрового хранения, которые могут появиться в вашем распоряжении.
Правоохранительные органы становятся все более зависимыми от назначенных ИТ-отделов, в которых работают опытные эксперты по кибербезопасности, которые определяют надлежащие протоколы расследований и разрабатывают строгие учебные программы для обеспечения ответственного соблюдения передовой практики. Помимо установления строгих процедур для судебных процессов, подразделения кибербезопасности должны также устанавливать правила управления всей другой цифровой деятельностью в организации. Это важно для защиты инфраструктуры данных правоохранительных органов, а также других организаций.
Неотъемлемой частью политики и процедур расследования для правоохранительных организаций, использующих компьютерные криминалистические отделы, является кодификация набора четко определенных действий в отношении того, что представляет собой доказательство, где искать указанные доказательства и как обращаться с ними после их извлечения. Перед любым цифровым расследованием необходимо предпринять надлежащие шаги, чтобы определить детали рассматриваемого дела, а также понять все допустимые следственные действия в отношении дела; это включает в себя чтение кратких материалов дела, понимание ордеров и разрешений и получение любых разрешений, необходимых до рассмотрения дела.
Ключевым компонентом следственного процесса является оценка потенциальных доказательств в киберпреступлении. Центральное место в эффективной обработке доказательств занимает четкое понимание деталей рассматриваемого дела и, следовательно, классификация рассматриваемых киберпреступлений. Например, если агентство стремится доказать, что человек совершил преступления, связанные с кражей личных данных, следователи компьютерной криминалистики используют сложные методы для просеивания жестких дисков, учетных записей электронной почты, сайтов социальных сетей и других цифровых архивов, чтобы получить и оценить любую информацию, которая может служить жизнеспособным доказательством преступления. Это, конечно, верно для других преступлений, таких как участие в онлайн-преступном поведении, таком как размещение поддельных продуктов на eBay или Craigslist, предназначенных для того, чтобы заманить жертв в обмен информацией о кредитной карте. Перед проведением расследования следователь должен определить типы запрашиваемых доказательств (включая конкретные платформы и форматы данных) и иметь четкое представление о том, как сохранить соответствующие данные. Затем следователь должен определить источник и целостность таких данных, прежде чем вводить их в качестве доказательства.
Возможно, наиболее важным аспектом успешного компьютерного судебного расследования является строгий, подробный план получения доказательств. Обширная документация необходима до, во время и после процесса сбора; подробная информация должна быть записана и сохранена, включая все спецификации аппаратного и программного обеспечения, любые системы, используемые в процессе расследования, и исследуемые системы. На этом этапе наиболее применимы политики, связанные с сохранением целостности потенциальных доказательств. Общие рекомендации по сохранению доказательств включают физическое удаление устройств хранения, использование управляемых загрузочных дисков для извлечения конфиденциальных данных и обеспечения функциональности, а также принятие соответствующих мер по копированию и передаче доказательств в систему следователя.
Получение доказательств должно осуществляться как преднамеренно, так и законно. Возможность документировать и аутентифицировать цепочку доказательств имеет решающее значение при рассмотрении судебного дела, и это особенно верно для компьютерной криминалистики, учитывая сложность большинства случаев кибербезопасности.
Для эффективного расследования потенциальных доказательств должны быть предусмотрены процедуры извлечения, копирования и хранения доказательств в соответствующих базах данных. Исследователи обычно изучают данные из назначенных архивов, используя различные методы и подходы для анализа информации; они могут включать использование аналитического программного обеспечения для поиска массивных архивов данных по определенным ключевым словам или типам файлов, а также процедуры для извлечения файлов, которые были недавно удалены. Данные, помеченные временем и датами, особенно полезны для исследователей, как и подозрительные файлы или программы, которые были зашифрованы или намеренно скрыты.
Анализ имен файлов также полезен, поскольку он может помочь определить, когда и где были созданы, загружены или загружены конкретные данные, а также может помочь исследователям подключить файлы на устройствах хранения к онлайн-передаче данных (например, облачному хранилищу, электронной почте или другим интернет-коммуникациям). Это также может работать в обратном порядке, так как имена файлов обычно указывают каталог, в котором они находятся. Файлы, расположенные в Интернете или в других системах, часто указывают на конкретный сервер и компьютер, с которого они были загружены, предоставляя исследователям подсказки о том, где находится система; сопоставление онлайн-имен файлов с каталогом на жестком диске подозреваемого является одним из способов проверки цифровых доказательств. На этом этапе компьютерные криминалисты работают в тесном сотрудничестве со следователями по уголовным делам, адвокатами и другими квалифицированными кадрами, чтобы обеспечить глубокое понимание нюансов дела, допустимых следственных действий и того, какие виды информации могут служить доказательствами.
В дополнение к полному документированию информации, связанной со спецификациями аппаратного и программного обеспечения, компьютерные криминалисты должны вести точный учет всей деятельности, связанной с расследованием, включая все методы, используемые для тестирования функциональности системы и извлечения, копирования и хранения данных, а также всех действий, предпринятых для получения, изучения и оценки доказательств. Это не только демонстрирует, как была сохранена целостность пользовательских данных, но и гарантирует соблюдение надлежащей политики и процедур всеми сторонами. Поскольку целью всего процесса является получение данных, которые могут быть представлены в качестве доказательств в суде, неспособность следователя точно документировать свой процесс может поставить под угрозу действительность этих доказательств и, в конечном счете, само дело.
Для компьютерных судебных следователей все действия, связанные с конкретным делом, должны быть учтены в цифровом формате и сохранены в должным образом назначенных архивах. Это помогает обеспечить подлинность любых выводов, позволяя этим экспертам по кибербезопасности точно показывать, когда, где и как были восстановлены доказательства. Это также позволяет экспертам подтверждать достоверность доказательств, сопоставляя цифровую документацию следователя с датами и временем, когда эти данные были доступны потенциальным подозреваемым через внешние источники.
Короче говоря, возможность доступа к идентичной (но виртуальной) реплике машины подозреваемого означает, что вы можете взаимодействовать с файлами и программным обеспечением в их системе, не опасаясь совершить ошибку, которая может изменить или уничтожить ее. Если вы попали в аварию, вы можете просто вернуться к предыдущему состоянию системы (называемому моментальным снимком). А поскольку виртуальная машина-это всего лишь часть программного обеспечения, ее можно перемещать с места на место или отправлять в Региональную лабораторию компьютерной криминалистики (RCFL) или поставщику, специализирующемуся на судебной экспертизе.
В целом, виртуальная машина может предоставить вам доступ к иным неуловимым доказательствам и может помочь вам представить его в суде нетехническим образом.
Начало: