Вот как расследуется киберпреступность: CSI цифровой преступности
Когда совершается цифровое преступление, отследить ключи к преступнику - непростая задача. Необходимо вмешательство компьютерных экспертов, которые являются теми, кто проводит расследование. CSI цифровых преступлений специализируются на том, чтобы следовать по пути, который оставляют на пути все незаконные компьютерные манипуляции.
Этот след основан на принципе Locard Exchange, согласно которому все цифровые контакты оставляют след. От простого разговора в WhatsApp до случая киберзапугивания или корпоративного взлома, все оставляет в компьютерных сетях след, за которым может следовать эксперт, чтобы идентифицировать преступника или киберпреступника и ущерб, который произошел в системе пользователя.
Эта задача мониторинга и исследований является сложной и также требует стратегии. Карлос Алдама, компьютерный инженер в Aldama Informática Legal, объясняет, что «иногда необходимо« позволить »злоумышленнику продолжать совершать преступления, чтобы собрать больше данных. горшочки с медом (горшки с медом), которыми злоумышленник «отвлекается», думая, что он нападает на цель и позволяет нам собирать их данные ».
8 шагов для расследования цифровых преступлений
В процессе расследования цифровых преступлений компьютерные эксперты обычно выполняют следующие шаги:
1. Выявление преступления: Это позволяет узнать среду, в которой совершается цифровая преступность, для создания стратегии и последующих шагов. Манипулирование WhatsApp или любой другой социальной сетью для включения фраз или разговоров - это не то же самое, что промышленный шпионаж или взлом сервера компании, хотя все эти формы являются преступлением.
2. Уменьшить место преступления: чем больше сценарий исследования, тем менее эффективным он будет. Разграничив область, эксперты могут лучше идентифицировать доказательства следа, чтобы найти киберпреступника.
3. Сохраните доказательства: Очень важно собрать всю необходимую информацию через устройство, с которого было совершено преступление, чтобы показать последствия. Для этого компьютерные специалисты используют разные средства. Список технологий длинный, мы выделяем:
- Судебное клонирование для сбора и клонирования жестких дисков
- Писать блокировщики, чтобы не модифицировать анализируемые диски
- Мобильные устройства судебной экспертизы
- клетки Фарадея, чтобы избежать удаленного доступа и удаления данных
4. Хранение доказательств: добиться и гарантировать «не манипулирование данными». эффективное содержание под стражей осуществляется перед нотариусом или с помощью действий со свидетелями, в которых рассчитываются доказательства хэш. Это также требует большой тщательности при регистрации, маркировке и переводе в безопасное место. Все тесты должны поддерживать свой цифровой формат, чтобы их можно было проверять и проверять.
Важность этого шага имеет основополагающее значение, поскольку, как заявляет Aldama, «если это не будет сделано правильно, с нами может произойти многое: например, если у исследуемого нами сотового телефона имеется программное обеспечение для дистанционного управления, и мы удаляем тест или что данные попадают в руки третьей стороны, которая может манипулировать ими, когда это возможно, сбор доказательств должен быть сертифицирован техническим способом с указанием отметки времени, которая позволяет гарантировать все действия ».
5. Проанализируйте доказательства: реконструкция преступления должна быть проведена, анализируя данные, чтобы ответить на вопросы расследования. Обычно на клонированных машинах проводят необходимые криминалистические тесты, исследуя все удаленные данные и тщательно исследуя каждое доказательство в соответствии с объектом информатики.
Когда происходит кража, извлечение данных сначала выполняется через внешние устройства, по сети или через Интернет. Во-вторых, авторство утечки данных анализируется, всегда выявляя, где это возможно, конечную ответственность за пункт назначения, а затем проверяя навигацию, осуществляемую с помощью «слепых» поисков, которые в результате положительных терминов (целей поиска) и отрицательных (слова, которые могут поставить под угрозу общение, неприкосновенность частной жизни ...), могут привести нас непосредственно к цели расследования.
6. Документация и результаты: Очень важно документировать все исследования в отчете и делать это хорошо, потому что в противном случае они недействительны. Эти отчеты должны быть понятны неспециалистам. Процесс расследования совершенного цифрового преступления должен собираться шаг за шагом, чтобы противная сторона могла прийти к тем же выводам, следуя тем же шагам.
7. Ратификация в суде и защита протокола: В судебном процессе компьютерные эксперты должны представить всю информацию, собранную в ходе расследования. Экспозиция его исследовательской работы должна быть понятна неспециалистам в данной области. Это основано на эффективности в судебном процессе.
Марисоль Нуэво Эспин
совет: Карлос Алдама, Компьютерный инженер Aldama Computer Legal
