جرم‌یابی دیجیتال چیست؟

جرم‌یابی دیجیتال، شاخه‌ای از علم جرم‌یابی است که که اختصاصا روی بازیابی و تحقیق و بررسی دستگاه های رایانه‌ای تمرکز دارد.

با افزایش اعتماد عموم جامعه به سیستم‌های رایانه‌ای و رایانش ابری، جرم‌یابی دیجیتال یا Digital Forensics یکی از جنبه‌های مهم کسب و کارها و آژانس‌های تجاری محسوب می‌شود. جرم‌یابی دیجیتال در واقع شناسایی، حفظ، بررسی و تجزیه و تحلیل شواهد دیجیتالی است که با استفاده از فرآیندهای معتبر و علمی، برای استفاده در دادگاه‌ها و خارج از آن مورد استفاده قرار می‌گیرد.

موضوعاتی که ما در این مقاله آن‌ها بررسی می‌کنیم:

1. هدف از جرم‌یابی؟!
2. فرآیندهای تحقیق و بررسی جرم‌یابی دیجیتال چیست؟
3. نگاهی به تاریخچه جرم‌یابی دیجیتال
4. بررسی چند ابزار کاربردی در جرم‌یابی دیجیتال
5. جرم‌یابی رایانه چیست؟
6. جرم‌یابی شبکه
7. جرم‌یابی پایگاه داده
8. "سایبرنو" و افزایش امنیت سایبری شما!

هدف از جرم‌یابی؟!

رایج ترین کاربرد جرم‌یابی دیجیتال، پشتیبانی یا رد فرضیه در دادگاه‌های کیفری و مدنی است. در واقع به بیانی راحت‌تر، دستگاه‌های دیجیتالی مربوط به یک حادثه امنیتی، مورد بررسی و تحقیق قرار می‌گیرند و پس از دریافت اطلاعات و تجزیه و تحلیل آن‌ها، می‌تواند به عنوان پشتیبانی یا رد مفروضات علیه شخص، اشخاص و یا حتی دولت‌ها مورد استفاده قرار گیرند.

کارشناسان جرم‌یابی، به عنوان بخشی از تیم‌های امنیت سایبری و امنیت اطلاعات در بخش خصوصی و دولتی استخدام می‌شوند تا علت نقض داده‌ها، نشت داده‌ها، حملات سایبری و سایر تهدیدات سایبری را شناسایی کنند.

فرآیندهای تحقیق و بررسی جرم‌یابی دیجیتال چیست؟

تعدادی مدل فرآیند برای جرم‌یابی دیجیتال وجود دارد که نحوه تجمیع، پردازش و تجزیه و تحلیل داده‌ها را توسط کارشناسان جرم‌یابی مشخص می‌کند. فرآیند تحقیقات جرم‌یابی معمولا چهار مرحله دارند که عبارتند از:

1. ضبط دستگاه‌های دیجیتالی: قبل از بررسی دستگاه‌های دیجیتالی، آن‌ها توسط پرسنل‌های اجرای قانون، در پرونده‌های قانونی ضبط می‌گردند.
2. نسخه پشتیبان: بعد از فرآیند ضبط دستگاه‌های دیجیتالی، یک نسخه کپی از داده‌ها ایجاد می‌شود.
3. تجزیه و تحلیل: پس از مرحله بالا، حال نوبت به تجزیه و تحلیل و بررسی فایل ها به منظور تائید یا رد فرضیه های موجود می‌رسد. در این مرحله معمولا تحلیلگر جرم‌یابی تعدای روش (و ابزار) به منظور بازیابی شواهد را مورد استفاده قرار می‌دهد که اغلب با بازیابی اطلاعات حذف شده آغاز می‌شود! نوع داده‌های مورد تجزیه و تحلیل متفاوت است اما به طور کلی شامل پست الکترونیکی، گزارش‌های گفتگو، تصاویر، تاریخچه اینترنت و مستندات خواهد بود. این نکته هم مشهود است که داده‌ها را می‌شود از فضای قابل دسترس دیسک، فضای پاک شده یا از حافظه نهان (cache) سیستم عامل بازیابی کرد.
4. گزارش دادن: پس از پایان تحقیقات، اطلاعات بدست آمده، در یک گزارشی جمع بندی می‌شود که برای افراد غیرفنی هم قابل استفاده باشد. این گزارش ممکن است شامل اطلاعات ممیزی و سایر مستندات باشد.

نگاهی به تاریخچه جرم‌یابی دیجیتال

پیش از دهه 1970 با جرایم رایانه‌ای، با قوانین موجود برخورد می‌شد. اولین جرایم سایبری در قانون جرایم رایانه‌ای فلوریدا، در سال 1978 به رسمیت شناخته شد. قانون جرایم رایانه‌ای سال 1978 فلوریدا شامل قوانینی علیه اصلاح (ویرایش) یا حذف غیرمجاز داده‌ها بود. با افزایش دامنه جرایم رایانه‌ای، قوانین ایالتی برای رسیدگی به حق کپی رایت، حریم خصوصی، تصویب شد.

در دهه 1980، قوانین فدرال شامل جرایم رایانه‌ای شدند. کانادا، اولین کشوری بود که در سال 1983 این قانون را تصویب کرد، ایالات متحده در سال 1986، استرالیا در 1989 و انگلیس در 1990 به دنبال کانادا، این قانون را به رسمیت شناختند.

بررسی چند ابزار کاربردی در جرم‌یابی دیجیتال

در دهه 1980، تعداد محدودی از ابزارهای جرم‌یابی دیجیتال وجود داشت که محققان با ابزارهای sysadmin موجود، اقدام به تجزیه و تحلیل Live و استخراج شواهد می‌کردند. از جمله ریسک‌هایی که در آن زمان وجود داشت این بود که خطای تغییر داده‌ها روی دیسک، منجر به ادعای دستکاری در شواهد می‌شد!

نیاز به نرم‌افزاری برای رفع این مشکل، اولین بار در سال 1989 در مرکز آموزش اجرای قانون فدرال شناخته شد و منجر به ایجاد IMDUMP و SafeBack شد. DIBS، یک راه حل سخت‌افزاری و نرم‌افزاری بود که در سال 1991 به صورت تجاری منتشر شد. این ابزارها یک کپی دقیق از یک قطعه رسانه دیجیتال ایجاد می‌کنند تا روی آن کار شود در حالی که دیسک اصلی را برای تايید، دست نخورده باقی می‌گذارند.

در پایان دهه 1990، تقاضای شواهد دیجیتالی منجر به توسعه ابزار های پیشرفته‌تری مانند EnCase و FTK بود که به تحلیلگران اجازه می‌داد نسخه های کپی از رسانه‌های دیجیتالی را بصورت Live بررسی کنند.

امروزه سیستم عامل‌های تجاری با عملکردهای مختلف و قابلیت‌های گزارشگیری مانند EnCase یا CAINE، یک توزیع لینوکس هستند که اختصاصا به منظور جرم‌یابی دیجیتال طراحی و توسعه داده شدند.

به طور کلی ابزارها را می‌تواند به 9 دسته زیر تقسیم کرد:

1. دیسک و ابزار ضبط اطلاعات
2. File viewers
3. ابزارهای تجزیه و تحلیل رجیستری
4. ابزار تجزیه و تحلیل اینترنت
5. ابزار تجزیه و تحلیل ایمیل
6. ابزار تجزیه تحلیل دستگاه های تلفن همراه
7. ابزار تجزیه و تحلیل سیستم عامل Mac
8. ابزار جرم‌یابی شبکه
9. ابزار جرم‌یابی پایگاه داده

جرم‌یابی رایانه چیست؟

جرم‌یابی رایانه یا علوم جرم‌یابی رایانه، شاخه از جرم‌یابی دیجیتال است که به پیدا کردن شواهد در رایانه و رسانه‌های ذخیره‌سازی دیجیتال می‌پردازد. هدف از جرم‌یابی دیجیتال، بررسی داده‌های دیجیتالی با هدف شناسی، حفظ، بازیابی، تجزیه و تحلیل و ارائه factهایی در مورد اطلاعات دیجیتال می‌باشد.

این حوزه، تکنیک‌ها و اصولی مشابه بازیابی اطلاعات را دارد که با یک سری دستورالعمل‌ها و روش‌های اضافی به منظور ایجاد یک دنباله حسابرسی قانونی طراحی شده است.

جرم‌یابی شبکه

جرم‌یابی شبکه، شاخه ای از جرم‌یابی دیجیتال است که روی مانیتور(کنترل) و تجزیه و تحلیل ترافیک شبکه‌های رایانه‌ای برای جمع آوری اطلاعات، شواهد قانونی و تشخیص نفوذ مورد استفاده قرار می‌گیرد.

برخلاف سایر شاخه‌های جرم‌یابی دیجیتال، داده‌های شبکه، فرار و پویا هستند. یعنی به عبارتی ساده‌تر، پس از انتقال، از بین می روند، از همین‌رو، جرم‌یابی شبکه اغلب، یک تحقیق پیشگیرانه است.

جرم‌یابی پایگاه داده

جرم‌یابی پایگاه داده شاخه از جرم‌یابی دیجیتال است که مربوط به پایگاه داده‌ها و متا داده‌ها می‌باشد. اطلاعات کش شده، ممکن است در RAM سرور وجود داشته باشد که به تکنیک‌های تحلیل live نیاز دارد.

جرم‌یابی پایگاه داده می‌تواند مربوط به یک برچسب زمانی که برای زمان بروز رسانی یک ردیف از یک پایگاه داده رابطه‌ای باشد که اقدامات انجام شده توسط کاربر پایگاه داده، مورد بررسی و اعتبار قرار می‌گیرد. متناوباً، ممکن است معطوف به شناسایی تراکنش‌های انجام شده در پایگاه داده و یا برنامه‌ای باشد که شواهدی از تخلف، مانند کلاهبرداری را نشان دهد.

"سایبرنو" و افزایش امنیت سایبری شما!

شرکت مهندسی امن ویرا با برند "سایبرنو" با تکیه بر سابقه حرفه‌ای خود در حوزه امنیت نرم‌افزار، با توسعه ابزارهایی شبیه به درایو امن سایبرنو، پلتفرمی جامع را به منظور انجام عمل Forensics یا همان جرم‌یابی را تهیه کرده و در اختیار کارشناسان این حوزه قرار می‌دهد. برای کسب اطلاعات بیشتر، با کارشناسان ما تماس حاصل نمائید.