بازپرسی جرایم سایبری: توقیف اطلاعات دیجیتال

ره‌یافت‌های این فصل:

• تعریف مدرک دیجیتال
• روش‌‌شناسی توقیف مدرک دیجیتال
• عوامل محدودکننده‌یِ توقیف کامل سخت‌افزار
• دیگر گزینه‌ها برای توقیف مدرک دیجیتال
• رشته‌نخ‌های مشترک در توقیف مدرک دیجیتال
• تعیین مناسب‌ترین روش توقیف

•  خلاصه
•  مرور فشرده‌ی ره‌یافت‌ها
•  پرسش‌های متداول

مقدمه

اغلب افراد در امریکا از رایانه‌ها و افزاره‌های دیجیتال برای کاربردهای تجاری و شخصی بی‌شماری استفاده می‌کنند. به دلیل مقبولیت گسترده‌ی رایانه‌ها در زندگی روزانه‌ی ما، این برداشت، منطقی به‌نظر می‌رسد که افراد از رایانه برای ارتکاب جرایم استفاده کنند،  جوانب جرایم را در رایانه ثبت‌وضبط کنند، و از رایانه‌ها برای ذخیره‌سازی ثمرات جرایم یا محموله‌های قاچاق خود بهره برند.

هر کدام از رایانه‌هایی که درگیر چنین وضعیت‌هایی باشند، احتمالاً حاویِ بیش از صدها هزار جزء اطلاعاتی خواهند بود که در قالب دیجیتال ذخیره شده‌اند، از جمله در قالب فایل‌های سیستم عامل، فایل‌های برنامه‌ای، اسناد کاربر، و پاره‌فایل‌ها در فضای آزاد درایو. در حالی که چالشِ پیشِ رویِ بازرس آزمایشگاه، یافتن اشیاء داده‌ای موجود در سخت‌درایو یا دیگر رسانه‌ها است، چالش بزرگ‌تری پیش رویِ بازپرسان و پاسخگویانِ سرِصحنه قرار دارد: چگونه می‌توان اطلاعات را از صحنه جمع‌آوری نمود و به مکانی آورد تا بتوان آن‌ها را بازرسی نمود؟ آیا لازم است تمام سخت‌افزار موجود در صحنه را به‌عنوان مدرک توقیف نمود، یا کپی دقیق اطلاعات اهداف بازپرسی را برآورده می‌سازد؟ آیا گزینه‌های دیگری برای توقیف وجود دارد که بتوان آن‌ها را مدنظر قرار داد؟

نکات پنهان…

اشیاء داده‌ای

در سراسر این فصل، اصطلاح «شیء داده‌ای» به‌طور مکرر به‌هنگام بحث در باره‌ی اطلاعات یافت‌شده در افزاره‌ی ذخیره‌سازی یا بخشی از رسانه‌ی ذخیره‌سازی به‌کار خواهد رفت (SWGDA، ۲۰۰۰). اطلاعات دیجیتال موجود در بخشی از یک رسانه چیزی نیست جز رشته‌ای طولانی از ۱ها و ۰ها که روی رسانه‌ای مغناطیسی، حالت جامد، یا نوری ثبت شده‌اند. سخت‌درایوها و نرم‌دیسک‌ها نمونه‌هایی از رسانه‌ی مغناطیسی هستند؛ شست‌درایوهای USB و کارت‌های حافظه‌ی فلش نمونه‌هایی از رسانه‌ی حالت جامد هستند؛ و سی‌دی‌ها و دی‌وی‌دی‌ها انواعی از رسانه‌ی نوری هستند. هر کدام از افزاره‌های دیجیتال، از جمله رایانه‌ها، تلفن‌همراه‌ها، و آی‌پادها، سیستم عامل و برنامه‌هایی دارند که ۱ها و ۰ها را به ترتیب ویژه‌ای می‌چینند تا تصاویر، اسناد، صفحه‌های گسترده، موسیقی، و الخ را ایجاد نمایند. با توجه به اهداف بحث ما، هر کدام از این چینش‌های گسسته‌ی اطلاعات که به‌لحاظ منطقی به شکلی معنادار سامان یافته‌اند، یک شیء داده‌ای نامیده می‌شود. این‌که به جای اصطلاح پرکاربردتری مانند «فایل» از اصطلاح «شیء داده‌ای» استفاده می‌کنیم، مبتنی بر این بوده است که تمام اطلاعات دیجیتال سازمان‌یافته به شکل فایل نیستند. اطلاعات پیوست‌شده به فایل مانند سرعنوانِ فایل و فراداده، به‌لحاظ فنی فایل‌هایی مجزا نیستند، اما می‌توانند به‌عنوان اشیاء داده‌ای مجزایی از فایل بیرون کشیده شوند. از دیگر انواع اطلاعاتی که در رسانه‌ی ذخیره‌سازی موجود هستند اما فایل نیستند، پاره‌فایل‌هایی هستند که در اثر جای‌نویسی و نِویسِش دائمیِ اطلاعات باقی مانده‌اند و دلیل آن، حذف فایل‌های کنونی و ایجاد فایل‌های جدید است. برای مثال، زمانی که فایل جدیدی در همان فضای یک فایل قدیمی- معروف به فضای شناور فایل- جای‌نویسی می‌شود، ممکن است حجم معینی از آن فایل قدیمی همچنان به‌صورت پنهان باقی بماند. هم‌چنین از دیگر انواع پاره‌اطلاعات می‌توان به فایل‌ها و فرمان‌هایی اشاره کرد که به‌طور موقت در فایل پایاپای یا درون خود RAM ذخیره می‌گردند. به این دلایل، معتقدم که مناسب‌تر است که این اجزاء اطلاعاتی سازمان‌یافته را «اشیاء داده‌ای» بنامیم.

آن‌چه از مفهوم مدرک، مدنظر ماست، تأثیر بسیار زیادی بر نحوه‌ی نگرش ما به صحنه‌ی جرم الکترونیکی دارد. مدل کنونیِ توقیف مدرک دیجیتال بر روی سخت‌افزار فیزیکی متمرکز است، که در اغلب موقعیت‌ها مناسب است. اما، هر چه بیش‌تر پیش می‌رویم، عواملی مانند حجم رسانه و رمزبندی تمام‌دیسک محدودیت‌هایی برای ما ایجاد خواهند کرد که نخواهیم توانست تمام سخت‌افزارِ سرِصحنه را توقیف کنیم تا بعداً در آزمایشگاه قانونی آنالیز نماییم. در کنار توقیف کامل سخت‌افزار، گزینه‌های دیگری مانند بازیابی RAM، تصویربرداری سرِصحنه‌ی سخت‌درایوها، و تصویربرداری فایل‌های گزینشی باید تبدیل به بخشی از جعبه‌ابزار ابتدایی پاسخگویانِ سرِصحنه شوند.

اما مقبولیت گزینه‌های دیگر برای توقیف مدرک دیجیتال، اتفاقی نیست که خودبه‌خود رخ دهد. چارچوب قانونی، گردش‌کارهای ایجادشده از روی بِه‌رویّه‌های کنونی قانون رایانه‌ای، و ترس از ناشناخته‌ها همگی نقش مهمی در این زمینه دارند که چه مدت زمانی طول می‌کشد تا روش‌شناسی‌های توقیف مدرک دیجیتال، بتوانند در کنار توقیف کامل سخت‌افزار، خود را با گزینه‌های دیگر نیز وفق دهند. جامعه‌ی افرادی که پاسخگویی، بازپرسی، و دادستانی جرایمی را انجام می‌دهند که آن جرایم دارای جزئی با مدرک دیجیتال هستند، جامعه‌ای بسیار متنوع با چارچوب‌های مرجع متفاوت و درک فنی متفاوت است. اگر یک گروه، یک‌جانبه تصمیم بگیرد که تغییری در رویّه‌ها یا خط‌مشی ایجاد کند، در سرتاسر سیستم، اثرِ شکن ایجاد می‌شود- که همین امر، موجب اهمیتِ «پل زدن میان شکاف‌ها» به‌عنوان بخشی از مراحل ملاحظه و اجرای هر نوع تغییرِ ناشی از پیشرفت فن‌آوری است. به‌عنوان نویسنده و عضوی از جامعه‌ی بزرگِ جرمِ با جزء سایبری، امیدوارم این کار موجب ایجاد گفت‌وگو و تعامل میان جوامع مجزا-از-هم در مورد تناسب روش‌های شناخته‌شده و نوآورانه برای توقیف مدرک دیجیتال گردد.

با توجه به این اهداف، صفحه‌های زیر را به‌گونه‌ای سامان داده‌ام که خواننده را هم با برخی از مباحث مرتبط با روش‌های کنونی توقیف دیجیتال و هم با گزینه‌های نوآورانه‌یِ قابل‌دسترس برای پاسخگویان سرِصحنه آشنا سازند. ابتدا، برخی از چارچوب‌های قانونیِ حول‌وحوشِ مدرک را بررسی خواهیم کرد، سپس نحوه‌ی تکامل روش‌شناسی کنونی توقیف مدرک دیجیتال را مدنظر قرار خواهیم داد، و پس از آن، بر هر یک از مراحل توقیف به‌طور جداگانه، نگاهی گذرا خواهیم داشت. قصد ما در این‌جا این نیست که راهنمایی گام‌به‌گام برای توقیف مدرک دیجیتال ارائه دهیم، اما بسیاری از بِه‌رویّه‌های کنونی بررسی می‌شوند، و برخی از دام‌چاله‌های رایج مورد بحث قرار می‌گیرند. در ادامه‌ی بحثِ روش کنونی توقیف، برخی از دلایلی را مطرح خواهیم کرد که روشن شود چرا توقیف کامل سخت‌افزارِ موجود در صحنه در آینده مشکل‌ساز خواهد شد. در نهایت، برخی از گزینه‎هایی را مطرح خواهیم کرد که برای توقیف اطلاعات در دسترس هستند، از جمله پیش‌دیدِ سرِصحنه‌ی اطلاعات، توقیف داده‌های موجود در RAMِ رایانه، تصویربرداری سرِصحنه‌ی کل سخت‌درایوها، و تصویربرداری سرِصحنه‌ی اشیاء داده‌ای ویژه.

اخطار

در بخش‌های پیش رو، اصولاً در باره‌ی آیین دادرسی جزایی بحث خواهیم کرد، چرا که امیدوارم آیین دادرسی مدنی از همان اصولی تبعیت کند که برای جنبه‌ی جزایی بیان شده است. بسیاری از آیین‌های دادرسی مدنی اغلب تبدیل به وقایع جزایی می‌شوند، و برعکس، بنابراین احتمالاً عاقلانه این است که با هر موردی آن‌گونه برخورد کنیم که گویی برای دادگاه جزایی آماده شده است. علاوه بر این، اغلب تلاش من صرفِ پل زدن میان جامعه‌ی فنی و جامعه‌ی اجرای قانون شده است- و این فصل از این زاویه‌ی دید نوشته شده است.

به‌وضوح، ممکن است که مجرمان واقعاً رایانه یا افزاره‌ی دیگری را مسقیماً به سرقت ببرند- اما تأکید این فصل بر سرقت فیزیکی سخت‌افزار نیست. در عوض، قصد ما این است که ببینیم اطلاعاتِ درون وسیله‌ی ذخیره‌سازی چگونه می‌توانند به‌عنوان مدرک به‌کار روند.

منظور من در این‌جا، هنگام بحث درباره‌ی اطلاعات دیجیتال، اصطلاحاً رایانه‌ها و سخت‌درایوها است. من کاملاً از این موضوع آگاهم که انواع فراوانی از افزاره‌ها و رسانه‌ها حاویِ داده هستند، اما اشاره به تک‌تک اقلام یا مشخص کردن هر وضعیت به‌طور مجزا اغلب کار بسیار طاقت‌فرسایی است.

در این فصل، تأکید ویژه‌ای روی توقیف مدرک دیجیتال است که آن مدرک مرتبط با اتفاقی ایستا است، به‌عنوان مثال، دریافت ایمیل‌های پی‌درپی و آزاردهنده یا توقیف رایانه‌ای که حاوی بچه‌نگاری است. آنالیز و بحثی پیرامونِ بازیابی اطلاعات و مدرک از اتفاقی پویاتر، مانند حملات ردِّ خدمت یا نفوذ به شبکه، در فصل ۵ آمده است. اگرچه بیش‌تر مباحثی که در بخش‌های زیر مطرح خواهد شد، باز هم به قانون شبکه برمی‌گردد، لطفاً توجه داشته باشید که من عمداً نکاتی را که در ارتباط با آن است، به حداقل ممکن خواهم رساند.

در آخر این‌که، من وکیل نیستم، و نقش چنین کسی را هم در تلویزیون بازی نمی‌کنم. هدف از این فصل این است که به بازپرسان، دادستانان، و پرسنل بخش خصوصی، گزینه‌ها و مباحثی در ارتباط با جمع‌آوری مدرک دیجیتال ارائه دهد. هر نوع نتیجه‌گیری یا توصیه‌ای در این فصل که ممکن است شبیه به مشاوره‌ی قانونی باشد، باید با یک مشاور قانونی در میان گذاشته شود. همیشه با حوزه‌ی قضایی محلی، دادستان محلی، و آزمایشگاه قانونی محلی خود در باره‌ی روش‌هایی که در جمع‌آوری مدرک دیجیتال برای آن‌ها ترجیح دارد، مشورت نمایید.

تعریف مدرک دیجیتال

فرهنگ‌نامه‌ی قانون بِلَک- مرجع تعاریف حقوقی- چندین تعریف برای مدرک ارائه می‌دهد (نولان، ۱۹۹۰). یکی از این تعاریف چنین است: «گواهی، دست‌نوشته‌ها، یا اشیایی مادی که برای اثبات گزاره یا بوده‌ی ادعا‌شده‌ای ارائه می‌شود.» باید بگویم که برای داشتنِ تعریف قانونی سرراست و موجز باید مدام آن را بازسازی کرد؛ به‌طور کلی، من سرراست و موجز را با چیز…خوب…قانونی، یکسان فرض نمی‌کنم. این تعریف، نقطه‌ی شروع خوبی برای بحث ما در اختیار می‌گذارد که می‌توان فهمید سیستم دادگستری جزایی ما چه دیدگاهی نسبت به اطلاعات دیجیتال دارد.

در صورتی که تعریف بلک از مدرک را در باره‌ی مدرک دیجیتال به‌کار بندیم، از دو دیدگاه می‌توان به آن نگریست. دیدگاه اول این‌که، ما می‌توانیم خودِ رایانه را به‌عنوان مدرک بررسی کنیم. واضح است که این مورد، زمانی است که رایانه وسیله‌ی جرم واقعی است، مثلاً زمانی که قسمت‌های فیزیکی رایانه برای ارتکاب جرم به‌کار گرفته می‌شوند- برای مثال، من با صفحه‌کلید به سر شما ضربه می‌زنم. اغلب بازپرسان اجرای قانون و دادستانان، حتی در مواردی که اطلاعات موجود در رایانه مرتبط به جرم مفروض است، باز به‌اصطلاح خودِ رایانه را به‌عنوان مدرک می‌خوانند. همچنآن‌که یک بازپرس به من می‌گفت: «هر چیزی که در صحنه‌ی جرم توقیف می‌گردد، مدرک است تا زمانی که کسی به من بگوید نیست.» به این معنی، زمانی که خودِ رایانه در صحنه‌ی جرم یا از طریق حکم قانونی توقیف می‌گردد، از سوی بسیاری از افراد به‌عنوان مدرک درنظر گرفته می‌شود.

بسیاری از افراد بر این اساس که خودِ رایانه به‌عنوان مدرک است، معتقدند برای مشاهده‌ی محتویاتِ اطلاعات موجود در رایانه باید از همان رایانه‌ی اصلی استفاده کرد. به بیان دیگر، ممکن است رایانه‌ی اصلی- چنآن‌که قاعده‌ی برترین مدرک، الزام به ارائه‌ی «اصل» در صورت امکان دارد- اثری داشته باشد روی این‌که اطلاعات موجود در رایانه، در واقع، چگونه توسط متهم مشاهده شده است. این امر، نقطه‌نظر درستی است چرا که بسیاری از بسته‌های نرم‌افزاری قانونی، دقیقاً همان چیزی را نشان نمی‌دهند که ممکن است متهم دیده باشد. بسیاری از برنامه‌های مختلف ممکن است فایل، تصویر، فیلم، یا ایمیل معینی را به شکل ویژه‌ای نشان دهند. برنامه‌های آنالیز قانون رایانه‌ای اغلب از نمایشگری عام استفاده می‌کنند که توانایی نمایش قالب‌های مختلف بسیاری را دارد. برای مثال، FTK متعلق به Access Data قالبی عام دارد که در آن، تمام ایمیل‌ها، صرف‌نظر از برنامه‌ای که با آن ایجاد شده‌اند، قابل‌نمایش است. این قالب عام، کلّ همان اطلاعاتی را که می‌توان در ایمیل اصلی دید، ارائه می‌دهد، اما واضح است که در قالبی نشان داده می‌شود که متفاوت است از آن‌چه ممکن است متهم دیده باشد. ایمیلی که از طریق برنامه‌ی ایمیل AOL مشاهده می‌شود، شامل تمام بَرنماها، تبلیغات، و قالب‌بندی‌هایی است که ظاهر یا «تجربه‌ی کاربری» AOL را تشکیل می‌دهند. خود ایمیل، حاویِ تعدادی کادر استاندارد، مانند عنوان ایمیل و بدنه‌ی پیام، است. برنامه‌ی AOL این کادرها را در «بسته‌بندی» ویژه‌ای انجام می‌دهد. اما، همان ایمیل مشاهده‌شده در FTK، هرچندکه حاوی همان محتوا است، فاقد بسته‌بندی AOL خواهد بود. در دادگاه، ممکن است از بازرس پرسیده شود که: «آیا این دقیقاً همان چیزی است که متهم دیده است؟» و پاسخ واضحِ آن این است که: «نخیر- اما…» و همه چیز به همین «اما…» برمی‌گردد که ممکن است دادگاه اظهار کند که مدرک مربوطه- کلّ رایانه و اطلاعات به‌عنوان بسته‌ای یک‌پارچه- به دادگاه آورده شود.

دیدگاه دومی که از آن منظر می‌توان به تعریف بلک نگریست، این است که اطلاعات یا اشیاء داده‌ای که در وسیله‌ی ذخیره‌سازی دیجیتال قرار دارند، «گواهی، دست‌نوشته‌ها، یا اشیایی مادی» هستند که برای اثبات بوده‌ی ادعا‌شده‌ای ارائه می‌شوند. از این نقطه‌نظر، رایانه چیزی نیست جز افزاره‌ای که برای دسترسی به اطلاعات به‌کار می‌رود، و اجزای رایانه که اطلاعات دیجیتال را ذخیره می‌کنند، چیزی نیستند جز محفظه‌هایی فیزیکی که اطلاعات را در خود جا داده‌اند- چیزی شبیه به قفسه یا کیفِ فایل. استدلال‌های زیادی برای این موضوع وجود دارد که تنها باید اطلاعات موردنظر به‌عنوان مدرک توقیف گردند. تغییر نگرش از سخت‌افزار-به‌عنوانِ-مدرک به اطلاعات-به‌عنوانِ- مدرک پی‌آمدهای بسیار گسترده‌ای دارد.

اگر ما به‌واقع این نظر را داریم که  تفاوتی بین اشیاء داده‌ای و محفظه‌ی فیزیکی وجود دارد، باید چارچوبی قانونی را که در آن چارچوب عمل می‌کنیم و اطلاعات را توقیف می‌کنیم، مورد بررسی قرار دهیم تا مشخص سازیم که آیا توقیف سخت‌افزار فیزیکی یا اطلاعات یا هر دو مجاز است یا نه. قاعده‌ی ۴۱ از قواعد فدرال آیین دادرسی جزایی (FRCP)، تحت عنوان «تفتیش و توقیف» تعریفی برای دارایی ارائه می‌دهد، به این ترتیب که «”دارایی” شامل اسناد، کتاب‌ها، مقالات، هر نوع شیء ملموس دیگر، و اطلاعات است» (FRCP، قاعده‌ی ۴۱(a)(2)(A)). تمایل و گرایش اول ما در این تعریف نهفته است، و در واقع، نظام قانونی هر دویِ محفظه‌های ذخیره‌سازی و اطلاعات را به‌عنوان دارایی می‌شناسد. کمی که در مباحث مربوط به توقیف در ERCP پیش می‌رویم، می‌بینیم که افراد یا دارایی‌ها هر دو در معرض تفتیش یا توقیف قرار دارند و این‌که ممکن است برای هر کدام از موارد زیر حکم تفتیش صادر شود: (۱) مدرک یک جرم؛ (۲) کالای قاچاق، ثمرات جرم، یا اقلام دیگری که به‌طور غیرقانونی تصرف شده‌اند؛ (۳) دارایی‌‌ای که برای ارتکاب جرم استفاده شده، یا به قصد استفاده برای آن کار طراحی، یا درنظر گرفته شده است؛ یا (۴) فردی که باید دستگیر گردد، یا فردی که به‌طور غیرقانونی توقیف می‌گردد (FRCP، قاعده‌ی ۴۱[c]).

نکته

 برخی از اسناد قانونی در مباحث آینده کارساز خواهند بود. قواعد فدرال مدرک (FRE) روندی را بیان می‌کند که طی آن می‌توان مدرک را در دادگاه فدرال ارائه کرد. قواعد فدرال آیین دادرسی جزایی (FRCP)، دستورالعملی برای وارد کردنِ یک متهم به فرآیندِ بازداشت و محاکمه ارائه می‌دهد. بخش جرم رایانه‌ای و مالکیت فکری در قسمت جزاییِ وزارت دادگستری ایالات متحده، سندی با عنوان تفتیش و توقیف رایانه‌ها و کسب مدرک الکترونیکی در بازپرسی‌های جزایی (کتاب‌راهنما) منتشر می‌کند. این کتاب‌راهنما مروری جامع بر تعدادی از موضوعاتِ مرتبط با نحوه‌ی کار با مدرک دیجیتال دارد- به‌ویژه آن‌هایی که مرتبط با قانون موضوعه‌ی فدرال  است. واضح است که میزان اطلاعات موجود در FRE، FRCP، و این کتاب‌راهنما بسیار فراتر از محدوده‌ی این فصل است، اما من به هر کسی که علاقمند به این حوزه است، توصیه می‌کنم آشنایی لازم را با این اسناد پیدا کند. آن‌چه در مباحث زیر حضور ندارد، صحبت از قانون ایالتی است. اگرچه بسیاری از ایالات همچنان این اختیار را به دادگاه‌های خود خواهند داد که «حرف آخر» را در امور دادرسی یا مدلّل بزنند، بسیاری از ایالات قواعدی مشابهِ FRE و FRCP اتخاذ کرده‌اند.

نکته‌ی جالب در مورد بحث کنونی ما این است که دارایی شامل اطلاعات نیز می‌گردد، و دیگر این‌که تفتیش و توقیف از دارایی‌ای که مدرک جرم است، با وجود حکم تفتیش، مجاز است. نتیجه‌ی منطقی این بحث این است که می‌توان برای اطلاعاتی که مدرک جرم است، حکم تفتیش صادر کرد- اما آیا دادگاه‌ها استفاده از فایل‌های معین یا اشیاء داده‌ای را به‌عنوان مدرک می‌دانند، یا این‌که تأکید اصلی باید روی افزاره‌های ذخیره‌سازی فیزیکی باشد؟ ما در این‌جا از سندی با عنوان تفتیش و توقیف رایانه‌ها و کسب مدرک الکترونیکی در بازپرسی‌های جزایی (کتاب‌راهنما)، مشاوره می‌گیریم که متعلق به بخش جرم رایانه‌ای و مالکیت فکری در وزارت دادگستری ایالات متحده است:

مهم‌ترین تصمیمی که مأموران باید به‌هنگامِ تشریحِ دارایی در حکم تفتیش بگیرند، این است که آیا داراییِ قابل‌توقیف بر اساس قاعده‌ی ۴۱ خودِ سخت‌افزار رایانه است، یا فقط اطلاعاتی که درون سخت‌افزار قرار دارد (ص. ۶۱)… اگر انگیزه‌ی احتمالی، به‌طور کلی یا به‌طور جزئی مرتبط با اطلاعات ذخیره‌شده در رایانه است، در حکم تفتیش باید تأکید اصلی، به جای آن‌که روی افزاره‌های ذخیره‌سازی‌ای باشد که تصادفاً حاوی آن اطلاعات بوده‌اند، باید روی محتوای فایل‌های مربوطه باشد. «این کتاب‌راهنما به مورد ایالات متحده در برابر گاوریسیاک ارجاع می‌دهد (۹۷۲ F. Supp. 853، ۸۶۰ [D.N.J. 1997]، aff’d، ۱۷۸ F.3d 1281 [3d Cir. 1999]) که توقیفِ»… اسنادی را «تایید کرد» [که] شامل اطلاعات و/یا داده‌های ذخیره‌شده به شکلِ کد مغناطیسی یا الکترونیکی روی رسانه‌ی رایانه‌ای می‌شد… که موجبِ تشکیل مدرک برای جرایم فدرال بسیاری شد (کتاب‌راهنما، ص. ۶۲). …تجهیزات فیزیکی فقط اطلاعاتی را ذخیره می‌کنند که مأموران، انگیزه‌ی احتمالی لازم را برای توقیف آن در اختیار دارند. اگرچه ممکن است لازم باشد که مأموران تجهیزات را توقیف کنند تا بتوانند فایل‌هایِ درون آن‌ها را به‌دست آورند و فایل‌های رایانه‌ای به‌طور مجزا از برخی وسایل ذخیره‌سازی وجود ندارند، رویّه‌ی بهتر این است که به جای تجهیزات، خود اطلاعات را در حکم تفتیش تشریح کرد (ص. ۶۵)…

رهنمودی که این کتاب‌راهنما می‌دهد این است که قواعدِ آیین دادرسی جزایی، و تفسیر آن در دادگاه‌ها، به تفاوت میان اطلاعاتی که در قالب اشیاء داده‌ای نگاه داشته می‌شوند و محفظه‌ی فیزیکی (سخت‌درایو، رسانه‌ی فلش) که داده‌ها در آن قرار دارند، توجه دارد. این امر، نکته‌ی مثبتی است برای آنان که مدعی هستند که خودِ داده‌ها مدرک هستند و این‌که رایانه یا افزاره‌ی ذخیره‌سازی چیزی بیش از یک ظرف نیست.

مباحث پیشینی که در ارتباط با رایانه به‌عنوان مدرک در برابر داده‌ها به‌عنوان مدرک مطرح شدند، اثر قابل‌توجهی بر این امر دارند که ما چگونه می‌توانیم مدرک را هم در صحنه و هم در آزمایشگاه قانونی «توقیف» یا «جمع‌آوری» نماییم. اگر نقطه‌نظر شما این باشد که رایانه مدرک است، روش‌شناسیِ توقیفِ شما روی جمع‌آوری خودِ رایانه در صحنه‌ی جرم تمرکز خواهد داشت. اگر نقطه‌نظر شما این باشد که اطلاعات مدرک است، بنابراین احتمالاً تمایل شما بر این خواهد بود که اطلاعات-به‌عنوان-مدرک را مکان‌یابی و بازیابی کنید، و توجه کمتری به سرنوشت سخت‌افزار مربوطه خواهید داشت. علاوه بر این، احتمالاً تمایل داشته باشید که امور «قانون رایانه‌ای» خود را به‌سادگی، «جمع‌آوری مدرک» بنامید و دیگر نیازی به طبقه‌بندی کارشناسی در دادرسی نباشد. نکته‌ی مهم در این‌جا این است که گزینه‌هایی وجود دارد که می‌توان آن‌ها را درون جامعه‌ی خود درنظر گرفت، مورد بررسی قرار داد، و بحث کرد- گزینه‌هایی که می‌توانند تغییرات قابل‌توجهی در سراسر روش توقیف و آنالیز رایانه بگذارند.

روش‌شناسی توقیف مدرک دیجیتال

گسترش رایانه‌های شخصی موجب شد تا نحوه‌ی دخالت رایانه‌ها در موضوعات مجرمانه تغییر یابد. در گذشته، رایانه‌ها اغلب به‌عنوان سکوی حمله یا هدفِ حمله به‌کار می‌رفتند- هم‌اکنون استفاده‌ی شخصی‌تر از رایانه‌ها موجب ایجاد وضعیتی می‌شود که در این وضعیت، رایانه انباری از مدارک مرتبط با تقریباً هر نوع جرم قابل‌تصوری است. نتیجه این‌که رایانه‌های بیش‌تری به نحوی درگیرِ جرم هستند و این‌که آن رایانه‌های بیش‌تری باید به دلیل اطلاعاتِ دارای ارزش مدرکی مورد بازرسی قرار گیرند. اما پیش از آن‌که بتوان آن‌ها را بازرسی کرد، باید توقیف گردند.

پیش از این، کارشناسان رایانه‌ایِ کاملاً آموزش‌دیده شخصاً به هر نوع توقیفی رسیدگی می‌کردند؛ اما، گسترش رایانه‌ها و کاربرد آن‌ها در امور مجرمانه، توجه شخصی به هر مورد را ناممکن و غیرعملی ساخت. در برخی از نواحی کشور، ممکن است تنها یک کارشناس به کل منطقه خدمت‌رسانی کند. واضح است که به‌لحاظ منطقی نمی‌توان باور کرد که تنها یک کارشناس بتواند تمام توقیف‌ها را انجام دهد و بازرسی مدرک دیجیتال را برای هر جرمِ با جزء سایبری تکمیل کند. برای پُر کردن این شکاف در زمانی که نیاز است اما چنین قابلیتی وجود ندارد، مأموران اجرای قانون ایالتی و محلی، درگیرِ بازیابی مدرک دیجیتال از صحنه‌ی جرمی شده‌اند که در آن صحنه‌ی جرم مستقیماً رایانه‌ای دخیل است. بازپرسان ایالتی و محلی نه تنها با نوع جدیدی از جرم روبه‌رو هستند، بلکه این انتظار از آن‌ها می‌رود که توقیف مدرک دیجیتال را نیز انجام دهند.

پاسخگویان/بازپرسانِ سرِصحنه اغلب آگاهی بسیار کمی از رایانه‌ها دارند و اغلب آموزشی در این باره ندیده‌اند که چگونه «به‌طور صحیح» اطلاعات دیجیتال را توقیف نمایند. پروتکل‌های توقیف کنونی برای اقلام فیزیکی به‌کار می‌روند، که منجر به تمرکز روی توقیفِ سخت‌افزار رایانه می‌گردد- گاهی اوقات کلّ رایانه، از جمله نمایشگر، چاپگرها، صفحه‌کلید، و الخ توقیف و بسته‌بندی می‌گردند تا به آزمایشگاه تحویل داده شوند. به‌تدریج در طول زمان، این‌گونه جا افتاده است که از روش‌های توقیفی استفاده کنند که به‌جای توقیف اطلاعات دیجیتال، روی توقیف سخت‌افزار فیزیکی تمرکز دارند. اجازه دهید نگاهی به روند متداول برای توقیف رایانه‌ای شخصی بیندازیم.

نکته

تعدادی از دیگر نویسندگان به‌خوبی در باره‌ی مدل بازپرسانه‌ی دیجیتال کامل‌تری صحبت کرده‌اند. برجسته‌ترین آن‌ها، کَرییِر و اسپافورد مدل «صحنه‌ی جرم دیجیتال» را ارائه کرده‌اند که درون صحنه‌ی جرم فیزیکی قرار دارد (کرییر، ۲۰۰۳). به‌طور کلی، این مدل‌ها چارچوب کاملی برای بازپرسی‌های دیجیتال ارائه می‌دهند، از آمادگی برای پاسخگوییِ رویداد گرفته تا بازرسی و آنالیز اطلاعات توقیف‌شده. اگرچه ممکن است این نقطه‌نظر جامع‌نگرانه مربوط به مدیر اجرایی باشد که مسئولِ کل عملیات است، این مدل‌ها در توقیفِ سرِصحنه‌ی واقعیِ اطلاعات مرتبط- که موضوع اصلی این فصل است- قابلیت اجرای کمتری دارد.

در روش کنونیِ توقیف سخت‌افزار رایانه از پاسخگوی سرِصحنه این انتظار می‌رود که دانشی عمومی در باره‌ی رایانه‌ها داشته باشد- در این سطح که بداند «این صفحه‌کلید است، این موس است، کلیدی به نام «any (هر)» وجود ندارد، و الخ». با این حال، فرد پاسخگو باید آموزش‌های ابتدایی را در باره‌ی جمع‌آوری مدرک دیجیتال ببیند، یا حداقل، بتوانند از راهنماهای مربوطه در باره‌ی بِه‌رویّه‌ها استفاده کنند، راهنماهایی مانند راهنمای بِه‌رویّه‌های USSS (USSS، ۲۰۰۶) یا راهنمای اولین پاسخگوی NIJ (NIJ، ۲۰۰۱). سپس، پاسخگو باید سرِ صحنه برسد، ایمنی صحنه را به‌لحاظ فیزیکی تأمین نماید، و شروع به ارزیابیِ مدرک دیجیتال مربوطه نماید. پاسخگو باید مراحلی را به‌صورت گام‌به‌گام انجام دهد تا صحنه‌ی جرم دیجیتال را ایمن سازد، که می‌تواند شامل ِ بررسی و جست‌وجوی افزاره‌ها به‌دنبالِ تله‌های موجود و جداسازی افزاره‌ها از هرگونه شبکه‌ای باشد. سپس، پاسخگو محفظه‌های فیزیکیِ موردنیاز- رسانه‌های فیزیکی از جمله سخت‌درایوها، سی‌دی‌ها، دی‌وی‌دی‌ها- را به اندازه‌ای توقیف می‌نماید که اطمینان یابد اقلام توقیف‌شده شامل مقدار قابل‌قبولی از اطلاعاتِ دارای ارزشِ مدرکی هستند. توقیف محفظه‌های سخت‌افزاری/فیزیکی، شاملِ برچسب‌گذاری تمام سیم‌های متصل به رایانه یا افزاره‌ها، و عکس‌برداری از صحنه است- با توجه ویژه‌ای به اتصالگرهای برچسب‌گذاری‌شده. اقلام فیزیکی، توقیف، مستند، بسته‌بندی، و آماده برای انتقال به جایی خارج‌ازمحل جهتِ بازرسی می‌شوند. در آن جای خارج‌ازمحل، احتمالاً اداره‌ی پلیس محلی یا آزمایشگاه قانونی ایالتی/منطقه‌ای، محفظه‌های فیزیکی توقیف‌شده بازرسی می‌شوند تا اشیاء داده‌ایِ دارای ارزش مدرکی کشف شوند. اگر چیزی کشف شد، معمولاً این اشیاء داده‌ای در گزارش کشفیات قانونی آورده می‌شوند و چاپ یا روی رسانه‌ی دیگری کپی می‌شوند و سپس به بازپرس و دادستان‌ها ارائه می‌گردند. شکل ۷.۱ مراحل روش سنتی برای توقیف سخت‌افزار رایانه‌ای را نشان می‌دهد.

شکل ۷.۱ روش‌شناسی توقیف سنتی

خیلی سرراست به نظر می‌رسد، این‌طور نیست؟ به‌طور کلی، این نمودار، فرایندی کلی را نشان می‌دهد که اغلب مأموران اجرای قانون به‌هنگامِ توقیف مدرک دیجیتال از آن تبعیت می‌کنند. همان‌طور که می‌بینید، این روش‌شناسی کلی، روی توقیف اقلام فیزیکی تأکید دارد. علاوه بر این، این مدل نشان می‌دهد که تقسیماتی بین بازپرسان/پاسخگویان سرِصحنه و آزمایشگاه قانونی/بازرسان وجود دارد.

بررسی جامع روش‌شناسی توقیف

شوربختانه، روش‌شناسی کنونی توقیف به‌اندازه‌ی کافی بازپرسان ما را آماده نمی‌سازد تا پاسخگوی صحنه‌هایی باشند که پیچیده‌تر از این هستند که تنها یک دست‌گاه در اتاق ساده‌ای قرار گرفته باشد. حقیقت این است که این جهان، مکانی آشفته و شلوغ است. پاسخگویان ما باید درک کنند که نیاز به روش‌شناسی مناسبی دارند تا به آن‌ها این امکان را بدهد که در صحنه‌های پیچیده‌تری کار کنند، صحنه‌هایی مانند کشف تعداد زیادی رایانه یا تعداد زیادی رسانه‌ی قابل‌انتقال یا صدها سی‌دی. مراحل نشان‌داده‌شده در شکل ۷.۲ معرّف روش‌شناسی کنونی توقیف هستند، اما این مراحل تغییر یافته‌اند تا رهنمود سطح بالاتری برای نحوه‌ی برخورد با صحنه‌های توقیف غیراستاندارد ارائه دهند. به‌ویژه، مرحله‌ی «توقیف تمام سخت‌افزار و رسانه‌ها» که در شکل ۷.۱ نشان داده شده است، با سه مرحله‌ی دیگر جای‌گزین شده است تا با کمک به فرد پاسخگو، او را در مسیر شناسایی تمام رسانه‌های دیجیتال سرِصحنه، کمینه‌سازی صحنه‌ی جرم از طریق اولویت‌دهی، و سپس توقیف سخت‌افزار و رسانه‌ای که بیش‌ترین احتمال را دارد که حاوی مدرک مربوطه باشند، راهنمایی کند.

شکل ۷.۲ روش‌شناسی توقیف با مشخصه‌ی کمینه‌سازی

ما روش‌شناسی توقیف خود را از سر صحنه آغاز می‌کنیم، جایی که حکم تفتیشی برای مدرک دیجیتال ارائه می‌گردد. در ادامه فرض بر این است که صحنه به‌لحاظ فیزیکی ایمن شده است، و پاسخگو محیط کار امنی دارد. هم‌چنین، فرض بر این است که پاسخگو دارای حکم تفتیشی با طرح مناسب است که اطلاعات موردنظر برای توقیف را کاملاً احراز می‌نماید و این موضوع را نیز مطرح نموده است که اگر وضعیت به‌گونه‌ای باشد که توقیفِ سرِصحنه غیرعملی باشد، ممکن است نیاز به بازرسی خارج‌ازمحلِ رسانه باشد.

گام اول: شناسایی رسانه‌ی دیجیتال

گام اول، آغاز بررسی صحنه است. این کار با مکان‌یابی رسانه‌های دیجیتال انجام می‌شود که به اعتقاد شما بالاترین احتمال را دارند که حاویِ اطلاعات مدرکیِ تشریح‌شده در حکم تفتیش باشند. اگر فرد متهم، یک رایانه در اتاق خواب خود دارد و رایانه‌ی دیگری درون جعبه در اتاق زیر شیروانی دارد، من روی همه‌ی پول خود شرط می‌بندم که اطلاعاتی که من به دنبال آن‌ها هستم، در همان رایانه‌ی درون اتاق خواب قرار دارد. اگر یک گام فراتر از موقعیت‌های ساده برویم، باید رسانه‌های قابل‌انتقال مانند فلش‌درایوها و سی‌دی‌ها یا دی‌وی‌دی‌ها را نیز درنظر گرفت. فلش‌درایوها اغلب به‌عنوان قفسه‌های فایل شخصی نگاه داشته می‌شوند و ممکن است حاوی اطلاعاتی با ماهیت شخصی باشند. می‌توانید فلش‌درایوها را در دسته‌کلیدها، ساعت‌ها، جاهای غیرعلنی، و تقریباً همه‌جا پیدا کنید- رسانه‌ی فلش به‌شکل غیرقابل‌باوری کوچک است. راه‌برد دیگر این است که به دنبال رسانه‌ای باشید که حاویِ پشتیبان‌هایی از فایل‌هایِ رایانه‌(ها)ی سرِصحنه باشد. اگر آن اطلاعات مهم باشند، می‌توانید مطمئن باشید که پشتیبانی از آن در جایی وجود دارد.

رسانه‌ی دیجیتال را کجاها می‌توان پیدا کرد؟ پاسخ این است که تقریباً همه‌جا. مکان‌یابی رسانه‌ی ذخیره‌سازی بسیار کوچک اما بسیار پُرحجم، یکی از موضوعات قابل‌توجهی است که باید هنگامِ انجام تفتیش به آن توجه داشت. مطمئن شوید جایی را که انتظار دارید اطلاعات مربوطه را بیابید، با توجه به تخصص فنی متهم و با توجه به نوع جرم ارتکابی تعیین کنید. برای مثال، کاملاً واضح و اثبات‌شده است که آن دسته از افراد عقده‌ای که گردآورنده‌ی بچه‌نگاری هستند، ده‌ها هزار تصویر از کودکان قربانی‌‌شده جمع‌آوری خواهند کرد. در چنین موردی، منطقی‌ترین کار این است که به دنبالِ سخت‌درایو یا دیسک‌هایی نوری بود که بتوانند حجم ذخیره‌سازی موردنیاز را تأمین نمایند. اما، در حال حاضر، دستیابی به چنین حجم ذخیره‌سازی بزرگی روی رسانه‌ی فلش دشوار خواهد بود. از طرف دیگر، ممکن است همان گردآورنده متهم به گرفتن عکس از کودکان قربانی باشد، و در این مورد قطعاً تمرکز تفتیش باید روی کارت‌های ذخیره‌سازی فلش کوچکی باشد که می‌توانند در دوربینی دیجیتال و/یا برای ذخیره‌سازی و پنهان‌سازی تصاویر موردنظر به‌کار روند.

مستندسازی، جزئی از هر گام است، و بنابراین، این آخرین باری نیست که می‌بینید به آن اشاره می‌شود. به هر حال، ارزشِ آن را دارد که به‌عنوان یادآوری در این‌جا به آن اشاره شود. به‌هنگامِ انجام تفتیش برای یافتن رسانه‌ی دیجیتال، خوب است که اقدامات خود را در ضبط صوتی نقل کنید تا ثبت شوند و از رسانه‌های کشف‌شده، در همان‌جا و پیش از انتقال آن، عکس بگیرید.

گام دوم: کمینه‌سازی صحنه‌ی جرم با اولویت‌دهیِ رسانه‌ی فیزیکی

پس از این‌که تمام رسانه‌های دیجیتال شناسایی شدند، باید مشخص کرد که کدام‌یک از افزاره‌های ذخیره‌سازی یا کدام قسمت‌هایی از رسانه‌ها بیش‌ترین احتمال را دارد که حاویِ همان اطلاعاتی باشند که در حکم تفتیش تشریح شده است. چرا؟ زیرا برخی مواقع، توقیف تمام افزاره‌های دیجیتال، رسانه‌های قابل‌انتقال، و رسانه‌های ذخیره‌سازیِ موجود در صحنه‌ی جرم امکان‌پذیر نیست. در حال حاضر، شاید این امر امکان‌پذیر باشد که وارد منزلی مسکونی شد و تنها یک رایانه و شاید تعدادی سی‌دی یافت. در چنین موقعیتی، کمینه‌سازی رسانه‌های فیزیکی تقریباً به‌طورکامل برای شما انجام شده است- شما در مقابل خود تنها تعدادی رسانه دارید که ممکن است حاویِ مدرک اطلاعاتی باشند. اما فن‌آوری به صاحب‌خانه‌ها این امکان را داده است که به‌آسانی شبکه‌های نسبتاً پیچیده‌ای بسازند که می‌توانند شامل افزاره‌های ذخیره‌سازی بی‌سیم، چندین سیستم عامل، اتصال‌های اینترنتی مشترک، یک‌پارچه‌سازی با رسانه‌های سرگرمی سنتی، و یک‌پارچه‌سازی با افزاره‌ها و تجهیزات خانگی باشند. فیلم‌ها و موسیقی‌های قابل‌دانلود و قابل‌کپی، به‌طور کلی، فن‌آوریِ پذیرفته‌شده‌ای هستند که حجم رسانه‌های نوریِ کشف‌شده در منازل را تا حد زیادی افزایش می‌دهند. به دلیل در-دسترس بودنِ فن‌آوری، پاسخگویان سرِصحنه با چندین رایانه، افزاره‌های ذخیره‌سازی، و ده‌ها تا صدها قطعه رسانه روبه‌رو خواهند شد که روی هم رفته چندین ترابایت اطلاعات می‌شود.

پاسخگو باید تصمیمات دشواری در این باره بگیرد که به اعتقاد او، بیش‌تر احتمال دارد کجا بتوان اطلاعات موردنظر را یافت. یک روش این است که رتبه‌بندیِ اولویت‌دهی‌شده‌ای آماده شود تا به کمک آن بتوان تصمیم گرفت کدام افزاره‌های ذخیره‌سازی و قطعه‌رسانه‌ها باید جهتِ بازدید خارج‌ازمحل توقیف گردند. هم‌چنین، رتبه‌بندی اولویت‌دهی‌شده برای تصمیم‌گیری در این مورد نیز حیاتی هستند که کدام افزاره‌ها یا قطعه‌رسانه‌ها باید در همان سرِصحنه بررسی شوند- یکی از این گزینه‌ها در ادامه‌ی همین فصل موردبحث قرار خواهند گرفت.

گام سوم: توقیف رسانه‌ها و افزاره‌های ذخیره‌سازی

خودِ عمل توقیف نسبتاً سرراست و آسان است. پس از این‌که صحنه ایمن شد و مشخص گشت که چه سخت‌افزاری باید توقیف گردد، بازپرس شروع می‌کند به برچسب‌گذاریِ تمام اتصالات/سیم‌هایی که به رایانه وصل هستند. در برچسب‌گذاری سیم‌ها و مستندسازی خود وسواس به خرج دهید و این کار را به‌دقت انجام دهید. خوب است که هر دو انتهای کابل را برچسب‌گذاری کنید و یک برچسب منطبق با آن نیز در جایی بگذارید که کابل به آن متصل است- برای نمونه، کابل VGAِ صفحه‌نمایش را با عنوان B^۱ برچسب بزنید و درگاه VGAِ رایانه را با عنوان B^۱’ برچسب بزنید؛ دوشاخه‌ی کابل تغذیه‌ی صفحه‌نمایش را با عنوان B^۲ برچسب بزنید و پریز دیوار را با عنوان B^۲’ برچسب بزنید. تا می‌توانید از گام‌های توقیف و اشیاء مرتبطی که فکر می‌کنید لازم است، عکس بگیرید- عکس‌های دیجیتال اساساً رایگان هستند و می‌توان آن‌ها را روی دیسک زد و به فایلِ مورد اضافه کرد. فراموش نکنید که وقتی عکس‌های موردنیاز را گرفتید، برچسب‌های چسبانده‌شده را از پریزهای برق بردارید.

پس از این‌که رایانه‌ی مربوطه برچسب‌گذاری، مستند، و عکس‌برداری شد، قطعات آن را جدا کنید و مورد رایانه‌ای را آماده‌ی ارسال نمایید. بِه‌رویّه‌ها بیان می‌دارند که نرم‌دیسکِ قالب‌بندی‌نشده‌ای باید به‌همراهِ تکه‌نوارِ مدرکی که مثل پرچم به آن چسبیده است، در نرم‌درایو قرار داده شود. حضور این دیسک در نرم‌درایو می‌تواند از راه‌اندازی اتفاقیِ سخت‌درایو جلوگیری نماید- اما گرایش جدیدِ سازندگان رایانه و لپ‌تاپ این است که نرم‌درایوهای استاندارد را به‌کلّی حذف کنند، در نتیجه، احتمالاً این توصیه در طول زمان منسوخ خواهد شد. دیگر گزینه‌هایی که برای جلوگیری از راه‌اندازی اتفاقی در دسترس ما هستند، جدا کردنِ کابل تغذیه‌ از سخت‌درایو در رایانه‌ی رومیزی و درآوردنِ باتری در لپ‌تاپ است. برخی توصیه می‌کنند که روی درایوهای خارجی، از جمله نرم‌درایو و هر نوع سی‌دی/دی‌وی‌دی درایو، نوار مدرک قرار بگیرد. هنگام انتقال، مراقب باشید که رایانه را نیندازید، یا هیچ نوع ضربه و تکانی به آن وارد نشود، چرا که ممکن است منجر به خسارت به سخت‌درایو و احتمالاً مادِربُرد گردد. هنگام انتقال، افزاره‌های ذخیره‌سازی را دور از گرما و میدان‌های مغناطیسی قوی، مانند رادیوهای توان‌بالا و بلندگوهای بزرگِ دارای حجم صدای بالا، نگاه دارید.

اخطار

صرف‌نظر از این‌که چه روش‌شناسی توقیف سخت‌افزاری در این‌جا نوشته شده است یا در هر راهنمای منتشرشده‌ی دیگری آمده است، همیشه این موضوع را با آزمایشگاه یا اداره‌ای که سخت‌افزار توقیفی را پردازش خواهد کرد، هماهنگ نمایید. اغلبِ آن‌ها برای خود، روش‌هایی را برای توقیف سخت‌افزار و انتقال آن برگزیده‌اند.

کشیدن دوشاخه یا نکشیدنِ دوشاخه، مسئله این است

من همیشه با شگفتی با خودم فکر می‌کردم که عبارتِ دوشاخه را بکش از کجا نشأت گرفته است. یک فن‌ورزِ قانون رایانه‌ای را با حال و روزی خسته و تنش‌زا در ذهن ترسیم کنید که پایِ تلفن در حال صحبت با یک پاسخگوی سرِصحنه است، و تلاش می‌کند تا آن‌ها را راهنمایی کند که بتوانند رایانه را به‌طور صحیح خاموش کنند و سپس، فرآیند راه‌اندازیِ کنترل‌شده‌ای را طی کنند- گفت‌وگوی زیر بین آن‌ها ردوبدل می‌شود:

پاسخگو: رایانه می‌گوید که کلید any (هر) را بزنید.

فن‌ورز قانونی: وااای…

پاسخگو: یک لحظه… ام‌م‌م… کلید any کجاست؟

فن‌ورز قانونی: دارید با من شوخی می‌کنید… فقط دوشاخه را بکشید، آن را درون نوار بپیچید، و برای من بیاورید!

از همان زمان که این گفت‌وگوی فرضی برای اولین بار ردّوبدل شده است- که هنوز هم هر وقت به آن فکر می‌کنم، زیر لب خنده‌ام می‌گیرد- اصطلاحِ کشیدن دوشاخه از پشت دست‌گاه، صرف‌نظر از وضعیت دست‌گاه- روشن، خاموش، در حال نویسش به درایوها، یا هر چیز دیگر- وردِ زبانِ جامعه‌ی قانونی شده است. شک ندارم که، تقریباً همه‌جا، ساده‌ترین روش توقیفی که بیش از همه آموزش داده می‌شود و این روش به‌طور کلی اغلب داده‌ها و مدارک را حفظ می‌کند، همان کشیدنِ دوشاخه از پشت دست‌گاه است. کشیدن دوشاخه و آماده‌سازی آن برای انتقال به آزمایشگاه بازرسی، تنها گزینه‌ای است که منطقاً می‌توان در عرض چند ساعت به اولین پاسخگویان- با هر سطح مهارتی- آموزش داد. اما، مطمئناً، ما باید بتوانیم کاری به‌جز کشیدن دوشاخه انجام دهیم. اگر تمام مأموران و عوامل را محدود به نوع خاصی از روش‌شناسی کنیم که این روش‌شناسی، مبتنی بر کوچک‌ترین مخرج مشترک همه‌ی افراد است، احتمالاً در این زمینه به پیشرفتی دست پیدا نخواهیم کرد.

جدی‌ترین موضوعی که در ارتباط با کشیدن دوشاخه مطرح است، این است که برخی از سیستم‌عامل‌ها (OSها) واقعاً باید به‌طور صحیح خاموش شوند. افت سریع توان در برخی از OSها می‌تواند شالوده‌ی سیستم‌عامل یا حوزه‌ی مرکزی سیستم را دچار اشکال نماید. سیستم‌عامل‌های یونیکس، لینوکس، و مکینتاش آسیب‌پذیرترین‌ها هستند، اما برخی از سیستم‌عامل‌های مبتنی-بر-ویندوز مانند ویندوز ۲۰۰۰ سرور نیز باید به‌طور صحیح خاموش شوند. مور (۲۰۰۵) به‌خوبی روش صحیح خاموشی (خاموشی در برابر کشیدن دوشاخه) برای سیستم‌عامل‌های مختلف را- بر اساس توانایی سیستم‌عامل برای بازیابی در افت سریع توان- مرور کرده است.

واضح است که اگر قصد دارید دست‌گاه را به‌طور صحیح خاموش سازید، باید نوع سیستم‌عامل را معین کنید. برای تعیین سیستم‌عامل و اقدام به مراتب صحیح خاموشی، لازم است که موس و/یا صفحه‌کلید رایانه را در دست بگیرید و با آن کار کنید اما دستکاریِ موس/صفحه‌کلید، داده‌های موجود در دست‌گاه متهم را تغییر خواهد داد. شما با خود می‌گویید «اما من اجازه ندارم که داده‌های موجود در دست‌گاه متهم را تغییر دهم!» احتمالاً این دستورالعملی است که به شما داده شده است، اما بهتر است که موقعیت را درنظر بگیرید: «من مناسب‌ترین و منطقی‌ترین اعمال را به‌هنگامِ توقیف انجام خواهم داد تا این اطمینان ایجاد شود که تا می‌توانم اطلاعات مربوطه را محفوظ نگاه می‌دارم. مستندسازی اعمال من در این‌جا موجود است.» نکته‌ی مهم در این‌جا منطقی بودن و مستندسازی اعمال است. هم‌چنین، بسیار مهم است که نسبت به حفظ اطلاعات مربوطه آگاهانه رفتار کنید، که این اطلاعات شامل اطلاعاتی دارایِ ارزشِ بالقوه‌یِ مدرکی است و نباید شامل تغییراتی در رجیستری باشد که نشان می‌دهند خاموشی رخ داده است. به بیان دیگر، حرکت دادن موس برای تعیین نوع سیستم‌عامل و انجام سلسه‌کارهایی برای خاموش کردن رایانه، موجب جابه‌جاییِ ۵۰۰۰ عکس از بچه‌نگاری در سخت‌درایو رایانه نمی‌شود. اما، کشیدن دوشاخه در سیستم لینوکس ممکن است واقعاً بر قابلیت بازیابی همان عکس‌ها اثر بگذارد.

تنها یک پاسخ صحیح برای پرسشِ کشیدن دوشاخه وجود ندارد. اگر شما مهارت و دانش لازم را برای تعیین سیستم‌عاملِ رایانه‌ی متهم دارید و این‌گونه حکم می‌دهید که سیستم‌عامل و داده‌های دیگر ممکن است با کشیدن دوشاخه آسیب ببینند، بنابراین، آن دست‌گاه را به‌طور صحیح خاموش نمایید. اعمال خود را مستند سازید و به‌طور واضح و قابل‌فهم توضیح دهید که چگونه با تبعیت از روش خاموش‌سازی، از وارد آمدن آسیب به رایانه، و احتمالاً به اطلاعات مدرکی، جلوگیری کردید. نشان دهید که اعمال شما چگونه به جای آسیب وارد کردن به مدرک، از آن‌ها محافظت کردده است. اگر شما مهارت لازم را داشته باشید و گام‌هایی را که طی می‌کنید، مستند سازید، بنیان استواری در اختیار خواهید داشت که بر مبنای آن می‌توانید از اعمال خود دفاع نمایید. اگر چنین مهارتی نداشته باشید، یا اگر روش‌های پیشرفته‌تر در آن موقعیت یا بر روی آن قطعه‌سخت‌افزار خاص کارآیی نداشته باشند، با خیالِ راحت دوشاخه را بکشید.

عوامل محدودکننده‌یِ توقیف کامل سخت‌افزار

پیش از این، بافت تاریخی توقیف را با بافت کنونی آن مقایسه کردیم و بحث کردیم که چگونه تمرکز بافت تاریخی بر توقیف سرِصحنه‌ی اشیاء داده‌ای است، و حال آن‌که در وضعیت کنونی، تمرکز فعالیت‌های سرِصحنه بر توقیف تمام محفظه‌های فیزیکی است. پرسشی که من از شما دارم این است: آیا ما با تمرکز بر توقیف سخت‌افزار فیزیکی (اقلام محفظه‌ای) به جایِ تمرکز بر توقیف اطلاعات مربوطه (اشیاء داده‌ای) در مسیر درستی حرکت می‌کنیم؟

توقیف‌های مدرک دیجیتال در اوایل کار، بر اشیاء داده‌ای تمرکز داشتند چرا که اقدام به تصویربرداریِ کلّ سرور، به دلیل هزینه‌های بالای رسانه‌های ذخیره‌سازی، عملاً ممکن نبود. من فکر می‌کنم که ما در حال حرکت به سوی پایان مشابهی هستیم و به جایی خواهیم رسید که دیگر عملاً ممکن نخواهد بود- اگرچه در این زمان، ناتوانی ما برای توقیف تمام اطلاعات، مبتنی بر عوامل مختلفی است، از جمله آرایه‌های ذخیره‌سازی بسیار عظیم، رمزبندی تمام‌دیسک، فراوانی اطلاعات غیرمدرکی در رسانه‌ها و نگرانی‌های مرتبط با حریم شخصی، و زمانی که صرف آنالیز قانونی آزمایشگاه می‌گردد. در آینده، فرآیندی که ما با آن برای انجام آنالیز قانونی از تمام قطعات رسانه‌ها تصویربرداری می‌نماییم، منسوخ خواهد شد (هوسمِر، ۲۰۰۶).

فکر می‌کنم به این تشخیص خواهیم رسید که ورای توقیف کامل، گزینه‌های دیگری نیز در دسترس پاسخگویان ما وجود دارد. ما باید پاسخگویان خود را آموزش دهیم تا این توانایی را داشته باشند که بازبینیِ سرِصحنه‌یِ داده‌ها، داده‌تصویربرداری کامل، و تصویربرداریِ منحصربه اشیاء داده‌ای مرتبط را انجام دهند. علاوه بر این، ما باید پیش از آن‌که با حجم بزرگ‌تری از مواردی روبه‌رو شویم که آمادگی لازم برای آن را نداریم، گفتمان غالب کنونی، یعنی توقیف کامل، را تغییر دهیم- نه فقط برای متخصصان بلکه برای تمام پاسخگویان.

حجم رسانه‌ها

افزاره‌های ذخیره‌سازی هر روز بزرگ‌تر و بزرگ‌تر می‌شوند. هم‌اکنون، در پایان سال ۲۰۰۶، این امر کاملاً عادی است که یک سخت‌درایو حاوی ۱۰۰ گیگابایت اطلاعات باشد- این حجم، تقریباً معادل با یک طبقه کتابخانه از مجلات دانشگاهی است. این امر، چه به‌لحاظ فن‌آورانه و چه به‌لحاظ مالی، برای کاربر خانگی دست‌یافتنی است که یک آرایه‌ی ذخیره‌سازی ۲ ترابایتی برای خود جمع کند- آرایه‌ای که می‌تواند کلّ نوشته‌های درون یک کتابخانه‌ی تحقیقات دانشگاهی را در خود جای دهد (SIMS، ۲۰۰۳). ذخیره‌سازی نسبتاً ارزان است، و افراد با استفاده از مزیتِ فضای اضافی فراوان،  موسیقی‌ها، و فیلم‌های بسیاری را نگه‌داری می‌کنند و پشتیبان‌های بازتابی ایجاد می‌کنند (آرایه‌های RAID 1). آنتونی رِیس مثال فوق‌العاده‌ای در فصل ۵، «پاسخگویی رویداد: بازپرسی‌ها و قانون زنده»، زده است که در آنجا دقیقاً توضیح می‌دهد که تصویربرداری از سرورِ چندصد ترابایتی چه مدت زمانی طول می‌کشد- بر اساس آخرین فن‌آوری‌های موجود، مدت تصویربرداری حدود چند سال تخمین زده می‌شود. در جرایم رایانه‌ایِ متعارف، سرور چندصد ترابایتی به چشم نمی‌خورد، اما مشاهده‌ی یک درایوِ خارجی ۲۰۰ گیگابایتی در صحنه‌ی جرم و کشف RAIDِ یک‌ونیم ترابایتی قطعاً اثر منفی روی توانایی شما برای ایجاد تصویرِ سرِصحنه از داده‌ها خواهد داشت.

واقعاً چه اتفاقی رخ خواهد داد اگر کلّ RAIDِ یک‌ونیم ترابایتی و ۲۰۰ دی‌وی‌دی توقیف گردند و برای آنالیز به آزمایشگاه قانونی آورده شوند. آیا واقعاً سخت‌افزار و نرم‌افزار موردنیاز برای دریافت و پردازش آن همه داده را در اختیار دارید؟ اگر آن آزمایشگاه، یک آزمایشگاه منطقه‌ای یا ایالتی نباشد، بلکه آزمایشگاهی کوچک باشد که در دایره‌ی محلی برپا شده است، شاید پاسخ این پرسش، مثبت باشد- اما برای پردازش این مورد، احتمالاً باید تمام بودجه‌ای را که برای درایوهای هدف در تمام سال درنظر گرفته شده است،  صرف این مورد کرد. پس از این‌که داده‌ها بازرسی شدند، آیا حوزه‌ی قضایی یا حاکمیت محلی دستور خواهند داد که داده‌های تصویربرداری‌شده بایگانی شوند؟ بالاخره در یک نقطه، امکان توقیف و پردازشِ همه‌چیز، از عهده‌ی بودجه‌ی تخصیصی برای خرید رایانه‌های پردازش قانونی، درایوهای هدف، و رسانه‌های بایگانی خارج خواهد شد و هم‌چنین، از میزان زمانی که بازرسان قانونی برای پردازش مورد مربوطه در اختیار دارند، فراتر خواهد رفت.

رمزبندی دیسک

در حال حاضر، برخی از برنامه‌های رمزبندی وجود دارند که امکان رمزبندی تمام‌دیسک را مهیا می‌سازند، یکی از رایج‌ترین انواع این برنامه‌ها PGP از pgp.com است. این نوع برنامه‌های رمزبندی، تمام داده‌های موجود در سخت‌درایو را رمزبندی می‌کنند و به‌طور کلی از دید کاربر، شفاف هستند؛ به این معنی که در مرحله‌ی شروع، یک گذرواژه محتویات مربوطه را جهت مشاهده و ویرایش «قفل‌گشایی» می‌کند. البته، سیستم‌عامل ویندوز ویستا در افق چشم‌انداز خود در نظر دارد تا با شرکت BitLocker Drive Encryption متحد گردد تا تراشه‌ی رمزینه‌سازِ ماژول سکّوی قابل‌اعتماد (TPM) را به نسخه‌های پیشرفته‌ی سیستم‌عامل متصل سازد.

رمزبندی تمام‌دیسک، الزاماتی جدی برای اجرای قانون به‌هنگامِ انجام توقیف ایجاد می‌کند. اول این‌که، اگر رمزبندی تمام‌دیسک در رایانه‌ای در-حال-اجرا فعال گردد، و رایانه‌ی مربوطه خاموش گردد یا برق آن قطع شود، احتمال زیادی وجود دارد که داده‌های موجود در آن درایوها بدونِ وجود کلید مناسب، غیرقابل‌بازیابی شوند. پاسخگویان باید حین انجام توقیف، پیش از این‌که رایانه را خاموش کنند یا دوشاخه را بکشند، مشخص سازند که آیا برنامه‌ی رمزبندی تمام‌دیسکی فعال است یا نه. اگر چنین برنامه‌ای وجود داشته باشد، شاید بازگرداندن آن رایانه به آزمایشگاه جهتِ انجام آنالیز، کار بی‌فایده‌ای باشد. یکی از بهترین شانس‌هایی که برای بازیابی اطلاعات مدرکی داریم، زمانی است که دست‌گاه مربوطه در حالِ اجرا است و کاربر به آن فایل‌ها دسترسی دارد. دوم این‌که، ممکن است به‌کارگیریِ تراشه‌ی TPM موجب شود که درایو مربوطه طوری قفل گردد که داده‌ها تنها در دست‌گاه مخصوصی قابل‌دسترس باشند. این امر موجب می‌شود که تصویر گرفته‌شده از آن درایو در رایانه‌ی دیگری راه‌اندازی نشود یا با برنامه‌ی قانون رایانه‌ای مشاهده نگردد. استفاده از رمزبندی دیسک، اجرای قانون را تحت فشار می‌گذارد تا گزینه‌هایی فراتر از توقیف سخت‌افزار فیزیکی، برای توقیف داده در اختیار داشته باشند.

دغدغه‌های حریم شخصی

رایانه‌های شخصی اغلب حاوی اطلاعات فراوانی هستند در باره‌ی زندگی شخصی، از جمله اطلاعات مالی، پزشکی، و دیگر اطلاعات شخصی، اطلاعاتی مرتبط با کار آن‌ها (مانند تولیدات کاری)، و حتی اطلاعاتی که متعلق به چندین نفر است، مثلاً همسر، اعضای خانواده، یا هم‌اتاقی. مشخص نیست که دادگاه‌های جزایی و مدنی چگونه با چالشی که از سوی اشخاص ثالث در خصوص توقیف رایانه ایجاد خواهد شد، برخورد خواهند کرد. البته، اگر آن شخص ثالث، پشتیبانِ وبلاگ یا وب‌گاهی باشد، طبق قانون حفاظت از حریم شخصی (PPA) (42 U.S.C. § 2000aa) اطلاعات او مصون از توقیف هستند. قانون PPA مشخصاً به این قصد توسعه داده شد که از رونامه‌نگاران در برابر احکام تفتیش محافظت نماید؛ احکامی که برای دستیابی به اطلاعاتی در باره‌ی منابع یا افرادی صادر شده‌اند که در مطالب منتشرشده‌ی آن‌ها به آن منابع یا افراد اشاره شده است. از قانون PPA استنباط می‌شود که «…این امر باید برای مأمور دولت یا کارمندی که در ارتباط با بازپرسی یا دادستانیِ تخلفی جزایی است، غیرقانونی باشد که اسنادی کاری را تفتیش یا توقیف کند که آن اسناد متعلق به فردی است که به‌لحاظ منطقی می‌توان پذیرفت که با هدف خاصی، روزنامه، کتاب، پخش اخبار، یا اشکال مشابه دیگری از ارتباطات عمومی را برای عموم افراد منتشر می‌سازد.» اگر فردی متهم به ارتکاب جرمی جزایی باشد و اطلاعاتی در اختیار داشته باشد که آن اطلاعات مرتبط با آن جرم باشند، در آن‌صورت، حفاظت قانون PPA شامل حال او نمی‌شود. به بیان ساده‌تر، اگر شما مرتکب جرمی شوید و در رایانه‌ی خود، اطلاعات قابل‌مجازاتی در ارتباط با آن جرم داشته باشید، به احتمال زیاد آن اطلاعات تحت حفاظت قانون PPA قرار نخواهند داشت. البته، این امکان وجود دارد که PPA از علایق شخص ثالثی که از رایانه استفاده می‌کند یا داده‌هایی را روی آن نگه‌داری می‌کند، حفاظت نماید، و اگر اطلاعات متهم، ارتباطی با جرمِ در-حال-بازپرسی نداشته باشد، ممکن است از آن اطلاعات محافظت نماید.

وضعیتی فرضی را تصور کند که در آن، داده‌های مدرکی و اسناد قابل‌مجازات با هم آمیخته شده‌اند، در حالی که هر کدام از آن‌ها متعلق به فرد جداگانه‌ای است. اگر چنین وضعیتی را در فقط یک رایانه درنظر بگیریم، چنین چیزی بسیار بعید به‌نظر می‌رسد. اما اگر یک افزاره‌یِ ذخیره‌سازیِ آدرس‌پذیرِ شبکه‌ای را درون شبکه‌ای خانگی درنظر بگیرید، چطور؟ برای مثال، بیایید فرض کنیم که چنین افزاره‌ی ذخیره‌سازی‌ای در صحنه‌ی توقیف وجود دارد. هر کدام از اعضای خانواده اطلاعات خود را روی این افزاره نگه‌داری می‌کنند، و مطالب ارسال‌‌نشده‌ی وبلاگِ سوزی کوچولو- در باره‌ی زندگی او به‌عنوان یک دختر ۱۵ ساله‌ی خوش‌فکر- در این افزاره‌ی ذخیره‌سازی قرار دارند و این مطالب با اطلاعات دیگری که در حکم تفتیش به آن‌ها اشاره شده است، آمیخته شده‌اند. در عین حال که می‌توانید آن افزاره‌ی ذخیره‌سازی را توقیف نمایید، ممکن است درگیرِ دیگر اقدامات قانونی دادگاه در ارتباط با نقض PPA نیز بشوید- اقداماتی مدنی، و شاید جزایی، که شما در جایگاه خوانده قرار خواهید داشت!

سرویس مخفی نیز در مورد «شرکت استیو جکسون گِیمز در برابر سرویس مخفی» به چنین وضعی افتاد (شرکت استیو جکسون گیمز در برابر سرویس مخفی، ۸۱۶ F. Supp. 432 [W.D. Tex. 1993]). سرویس مخفی، دو رایانه را از آن شرکت توقیف کرد، چرا که اعتقاد داشت مدیر سیستم شرکت مدرک جرمی را در رایانه‌های شرکت ذخیره و نگه‌داری کرده بود. روز بعد از توقیف، سرویس مخفی متوجه شد که آن رایانه‌ها حاوی اسنادی بودند که برای انتشار آماده شده بودند؛ اسنادی که متعلق به شرکت بودند. سرویس مخفی، بدون توجه به این موضوع، رایانه‌ها را بازنگرداند تا این‌که چندین ماه گذشت. دادگاه بخش این‌گونه حکم داد که سرویس مخفی در واقع قانون PPA را نقض کرده بود و ۵۰ هزار دلار غرامت برای استیو جکسون گیمز و ۲۵۰ هزار دلار حق‌الزحمه برای وکیل مقرر کرد. البته این قصه سر دراز دارد و فراتر از چیزی است که به‌اختصار در این‌جا گفته شد. این تکِ ناگهانی و دادرسی، نقش مهمی در اسطوره‌شناسی هکر دارد و هم‌چنین، در شکل‌گیریِ بنیاد مرز الکترونیکی (استِرلینگ، ۱۹۹۴) نقش داشت. به هر حال، نکته‌ی اخلاقی این داستان این است که وقتی سرویس مخفی متوجه شد که اسنادِ آماده‌ی انتشاری در سخت‌افزار توقیفی موجود هستند، این آمادگی را نداشت که فقط اطلاعات معینی را توقیف کند که در حکم تفتیش تشریح شده باشند. معلوم نیست که اگر سرویس مخفی پیش از آن‌که حکم تفتیش را آماده کند، از وجود اسناد قابل‌انتشار آگاهی پیدا می‌کرد، چگونه می‌توانست روش‌شناسی توقیف خود را تغییر دهد- اما، برای مثال، اگر آن‌ها این توانایی را نداشتند که فقط اشیاء داده‌ای مرتبط را توقیف کنند، احتمالاً هیچ گزینه‌ی دیگری جز توقیف سخت‌افزار در اختیار نداشته‌اند. این مثال قصد دارد نشان دهد که در اختیار داشتن گزینه‌های توقیف دیگر، مهارت بسیار حیاتی و مهمی است که موفقیت یک بازپرسی را مشخص می‌سازد.

تأخیرات مرتبط با آنالیز آزمایشگاه

اگر بازپرسانِ جرایمِ مرتبط با رایانه به‌طور کامل و به‌طور مطلق، متکی به آزمایشگاه قانون رایانه‌ای خود باشند تا آن‌ها سخت‌افزار توقیفی را در جست‌وجوی مدرک پردازش نمایند، در واقع خود را وابسته به زمان‌بندیِ ارائه‌شده توسط آزمایشگاه کرده‌اند. با توجه به تجربه‌ای که دارم، یک آزمایشگاه قانون رایانه‌ای می‌تواند ۳۰ تا ۶۰ مورد را به ازای هر بازرس در هر سال انجام دهد؛ بیش‌تر بستگی به تجهیزات آن‌ها و نوع مواردی دارد که آن‌ها روی آن‌ کار می‌کنند، اما با توجه به این‌که اغلب آزمایشگاه‌های قانونی جزءِ دوایرِ دولتی هستند، شک دارم که سال به سال روی امروزی‌ترین رایانه‌های موجود کار کنند. قسمت بدتر ماجرا این‌جا است که افزایش حجم رسانه‌های ذخیره‌سازی از افزایش توان پردازنده‌ها بسیار پیشی گرفته است. اگر در سال ۱۹۹۱ با ۵۰۰ دلار می‌شد درایوی با حجم ۱۰۰ مگابایت خرید، حالا با همان پول می‌توانید درایوی ۷۵۰ گیگابایتی را درون جیب خود قرار دهید. حالا این را مقایسه کنید با پردازنده‌ی ۵۰ مگاهرتزی اینتل در سال ۱۹۹۱، تا پردازنده‌ی ۳ گیگاهرتزی در سریع‌ترین رایانه‌های امروزی، خواهید دید که بهره‌وری هزینه‌یِ سخت‌درایوها نسبت به بهره‌وری پردازنده‌ها از سال ۱۹۹۱ تا به امروز، ۱۲۵ بار سریع‌تر رشد کرده است (گیلدِر، ۲۰۰۶). بسته به میزان کاری که در آزمایشگاه روی هم انباشته شده است، بازپرسان باید حدود یک سال یا بیش‌تر منتظر بمانند نتایج بازرسی آن‌ها از آزمایشگاه برگردد.

نمی‌توانم به‌طور دقیق و کمّی مشخص کنم که تأخیرهای بازرسی قانونی تا چه میزان بر بازپرسی‌ها و دادستانی‌ها تأثیرگذار هستند، اما می‌توانم نظر خود را این‌گونه بیان کنم که تأخیرهای موجود در پردازش مدرک دیجیتال، یکی از مهم‌ترین موانعِ پیشِ رویِ بازپرسی‌ها و دادستانی‌هایی هستند که مرتبط با مدرک دیجیتال هستند. استفاده از فرصتی که برای انجام توقیفِ سرِصحنه‌ی اطلاعات مرتبط است و یا به‌اجبار یک سال منتظر ماندن برای دریافت نتایج از آزمایشگاه؟ واضح است که بسیاری از بازپرسان چه انتخابی خواهند کرد. البته، دشواری‌ها و چالش‌هایی به‌هنگام توقیف اطلاعات در سرِصحنه پیش خواهد آمد- اما این چالش‌ها باید در مقایسه با تأخیری زمانی سنجیده شود که برای دریافت مدرک پردازش‌شده طول می‌کشد.

بازپرسی که در باره‌ی چنین وضعیتی با او صحبت می‌کردم، تعریف می‌کرد که موردی داشته در باره‌ی داشتنِ بچه‌نگاری که در آن، این احتمال نیز می‌رفته است که مالکِ متهم، در حالِ ایجاد و توزیع تصاویر مرتبط با سوءاستفاده‌ی جنسی از کودک نیز بوده است. شوربختانه، بازپرس مربوطه هیچ وسیله‌ای برای مرور اطلاعات دیجیتال در سرِصحنه نداشته است، و حتی در اداره نیز چنین امکانی نداشته است، و در واقع حتی نمی‌توانسته آنالیز اطلاعات دیجیتال را به‌صورت درون‌سازمانی انجام دهد. رایانه‌ی مربوطه به یک آزمایشگاه قانون رایانه‌ای ارسال شد، که در آنجا آخرِ صف و پشت سرِ دیگر موارد مهم قرار داده شد. از آنجا که اطلاعات بازدید نشده بود، بازپرس هیچ مدرکی نداشت- چه در باره‌ی داشتنِ بچه‌نگاری و چه در باره‌ی سوءاستفاده‌ی جنسی از کودک- تا پیش‌نویسِ حکم بازداشت را مستند به آن سازد. در چنین مواردی، تأخیرِ ناشی از انباشت مواردی فراوان در آزمایشگاه قانونی، نه تنها روی روند بازپرسی اثر می‌گذارد، بلکه تأثیر مستقیمی بر قربانی (احتمالی) و قربانی‌سازی دائمی دارد.

حفاظت از زمانِ پرسنل کاملاً آموزش‌دیده

در جامعه‌ی کنونی ما، افزاره‌های دیجیتال تقریباً دیگر همه جا حضور دارند. افسانه‌ی «همگرایی» آرام‌آرام حقیقت می‌یابد، چرا که مرز میان رایانه‌ها، تلفن‌همراه‌ها، دوربین‌ها، و الخ هم‌اکنون تار و محو شده است و ممکن است در آینده کاملاً از بین برود. افق چشم‌انداز IPv6 را می‌توان دید و این نوید را می‌دهد که هر افزاره‌ای را، از ماشین‌ها گرفته تا نان‌برشته‌کن‌ها، مجهز به یک آدرس IP نماید. آیا زمان آن نیست که جامعه‌ی اجرای قانون را تحت آموزشِ مجموعه‌ی کاملاً جدیدی از مهارت‌ها قرار دهیم؟ نقطه‌ی تعادلِ میان آگاهیِ کافی داشتن و کارشناس ساختن هر فرد کجا است؟

تصمیم‌گیری در این باره که آیا باید فقط آن دسته از اشیاء داده‌ای که دارای ارزش مدرکی هستند، توقیف شوند یا کلّ رسانه‌ی ذخیره‌سازی توقیف شود، تا حد زیادی بستگی به مهارت‌های فنی بازپرسِ پاسخگو دارد. بهترین وضعیتِ ممکن شاید این باشد که گروهی از کارشناسانِ کاملاً آموزش‌دیده‌ی توقیفِ مدرک دیجیتال داشته باشیم که پاسخگویی می‌کنند و سپس، به‌خوبی رایانه‌ی ویندوزی را برای توقیف آمده می‌سازند. واقعیت این است که هرگز نمی‌توان به‌اندازه‌ی کافی کارشناس رایانه‌ای در اختیار داشت که تمام صحنه‌های جرم را پاسخگو باشند- چه رسد به «گروهی» از آن‌ها- تا هر قطعه‌ای از اطلاعات یا رایانه‌ای را که به‌طور مستقیم یا به‌طور جانبی در جرم دخیل است، توقیف نمایند.

با نگاه به آینده، می‌توانیم پیش‌بینی نماییم که تعداد رایانه‌ها و افزاره‌های الکترونیکی دیگری که نیازمند توقیف و بازرسی خواهند بود، افزایش می‌یابد. واضح است که با توجه به تمام جوانب امر، روش‌شناسی کنونی کاستی‌های خود را دارد. تأخیرات موجود در بازرسی رسانه‌های دیجیتال توقیفی، زحمات بازپرسان را هیچ می‌سازد و بر امر دادستانی اثر منفی می‌گذارد. اگرچه واضح است که ما به کارشناسان قانون رایانه‌ای بیش‌تری نیاز داریم، اما آیا منابع لازم برای این کار- به‌ویژه پرسنل، زمان، و پول- را در اختیار داریم که بتوانیم به‌اندازه‌ی کافی کارشناس تربیت و تجهیز کنیم تا تقاضای موجود برای توقیف و بازرسی‌ها را برآورده سازیم؟ در مورد تقاضاهایی که در آینده ایجاد خواهند شد، چطور؟ تا جایی که من می‌دانم، فکر نمی‌کنم هیچ جایی را سراغ داشته باشیم که به تعداد کافی پرسنلِ واجدشرایط داشته باشد که بتوانند به مشکلات کنونی رسیدگی کنند، آینده که جای خود دارد. هم‌چنین، تصور نمی‌کنم که زیرساخت کنونی بتواند افزایش موردنیاز در تعداد بازرسان یا کارشناسان قانون رایانه‌ای را پشتیبانی نماید. اغلبِ دوایر برای افزودنِ فقط یک محل سازمانی می‌جنگند- بنابراین، شک دارم که این سیستم به‌طور ناگهانی و یک‌باره تغییر یابد و شروع به استخدام تعداد زیادی پرسنل جدید نماید.

این وضعیت در یک قانون اقتصادی ساده خلاصه می‌گردد: قابلیتِ تولید فقط با اضافه کردن افراد بیش‌تر یا کارآمدتر ساختن افراد کنونی افزایش خواهد یافت. ما واقعاً نمی‌توانیم افراد بیش‌تری را واردِ این موضوع سازیم، بنابراین تنها گزینه این است که با افرادی که در اختیار داریم بیش‌تر کار کنیم. این امر تا آنجا که به جرایم سایبری و جرایمی با جزء فن‌آوری پیشرفته مربوط می‌شود، به این معناست که ما دیگر نمی‌توانیم برای تمام جوانبِ آن دسته از بازپرسی‌هایی که مرتبط با رایانه هستند، متکی به کارشناسان رایانه‌ای باشیم. در حال حاضر، هر کدام از مأموران اجرای قانون، از پاسخگویان سرِصحنه گرفته تا کارآگاهانی که بازپرسی‌ها را انجام می‌دهند، این وظیفه را بر عهده دارند که این مشکل را از میان بردارند؛ مشکلی که موجب ایجاد تعارض شده است، تعارضی بینِ تعداد زیاد- و روزافزون- جرایمِ با جزء فن‌آوری پیشرفته و تعداد نسبتاً کم کارشناسانی که برای انجام این نوع موارد در دسترس هستند. ما باید به کارشناسان رایانه‌ای و آزمایشگاه‌های قانون رایانه‌ای به‌عنوان منابعی محدود نگاه کنیم، و توجه داشته باشیم که هر کار سازنده‌ای که به‌طور میدانی توسط افسران گشت یا کارآگاهان انجام گیرد، می‌تواند فشار وارد بر سیستم قانونی را کاهش دهد. از این دیدگاه، ارزشمندترین منبع، زمانِ  افراد کاملاً آموزش‌دیده است (شکل ۷.۳ را ببینید).

سناریوی کلّی این کار، که همان حفاظت از زمانِ افرادِ کاملاً آموزش‌دیده است تا آن‌ها بتوانند وقت خود را روی مهم‌ترین موضوعات بگذارند، مفهوم جدیدی نیست. آن‌هایی که برای پاسخگویی به مواد خطرناک آموزش دیده‌اند، به‌لحاظ توزیع دانش، در قالب هرمی‌شکلی قرار می‌گیرند؛ قاعده‌ی گسترده‌ی این هرم شاملِ افراد آموزش‌دیده‌ای در سطح مطلع است، حال آن‌که قلّه‌ی کوچک این هرم شامل کارشناسان کاملاً آموزش‌دیده است. این سطوح آموزشی، نه تنها به‌طور کلی در جامعه‌یِ پاسخگوییِ مواد خطرناک پذیرفته شده‌اند، بلکه در قالب ۲۹ CFR 1910.120(q)(6) کدبندی شده‌اند. این کد آموزشی می‌تواند شاخص‌های زیر را احراز نماید: سطح دانش عمومی، تعداد ساعات آموزش مورنیاز، و این‌که چه انتظاراتی می‌توان از پاسخگویانی داشت که هر یک از این سطوح آموزشی را با موفقیت گذرانده‌اند. از آنجا که سطوح آموزشی مختلفی به‌ضوح تعریف شده‌اند، هر پاسخگو سرِصحنه نقش خود را می‌داند و، مهم‌تر از آن، نقش دیگر پاسخگویان را نیز می‌داند. آن‌هایی که دارای سطح آموزشیِ مطلع هستند، آموزش لازم را دیده‌اند تا بتوانند تشخیص دهند که اتفاق بدی افتاده است، برای درخواست کمک تماس بگیرند و از فاصله‌ای دور، مورد مربوطه را زیر نظر بگیرند. آموزشِ سطحِ عملیاتی، پاسخگویان را آماده می‌سازد که بتوانند به‌شکلِ تدافعی پاسخگویی کنند، بدون این‌که تلاشی برای متوقف ساختنِ پخش مورد مربوطه انجام دهند. پاسخگویانِ سطحِ فن‌ورز آموزش‌های لازم را می‌بینند تا اقدام به متوقف ساختنِ پخش ماده‌ی خطرناک نمایند، و پاسخگویانِ سطحِ کارشناس معمولاً دانش ویژه‌ای در ارتباط با ماده‌ی شیمیایی ویژه‌ای دارند. در هر سطح، فرد پاسخگو آموزش بیش‌تری می‌یابد تا بتواند به‌هنگامِ پاسخگویی به صحنه آماده‌تر باشد.

در حال حاضر، چندان عملی نیست که ملزومات آموزشی یا وظایف افرادِ دخیل در توقیف مدرک دیجیتال را سطح‌بندی یا کدبندی کرد، اما بسیار مهم است که بدانیم افرادِ دارای سطوح آموزشی متفاوت، احتمالاً به روش‌های متفاوتی عملِ توقیف را انجام می‌دهند.

آن روش‌شناسی توقیف که برای سطح دانشِ پاسخگوی غیرفنی توسعه داده می‌شود، در تعارض مستقیم با بهترین سناریویِ ممکن برای توقیف است. هر نوع روش‌شناسی توقیفی که توسط دایره‌ای اقتباس می‌شود، باید به‌اندازه‌ی کافی سیال باشد تا هم به پاسخگویِ دارای آموزشِ سطح پایین و هم به پاسخگوی کاملاً آموزش‌دیده این امکان را بدهد که هر دو بتوانند بسته به سطح دانش خود، به قابل‌اجراترین روش ممکن، اطلاعات دیجیتال را توقیف نمایند.

شکل ۷.۳ توقیف مدرک دیجیتال

مفهومِ اولین پاسخگو

«اولین پاسخگو» دقیقاً چه کسی است که این همه در گزارش‌ها و راهنماهای توقیف مدرک دیجیتال به آن اشاره شده است؟ آیا اولین پاسخگو همان کسی است که تصادفاً به‌عنوان اولین فرد در صحنه حاضر می‌شود؟ اگر بله، در آن صورت اولین پاسخگو می‌تواند هر افسر صفی باشد. اگر لازم است که هر اولین پاسخگویی آموزش ببیند تا بتواند مدرک دیجیتال را توقیف نماید، و اگر ما همگی قبول داریم که روش‌شناسی توقیف باید الزاماً با توجه به دانش فنی پاسخگو انعطاف‌پذیر و سیال باشد، آنگاه خواهید دید که طراحیِ تنها یک آموزش خاص برای تمام اولین پاسخگویان، چه مشکلاتی خواهد داشت.

موضوع دوم، تعداد ساعات آموزشی است که باید برای آموزش اولین پاسخگو اختصاص یابد. آیا مدیریت سازمان به پرسنل خود این اجازه را می‌دهد که در دوره‌ی آموزشی نیم‌روزه‌ای در باره‌ی توقیف مدرک دیجیتال شرکت کنند؟ شاید. اما اگر واقع‌بینانه به قضیه نگاه کنیم، در عرض چهار ساعت آموزش، چه مطالبی را می‌توانید پوشش دهید؟ من فکر می‌کنم حداکثر بتوان تشخیص مدرک دیجیتال را پوشش داد. بنابراین، آیا دوره‌ی آموزشی دو یا سه روزه برای آموزش تشخیص مدرک دیجیتال به‌علاوه‌ی توقیف اطلاعات دیجیتال کافی خواهد بود؟ شاید، اما آیا افرادی که در آن دوره‌ی آموزشی شرکت می‌کنند، همچنان به‌عنوان اولین پاسخگویان درنظر گرفته می‌شوند یا این آموزش اضافی آن‌ها را تبدیل به کارشناسانی در این زمینه می‎سازد؟ من شک دارم مدیریت یک دایره با این کار موافقت کند که تمام افسران صف خود را به دوره‌ی آموزشی سه‌روزه‌ای بفرستد تا آن‌ها تبدیل به اولین پاسخگویان شوند.

ما به‌وضوح در مخمصه‌ای بزرگ گیر افتاده‌ایم. تمام افسران صف باید بتوانند مدرک دیجیتال را توقیف کنند، اما آموزش در سطحِ اولین پاسخگو نمی‌تواند افسران را کاملاً برای توقیف مدرک آماده و مجهز سازد. برای این‌که فرآیند توقیف مدرک دیجیتال به‌نحوِ کامل‌تری درک شود، لازم است که دوره‌ی آموزشی سطح‌بالاتری برگزار گردد که چندین روز به طول خواهد انجامید، و دوره‌ی آموزشی چندروزه در باره‌ی یک موضوع، به احتمال زیاد برای تمام افسران صف میسر نخواهد شد. شوربختانه، این موضوع به این سادگی‌ها نیست که یک دانشجوی دانشکده‌ی افسری در دانشگاه را که در بازپرسی جرایمی با جزء سایبری تخصص خواهد یافت، مشخص کنید و این دانشجو را هفته‌ها تحت آموزش تخصصی قرار دهید. از آنجا که رایانه‌ها و مدرک دیجیتال، همه جا و همه وقت وجود دارند، آموزشِ تنها یک فرد دردی را دوا نمی‌کند- باید تخصص همه در این زمینه بالا رود تا کارشناسان فرصت داشته باشند که روی جرایمِ به‌لحاظ فنی چالشی‌تر تمرکز داشته باشند.

پاسخ صریحی برای این مسئله‌ی غامض وجود ندارد، اما برخی از عوامل می‌توانند به سبک‌تر شدنِ آن کمک نمایند. اول این‌که، مأموران اجرای قانون باید آموزش بیش‌تری در خصوص مهارت‌های عمومی رایانه ببینند. طی کار روزانه‌ی یک مأمور اجرای قانون، کدام مورد احتمال وقوع بیش‌تری دارد؟ دستگیری یک متهم، درگیرِ شلیک و تیراندازی شدن، یا صرف مدت زمانی برای کار با رایانه؟ پاسخ به این پرسش نیازی به هوش بالایی ندارد- رایانه‌ها جزء جدایی‌ناپذیری از عرصه‌ی اجرای قانون هستند و اغلب افسران، ناگزیر نمی‌توانند روزی را بدون مقداری تعامل با رایانه سپری نمایند. البته، سطح عمومیِ دانشِ رایانه در میان پرسنل اجرای قانون پایین است، و استفاده از رایانه به‌ندرت از موضع دانشگاهی است. ایجاد مهارت‌های رایانه‌ای پایه و مقدماتی در پرسنل اجرای قانون، نه تنها در دیدگاه آن‌ها نسبت به مدرک دیجیتال اثرگذار خواهد بود، بلکه اثر مثبتی نیز بر فعالیت‌های کاری روزانه‌ی آن‌ها خواهد داشت.

دوم این‌که، تمام پرسنل اجرای قانون باید در خصوص مدرک دیجیتال، آموزش مقدماتیِ در سطحِ اطلاع را ببینند. آموزش در سطح اطلاع، باید تنها مقدمات رایانه و این‌که مدرک دیجیتال ممکن است کجا نگه‌داری شود، را پوشش دهد. بسیار مهم است که تمام افسران بدانند و تشخیص دهند که رسانه‌ی ذخیره‌سازی، به‌ویژه رسانه‌ی فلش، ممکن است به کوچکیِ یک تمبر پستی باشد، و در عین حال، ممکن است حاویِ چند گیگابایت اطلاعات باشد. آگاهی از این موضوع که بسیاری از افزاره‌های ظاهراً تک‌منظوره، مانند تلفن‌همراه‌ها یا پخش‌کننده‌های mp3، ممکن است حاویِ دیگر انواع اطلاعات باشند- برای مثال، ممکن است اسنادی در پخش‌کننده‌ای mp3 ذخیره شده باشند- بسیار فراتر از دغدغه‌ی یک تقتیش و توقیف ساده می‌تواند در فرآیند بازپرسی اثرگذار باشد. شاید دفعه‌ی بعد که یک دلال مواد مخدر به‌همراه یک PSP دستگیر شود، بخواهید او را بگردید تا بلکه کارتِ رسانه‌ی فلشِ کوچکی بیابید- ممکن است به‌عنوان یک دلال، فهرست تماس‌های او از کارت فلشی روی PSP قابل‌دسترسی باشد. تا زمانی که به سطح همسان‌تری از اطلاع و دانش مقدماتی در میان پرسنل اجرای قانون دست نیافته‌ایم،‌ بسیار دشوار است که بتوان حدس زد که این آگاهی افزایش‌یافته تا چه میزان در روند بازپرسی‌ها سودمند خواهد بود و بر سر آن شرط بست. اما به قول معروف، ۱۰۰ درصد تیرهایی را که نمی‌زنید از دست می‌دهید، و با توجه به بحث ما، ۱۰۰ درصد مدارکی را که به دنبال آن‌ها نمی‌گردید از دست می‌دهید.

سوم این‌که، هر نوع روش‌شناسی توقیفی که توسط دایره‌ای اقتباس و/یا توسعه داده می‌شود، باید به‌اندازه‌ی کافی سیال باشد تا هم به افراد دارای آموزشِ حداقلی و هم به کارشناسان کاملاً آموزش‌دیده این امکان را بدهد که هر دو بتوانند عمل توقیف را انجام دهند. آیا می‌خواهید کارشناس خود را در موقعیتی دشوار و آشفته‌کننده قرار دهید اگر او پروتکل مربوطه را نقض کند تا کاری را انجام دهد که به‌لحاظ فنی مناسب‌تر است؟ برعکس، آیا می‌خواهید در هر حکم تفتیش، دستگیری، یا بازرسی خوردرویی، کارشناس شما سر صحنه باشد؟ باید در روش‌شناسی به‌کارگرفته‌شده گزینه‌هایی وجود داشته باشد که به هر افسری این امکان را بدهد تا به‌طور منطقی بر اساس سطح مهارت خود عمل نماید.

دیگر گزینه‌ها برایِ توقیف مدرک دیجیتال

توقیف کامل افزاره/رسانه‌ی ذخیره‌سازی فیزیکی، رایج‌ترین نوع توقیفی است که امروزه تبدیل به رویه‌ای برای پاسخگویان اجرای قانون شده است، رویه‌ای که جای بحث دارد. پرسشی که همچنان پابرجا ست این است که آیا علاوه بر توقیف افزاره‌هایی فیزیکی که در دسترس پاسخگویان هستند، گزینه‌های دیگری نیز وجود دارد؟ اگر بله، آیا این روش‌های توقیف در دسترس همه قرار دارند یا فقط برای فنی‌ترین پاسخگویان قابل‌دسترسی هستند؟

از مدت‌ها پیش تا به امروز، بسیاری از اعضای جامعه‌ی قانونی چندان اعتقادی نداشته‌اند و ندارند که پاسخگویان این توانایی را داشته باشند که بتوانند نسبت به رایانه‌هایی که با آن‌ها مواجه می‌شوند، سرِصحنه به‌طور مناسب اقداماتی انجام دهند. جهت‌گیری کلی فقط همین بود که: «به صفحه‌کلید دست نزنید. دوشاخه را بکشید و همه‌چیز را به آزمایشگاه بفرستید.» در بسیاری از موارد، این جنبه‌ی قانونیِ قضیه صحیح است که با اتخاذ این روش سخت‌گیرانه باید از تحریف یا نابودی احتمالی داده‌ها جلوگیری کرد- به‌ویژه بر اساس فن‌آوریِ دیروز- اما به چه قیمتی؟ اگرچه ممکن است جامعه‌ی قانون رایانه‌ای، نیّت خیری از ترویج روشِ «دوشاخه را بکش» داشته است و قصد داشته است که بهترین کار را انجام دهد، باید بررسی کنیم که گرفتن این اختیار از پاسخگویانِ سرِصحنه چه تأثیری بر کل فرآیند قانونی داشته و دارد، از توقیف گرفته تا آنالیز و تا بازپرسی و در نهایت دادستانی.

آخرین نسخه‌ی تفتیش و توقیف رایانه‌ها و کسب مدرک دیجیتال (کتاب‌راهنما)، که توسط وزارت دادگستری منتشر شده است، این موضوع را مطرح می‌نماید که توقیف مدرک دیجیتال باید، با توجه به موقعیت و نیز سطح آموزش پاسخگو، یک فرآیند افزایشی باشد. این کتاب‌راهنما به تشریحِ روشی افزایشی می‌پردازد که به‌عنوان یک استراتژی تفتیش برای توقیف مدرک دیجیتال از شرکتِ درحالِ کار، مورد استفاده قرار می‌گیرد چرا که توقیف کاملِ تمام رایانه‌های چنین شرکتی غیرعملی است.

این کتاب‌راهنما گام‌های زیر را در روش افزایشی خود تعیین می‌کند:

1. پس از رسیدن به سرِصحنه، مأموران باید اقدام به شناسایی مدیر سیستم‌ها یا فرد مشابهی نمایند که حاضر باشد در شناسایی، کپی و/یا چاپ کپی‌هایی از فایل‌های مربوطه یا اشیاء داده‌ایِ تعیین‌شده در حکم تفتیش به اجرای قانون کمک نماید.
2. اگر هیچ کدام از کارمندان شرکت برای کمک به مأمور در دسترس نباشد، مأمور مربوطه از یک کارشناس رایانه‌ای درخواست خواهد کرد که اقدام به مکان‌یابی فایل‌های رایانه‌ایِ تشریح‌شده در حکم تفتیش و اقدام به ایجاد کپی‌هایی الکترونیکی از آن فایل‌ها کند. فرض بر این است که اگر آن مأمور، کارشناس باشد، باید بتواند اقدام به بازیابی مدرک کند.
3. اگر مأمور یا کارشناس قادر نباشد فایل‌ها را بازیابی کند، یا اگر تفتیشِ در-محل به دلایل فنی غیرعملی باشد، در آن صورت گزینه‌ی دیگر، ایجادِ تصویری از آن قسمت‌هایی از رایانه است که احتمال دارد اطلاعات تشریح‌شده در حکم تفتیش در آنجا ذخیره شده باشند.
4. اگر تصویربرداری به دلایل فنی، غیرعملی یا ناممکن باشد، در آن صورت، مأمور مربوطه باید آن رسانه‌ی ذخیره‌سازی و قطعاتی را توقیف نماید که به اعتقاد او، به‌لحاظ منطقی آن‌ها شاملِ اطلاعاتی هستند که در حکم تفتیش تشریح شده‌اند.

تمرکزِ این کتاب‌راهنما روی اجرای قانون فدرال است و استراتژی تفتیشِ افزایشیِ آن در یک پس‌زمینه‌ی مشخص تشریح می‌گردد که آن پس‌زمینه این است: پاسخگویی به تشکیلات تجاریِ دایری که ممکن است مدرک جرم در سیستم‌های آن تشکیلات تجاری قرار داشته باشد- از این رو، تمرکز این کتاب‌راهنما روی کمک گرفتن از مدیر سیستم‌های تشکیلات تجاری است. در واقع، اگرچه شما قصد ندارید که برای بازیابی فایل‌های موردنظر از متهم کمک بگیرید، دلایل قابل‌قبولی وجود دارد که می‌توان این استراتژی تفتیش افزایشی را برای تفتیش و توقیف اطلاعات دیجیتال که روی سیستم‌های غیرتجاری وجود دارند، نیز توسعه داد. اول این‌که، بسیاری از کاربران خانگی، شبکه‌هایی ایجاد می‌کنند که مشابه شبکه‌هایی هستند که در تشکیلات تجاری کوچک موجود هستند. دوم این‌که، حجم ذخیره‌سازی در شبکه‌ای خانگی ممکن است بیش‌تر از حجم ذخیره‌سازی‌ای باشد که برای اهداف تجاری به‌کار می‌رود، چرا که احتمال بیش‌تری وجود دارد که کاربران خانگی، فایل‌های پرحجمِ موسیقی و فیلم را نگه‌داری کنند. در نهایت این‌که، فن‌آوری‌های کنونی و در-حالِ-ظهوری مانند رمزبندی تمام‌دیسک، آنالیز خارج‌ازمحلِ رسانه‌های ذخیره‌سازی را اگر ناممکن نسازند، غیرعملی می‌سازند. در حال حاضر، ساز و کاری باید توسعه داده شود که این امکان را به پاسخگویان بدهد تا مدرک موردنظر را از سیستمِ در-حال-اجرا استخراج نمایند، پیش از آن‌که استفاده از این نوع از سیستم‌ها گسترش یابد. در غیر این‌صورت، ممکن است ما گفتمان غالب را چند سالی دیرتر از زمانی که باید، تغییر دهیم.

اگرچه تغییرِ کانونِ توجه از سخت‌افزار-به‌عنوان-مدرک به اطلاعات-به‌عنوان-مدرک هجرت بنیادینی بود از نحوه‌ی نگرش کنونیِ بسیاری از افراد به مدرک دیجیتال، این تغییر، چندان نقطه‌نظر جدیدی هم نیست. در واقع، این تغییرِ کانونِ توجه رو به اطلاعات-به‌عنوان-مدرک، رنسانسی در جوانب مختلف بود؛ بازپرسان جرایم سایبریِ دیروزی، جز بازیابی اطلاعات مربوطه از سرورها و شبکه‌ها هیچ نمی‌دانستند. به‌لحاظ تاریخی، بسیاری از بازپرسی‌های جرایم سایبری در ارتباط با بازرسی رویدادهایی بودند که درون زیرساخت شبکه اتفاق می‌افتادند. باک بلوم‌بِکِر، در سال ۱۹۹۰ پیش از ظهورِ وب‌ جهان‌گستر، در کتاب خود به نامِ جرایم رایانه‌ایِ تماشایی، در باره‌ی جرایم رایانه‌ای فراوانی بحث می‌کند، که اغلبِ آن‌ها در ارتباط با حملات علیه زیرساخت شبکه (ویروس، کرم) یا توطئه‌هایی است که به‌واسطه‌ی حضور زیرساخت شبکه میسر شده‌اند، مانند سرقت رایانه‌‌ای غیرمجاز به‌مقتضای آن زمان یا دستکاریِ سیستم انتقال سیم به‌منظورِ سرقت وجوه بانک.

همان‌طور که در فصل ۲، طرح «جرم رایانه‌ای»، بحث شد، جرایمِ با جزء سایبری پس از انقلاب رایانه‌های شخصی دچار تغییرات فوق‌العاده زیادی شدند، که این تغییر با ظهور وب جهان‌گستر همراه بود. پیش از دهه‌ی ۱۹۹۰، افراد بسیار کمی وجود داشتند که از رایانه‌های شخصی فقط برای اهداف شخصی استفاده می‌کردند. پیش از دهه‌ی ۲۰۰۰، تعداد کمی از افراد اطلاعات شخصی خود را در معرض دید جهانیان قرار می‌دادند. بنابراین، وقتی به گذشته نگاه می‌کنیم جای تعجب ندارد که می‌بینیم بازپرسی جرایم سایبری، بیش‌تر در ارتباط با پاسخگویی به رویدادهایی بوده است از جنسِ استخراج ثبت وقایع و اسناد از سرورها و دیگر افزاره‌های دیجیتال زیرساختی، و کمتر مرتبط با توقیف یک رایانه‌ی شخصی بوده است. کپی کامل سرورها غیرعملی بود، هزینه‌های ذخیره‌سازی بالا بودند، و بنابراین، عاملِ هزینه یکی از موانعی بود که اجازه نمی‌داد بتوان تجهیزات لازم برای تصویربرداری کلّ سرور را جمع‌آوری نمود. اگرچه بازپرسانِ آن زمان در مسیر تازه‌ای قدم برمی‌داشتند، دانش کافی در این زمینه را داشتند که اعمال خود را مستند سازند، تمام تلاش خود را بکنند تا اشیاء داده‌ایِ دارای ارزش مدرکی را تغییر ندهند، و از اشیاء داده‌ای مربوطه تصویر بگیرند تا بعدها بتوان آن‌ها را چاپ کرد یا به آن‌ها ارجاع داد. پاسخگویانِ رویدادهای مرتبط با نفوذ به شبکه، هیچ گزینه‌ی دیگری جز توقیف اشیاء داده‌ای مربوطه نداشتند- که این مورد هنوز هم پابرجا است.

پاسخگویی به قربانیِ جرمی که در ارتباط با مدرک دیجیتال است

ضرب‌المثلی قدیمی هست که می‌گوید تمام سیاست‌ها سیاست‌های محلی هستند. اگرچه با این ضرب‌المثل کاملاً موافق نیستم، به‌راستی اعتقاد دارم که تمام جرایم جرایمِ محلی هستند. شاید اینترنت موجب ایجاد جامعه‌ای جهانی شده باشد، اما جرم، حتی جرایمی که در اینترنت انجام می‌شوند، به دایره‌ای محلی گزارش داده می‌شود. این امر بسیار ضروری است که دوایر محلی این توانایی را داشته باشند که بتوانند برای جرمی با جزء سایبری شکایت‌نامه‌ای تنظیم نمایند و بتوانند به‌طور مناسب پاسخگو باشند. من داستان‌های هول‌آوری شنیده‌ام که شکایت‌هایی مبنی بر آزار و اذیت ایمیلی، کلاه‌برداری حراجی، و دیگر جرایمِ با جزء سایبری، خیلی راحت از طرف دایره‌ی محلی نادیده گرفته شده‌اند. بله، اظهاریه‌ای اخذ شده و گزارشی آمده شده است، اما هیچ بازپرسی‌ای برای پیگیری آن انجام نشده است. بدتر از آن، من شنیده‌ام که برخی از دوایر به قربانیان گفته‌اند که برای بازپرسی شکایت آن‌ها باید دست‌گاه آن‌ها به‌منظورِ انجام آنالیز قانونی توقیف گردد، و آن آنالیز ممکن است بیش از یک سال طول بکشد تا تکمیل گردد. فکر می‌کنم کاملاً واضح است که چرا آن شکایت رها می‌شد.

قسمت تأسف‌برانگیز این قضیه این‌جا است که افسر پاسخگو (یا دایره‌ی محلی) به‌اشتباه روی فن‌آوری مربوطه تمرکز می‌کند و خودِ جرمی را که رخ داده است، نمی‌بیند. اغلب، فن‌آوریِ به‌کاررفته در درجه‌ی دوم قرار دارد و ارتباط کمی با اصل موضوع دارد. احتمال زیادی دارد که اظهارات آزاردهنده‌ای که در یک ایمیل آمده است، از سوی فردی باشد که پیش از آن، قربانی او را می‌شناخته است. اگر این آزار و اذیت از طریق وسیله‌ی غیرقابل‌توقیف و غیرمجازی دیگری رخ می‌داد (برای مثال، افشانه‌ی رنگی روی ماشین کشیدن)، به احتمال زیاد افسر مربوطه به درِ خانه‌ی فرد متهم می‌رفت و صحبتی با او می‌کرد. پیگیریِ آزار و اذیت ایمیلی نیز باید از چنین منطقی استفاده کند. آیا واقعاً نیاز است که در این بازپرسی روی ردیابیِ منبع ایمیل تمرکز کنید در حالی که از قبل، سرنخ خوبی در دست دارید که چه کسی آن ایمیل را ارسال کرده است؟ ضروری است که بازپرسان، تنها به این دلیل که پای رایانه‌ای در میان است، مهارت‌های بازپرسانه‌ی خود را به دست فراموشی نسپارند.

زمانی که در حال پاسخگویی به یک قربانی هستید، تمرکز اصلی باید روی این قضیه باشد که به قربانی کمک شود تا اطلاعاتی به مأمور اجرای قانون ارائه دهد که شکایت او مستند و قابل‌اثبات گردد- چاپِ ایمیل آزاردهنده به‌همراه اطلاعات کاملِ سرعنوان آن، بُرش-و-الصاق و چاپِ گفت‌وگوهای IM که طی آن گفت‌وگوها به کودک آنان پبشنهاد رابطه‌ی جنسی داده شده است، یا چاپِ صفحه‌نمایشی از صفحه‌وبِ مختل‌کننده. هرگونه اطلاعاتی که قربانی بتواند در اختیار مأمور پاسخگو قرار دهد، کارآییِ کل فرآیند بازپرسی را افزایش خواهد داد. مأمور مربوطه می‌تواند سرعنوان ایمیل را بخواند و با توجه به آن، تعدادی حکم صیانت، خطاب به ISPها بگیرد؛ کارآگاهان می‌توانند به جای تأمین اظهاریه‌ی دیگری از قربانی، کار روی مورد مربوطه را آغاز نمایند؛ و سیستم قانون رایانه‌ای نیز متحملِّ بازرسی دست‌گاه دیگری نخواهد شد- به‌ویژه برای آن دسته از اشیاء داده‌ای که به‌لحاظ منطقی می‌توان آن‌ها را سرِصحنه به‌دست آورد.

مواردی اتفاق می‌افتند که لازم است رایانه‌ی فرد قربانی توقیف گردد. آزار و اذیت در ایمیل یا ای‌گپ (به‌هنگام ورود و خروج) که موجب نقض دستورات حفاظتی می‌گردد، بسته به نوع موقعیت، می‌تواند مشمول توقیف گردد. اگر همسر یا هم‌اتاقی فرد، چیزهایی در ارتباط با بچه‌نگاری در رایانه بیابد، رایانه‌ی مربوطه باید توقیف گردد چرا که حاویِ محتویات غیرمجاز است. اما به استثنای این شرایط اجتناب‌ناپذیر، توقیف رایانه‌های قربانی اغلب ضرورتری ندارد و تنها موجب انباشته شدنِ موارد زیادی در آزمایشگاه قانون رایانه‌ای می‌گردد.

هنگام صحبت با فرد قربانی، از این موضوع مطمئن شوید که او را کاملاً آگاه کرده‌اید که هیچ چیزی را در سیستم خود پاک نکند تا زمانی که شکایت او کلّ فرآیند خود را طی کند. هم‌چنین، از این موضوع مطمئن شوید که گام‌هایی را که قربانی برمی‌دارد تا مدرک اثبات‌کننده‌ای به شما ارائه دهد، به‌خوبی مستند سازید. اگر مجبورید که به هر طریق به قربانی کمک نمایید- برای مثال، شاید به او نشان داده‌اید که چگونه سرعنوان کامل را در ایمیل ببیند- مطمئن شوید که تمام آن اعمال در مستندسازی مربوطه آمده‌اند. زمان سیستم موجود در رایانه را یادداشت نمایید، و وارسی کنید که مدرک مربوطه حاویِ نشانِ زمانی و تاریخی باشد، و این‌که آن زمان و تاریخ برای فرد قربانی قابل‌فهم باشد. در نهایت این‌که، پاسخگویِ نیازهای قربانی باشید. بسیاری از جرایمِ با جزء سایبری- به‌ویژه کلاه‌برداری‌ها و سرقت‌ها- یک جزء بین‌المللی دارند که دستگیری متهم و جبران خسارت قربانی تقریباً غیرممکن می‌گردد. دلسوز باشید و هرگونه منابعی را که می‌توانند به قربانی کمک نمایند در اختیار او قرار دهید؛ منابعی در ارتباط با نحوه‌ی تعامل با بآن‌کها، شرکت‌های کارت اعتباری، و اعتباردهنده‌هایی مانند گزارش پلیسی که به‌خوبی نوشته شده است. آن‌ها یک بار پیش از این، قربانی شده‌اند؛ اجازه ندهید که اعمال شما هم منجر به امتدادِ قربانی‌شدنِ آن‌ها گردد.

نمونه‌ای از توقیف

در این‌جا ما نمونه‌ای از توقیف دیجیتال را بررسی می‌نماییم تا با گزینه‌هایی که سرِصحنه در دسترس پاسخگویان قرار دارد، آشنا شوید. اجازه دهید این‌گونه فرض کنیم که سالی ایمیلِ آزاردهنده‌ای از طرف ارسال‌کننده‌ی ناشناسی دریافت می‌کند. او اعتقاد دارد که آن ایمیل از طرف همکار سابق او به نامِ سام است، که پیش از آن نیز سالی را با استفاده از روش‌های غیررایانه‌ای آزار داده بود. مأمور مربوطه طبق راه‌بردی عمل می‌کند که در بخش بالا آمده است: «پاسخگویی به قربانیِ جرمی که در ارتباط با مدرک دیجیتال است»، و به سالی توصیه می‌کند که نسخه‌ای از ایمیل مربوطه را چاپ کند که در آن، اطلاعاتِ سرعنوانِ ایمیل به‌طور کامل نشان داده شده باشد. سالی ایمیل مربوطه را چاپ می‌کند تا به‌عنوان مدرکی مستدل برای پشتیبانی از شکایت او به‌کار رود، که این امکان را می‌دهد تا بازپرسی مربوطه بدون ایجاد هرگونه مشکل بی‌جهت برای قربانی، ادامه یابد.

سپس، بازپرس از اطلاعات موجود در سرعنوان ایمیل برای تماس با خدمات‌دهنده‌ی ایمیل استفاده می‌کند، برگه‌ای قانونی به خدمات‌دهنده ارسال می‌شود در آن اطلاعات صاحب حساب درخواست شده است، و در نهایت، ردّ آن ایمیل تا حساب خدمات‌دهنده‌ی اینترنتیِ (ISP)‌ سام گرفته می‌شود. حالا ما تأییدیه‌ای عمومی در اختیار داریم مبنی بر این‌که آن ایمیل از رایانه‌ای متصل به حساب ISPِ سام ارسال شده است- اگرچه می‌تواند هر کدام از رایانه‌های موجود در خانه‌ی سام و احتمالاً حتی همسایه‌ای باشد که از دسترسی بی‌سیمِ سام استفاده می‌کند.

بازپرس، استشهادیه‌ی حکم تفتیشی را آماده می‌کند که بر مبنای آن، به دنبال اطلاعاتی می‌گردد که مرتبط به این مورد هستند- به‌ویژه کپیِ صیانت‌شده‌ای از آن ایمیل. بازپرس مراقب است که در حکم تفتیش فقط روی توقیف اطلاعات متمرکز شود، و نه روی رسانه‌های ذخیره‌سازی و محفظه‌هایی که ممکن است اطلاعات در آن‌ها قرار داشته باشند. علاوه بر این، بازپرس خاطرنشان می‌سازد که در این کار از روش افزایشی استفاده خواهد شد، که طبق این روش، در صورت امکان از توقیفِ در-محل استفاده خواهد شد، اما اگر ناگزیر باشیم ممکن است تمام رسانه‌ها و افزاره‌های ذخیره‌سازی دیجیتال که احتمال قابل‌قبولی دارد حاویِ مدرک موردنظر ما باشند، جهتِ بازبینیِ خارج‌ازمحل توقیف نماییم. بازپرس از آن حکم تفتیش استفاده می‌کند و فقط یک رایانه در منزل سام می‌یابد. سیستم مربوطه روشن است و، طبق گفته‌ی متهم، سیستم‌عامل آن ویندوز ایکس‌پی است. بنابه اظهار متهم که رایانه دارای گذرواژه است، و او گذرواژه را به شخص دیگری نداده است، به‌لحاظ منطقی می‌توان این‌طور نتیجه گرفت که آن رایانه تنها توسط مالک‌اش به‌کار می‌رود. در این لحظه، بازپرس سرِصحنه به صفحه‌نمایش روشن خیره می‌شود که دارای تصویر صفحه‌ی زیبایی از کشتزارهای آرام و ابرها است، اما بازپرس هم‌اکنون با تصمیمات دشواری روبه‌رو است. به‌نظر می‌رسد که رایانه‌ی موردنظر در حال اجرای ویندوز ایکس‌پی است که اظهارات متهم را تایید می‌کند. در صورت قطع سریع برق، مشکلی برای ویندوز ایکس‌پی ایجاد نمی‌شود، بنابراین، یکی از گزینه‌ها کشیدن دوشاخه است، اما کشیدن دوشاخه به این معنی است که کلّ رایانه باید برای بازرسی به آزمایشگاه قانون رایانه‌ای آورده شود. بازپرس می‌داند که رسیدنِ نوبت در آزمایشگاه قانون رایانه‌ای حدود شش ماه طول می‌کشد- مسیر دور و درازی که باید طی شود تا مشخص شود که آیا متهم در حالِ آزار قربانی است یا نه. در عرض این شش ماه، اگر چلیس مداخله ننماید، ممکناست ایت آزار و اذیت افزایش یابد (بسته به نوع آزار)، و ممکن است قربانی مورد تهاجم فیزیکی قرار گیرد. علاوه بر این، بازپرس می‎‌داند که ویندوز ایکس‌پی مجهز به سیستم فایل رمزبندی‌شده‌ی ویندوز است، یک سیستم رمزبندی فایل و فولدر که به‌ندرت به‌کار می‌رود، اما اگر فعال شده باشد، در صورت عدم همکاریِ متهم، بازیابیِ اطلاعات موجود در سیستم را بسیار دشوار می‌سازد.

بازپرس به گزینه‌های دیگری فکر می‌کند که در دسترس او قرار دارند. بازپرس می‌تواند از یک ابزار بازبینی نرم‌افزاری استفاده کند تا اطلاعاتِ بیان‌شده در حکم تفتیش را بیابد. در این مورد، سام از مایکروسافت اوت‌لوک به‌عنوان خدمات‌گیرنده‌ی ایمیلی خود استفاده می‌کند، و فایلی با قالب .pst روی سیستم وجود خواهد داشت که حاویِ تمام فولدرهای مرتبط با اوت‌لوک است. این فایل .pst باید در فولدرِ اقلامِ ارسال‌شده، حاویِ ایمیلی باشد که مطابق با همان ایمیل دریافتی توسط قربانی است. اگر بازپرس دلایلی داشت مبنی بر این‌که اطلاعاتی در حافظه‌ی RAM ذخیره شده است که مرتبط به این مورد است، می‌تواند از روی RAM نسخه‌برداری کند تا بعداً موردِ آنالیز قرار گیرد. این سناریو در شرایطی می‌تواند مصداق داشته باشد که بازپرس پیش‌نویسی از ایمیل دیگری را هم‌اکنون روی صفحه‌نمایش مشاهده نماید. اگر طی مرور فایل .pst ایمیل مربوطه کشف شد، می‌توان از کلّ درایو تصویر گرفت، یا اگر به اعتقاد بازپرس، به دلایلی تصویربرداری از کل درایو دشوار باشد، می‌توان فقط از فایل .pst تصویر گرفت.

در این مثال، شاید بازپرس تصمیم بگیرد که دوشاخه را بکشد و آن را به آزمایشگاه تحویل دهد. شاید بازپرس اعتقاد دارد که بر اساس شکایت قربانی، به‌اندازه‌ی کافی مدرک وجود دارد که بتوان متهم را مجبور کرد به پاسگاه بیاید تا در باره‌ی آن‌چه در جریان است، صحبت کرد. اما شاید بازپرس علاقه‌ای به صحبت با متهم ندارد و واکنش اساسی‌تری نسبت به سطح فوریتِ این مورد می‌دهد. شاید پیش‌مشاهده‌ی سرِصحنه و ایمن‌سازی فایل .pst مدارک کافی را در اختیار بازپرس قرار دهد تا بتواند متهم را دستگیر نماید. نکته‌ی مهم این‌جا است که بدون در اختیار داشتنِ گزینه‌های اضافی برای بازبینی داده‌های دیجیتال، دست بازپرس بسته است.

طبق روش افزایشی که در کتاب‌راهنما تشریح شده است، بازپرس باید علاوه بر توقیف کامل، گزینه‌های دیگری نیز در دسترس داشته باشد، گزینه‌هایی مانند:

• پیش‌مشاهده‌ی اطلاعات در سرِصحنه
• کسب اطلاعات از رایانه‌یِ در حالِ اجرا
• توقیفِ سرِصحنه‌ی اطلاعات از طریق تصویربرداری کاملِ رسانه
• توقیفِ سرِصحنه‌ی اطلاعات از طریق تصویربرداری یک شیء داده‌ای معین

در بخش بعدی، نگاهی خواهیم داشت به گزینه‌های گفته‌شده و بحث خواهیم کرد که هر یک از آن‌ها تحت چه شرایطی برای پاسخگویی و بازپرسیِ جرایمِ مرتبط با مدرک دیجیتال مناسب خواهند بود.

پیش‌مشاهده‌یِ سرِصحنه‌یِ اطلاعات برای تعیینِ وجود و مکانِ اشیاء داده‌ای مدرکی

پاسخگوی سرِصحنه باید بتواند به این نتیجه‌گیری برسد که اطلاعاتِ تشریح‌شده در حکم تفتیش، بیش‌تر احتمال دارد در کجای رسانه‌ یا افزاره‌ی ذخیره‌سازی وجود داشته باشند. پیش‌مشاهده، در مورد سی‌دی یا دی‌وی‌دی، پیچیدگی کمتری دارد چرا که احتمال نویسشِ سهوی در بخشی از رسانه‌ی نوری، بسیار کمتر از زمانی است که در حال کار با رسانه‌ی مغناطیسی هستند. در مورد سی‌دی یا دی‌وی‌دی، پاسخگو می‌تواند از لپ‌تاپی قانونی که روی آن تعدادی از ابزارهای قانون رایانه‌ای در حال اجرا است، استفاده کند تا به‌سرعت محتویات سی‌دی یا دی‌وی‌دی را به‌منظورِ بازدید به‌دست آورد و بازرسی کند. در باره‌ی رسانه‌های مبتنی بر فلش نیز می‌توان فرآیند مشابهی را انجام داد، اگرچه باید احتیاط بیش‌تری کرد تا این اطمینان حاصل شود که رسانه‌ی مربوطه تغییر نمی‌یابد. در این‌جا، انعطاف‌پذیری باز هم شاخصه‌ای حیاتی است. پیش‌مشاهده‌یِ تنها برخی از رسانه‌های نوری در سرِصحنه می‌تواند مناسب باشد، اما تعداد بسیار بیش‌تری از رسانه‌ها باید به‌منظورِ بازدید در آزمایشگاه  به خارج‌ازمحل برده شود.

فن‌آوری‌هایی وجود دارند که به پاسخگویان این امکان را می‌دهند تا داده‌های موجود در رسانه‌ی ذخیره‌سازی را پیش‌مشاهده نمایند و اطلاعات تشریح‌شده در حکم تفتیش را مکان‌یابی نمایند. این بسته‌های «نرم‌افزار پیش‌مشاهده‌ی قانونی»، که هم‌اکنون در دوران طفولیت خویش به‌سر می‌برند، بیش از پیش در جامعه‌ی بازپرسی جرایم رایانه‌ای پذیرفته می‌شوند. رایج‌ترین بسته‌های نرم‌افزار پیش‌مشاهده روی سی‌دی عرضه می‌شوند و ضرورتاً بر مبنای سیستم‌عامل لینوکس هستند که به‌طور کامل در RAM اجرا می‌شود و نیازی به هیچ کدام از منابع سخت‌درایو(ها) ندارد. برخی از این دیسک‌ها، از جمله نوپیکس، هِلیکس، و اِسپادا هم‌اکنون توسط اجرای قانون استفاده می‌شوند. لازم است که چندین راه‌اندازیِ کنترل‌شده انجام شود تا این اطمینان حاصل شود که تغییرات مناسب در بایاس اِعمال شده است و در نتیجه، رایانه از روی سی‌دی راه‌اندازی خواهد شد. اگرچه بِه‌رویّه‌ها باید در-محل تعیین شوند، من توصیه می‌کنم که در حینِ راه‌اندازی‌های کنترل‌شده‌ای که انجام می‌شوند تا نحوه‌ی تغییرِ ترتیبِ راه‌اندازی را در بایاس معین سازیم، تغذیه‌ی تمام سخت‌درایوها در رایانه‌های رومیزی قطع شود و سخت‌درایوهای لپ‌تاپ بیرون آورده شوند. اطلاعات اضافی در باره‌ی استفاده از راه‌اندازی‌های کنترل‌شده برای بازرسی و تغییر اطلاعات بایاس و سیموس را می‌توانید در شیوه‌های توقیفِ موجود در نشریه‌ی «بازرسی قانونیِ مدرک دیجیتال: راهنمایی برای اجرای قانون» بیابید (NIJ، ۲۰۰۴).

وقتی که سیستم با نرم‌افزار پیش‌مشاهده‌ی قانونی راه‌اندازی می‌گردد، می‌توان سخت‌درایوهای رایانه را به‌صورتِ فقط‌خوانشی در لینوکس سوار کرد، یا در دسترس ساخت. همین که سوار شدند، نرم‌افزار پیش‌مشاهده‌ی مربوطه واسطی در اختیار پاسخگو قرار خواهد داد که یا از طریق جست‌وجوی کلیدواژه اطلاعات موردنظر خود را جست‌وجو کند، یا پاسخگو بتواند درون فهرستِ درختی پیمایش کند تا فایل یا فهرست موردنظر را مکان‌یابی نماید. اگر اطلاعات تشریح‌شده در حکم تفتیش، در مرحله‌ی پیش‌مشاهده مکان‌یابی گردند، پاسخگو می‌تواند انتخاب کند که از شیء داده‌ای، فایل، یا فولدر معینی که اطلاعات در آنجا قرار دارد، تصویربرداری نماید. هم‌چنین، حالا که پیش‌مشاهده‌ی مربوطه با دردسر کمتری به پاسخگو نشان داده است که این «محفظه‌ی» خاص شاملِ اطلاعات موردنظر است، او می‌تواند تصمیم بگیرد که کلّ سخت‌درایو را توقیف نماید.

با گذشت زمان، همگام با این امر که مشکلات مرتبط با توقیف کامل، آشکارتر می‌شوند و نیاز به تمرکز بر توقیفِ اشیاء داده‌ایِ اختصاصی از صحنه‌ی جرم دیجیتال، مشهودتر می‌گردد، بسته‌های نرم‌افزار پیش‌مشاهده‌ی قانونی همچنان تکامل و توسعه خواهند یافت. این امید هست که با تکامل تدریجی این ابزارها، خصیصه‌ها و مشخصه‌های ویژه‌ای به آن‌ها افزوده گردد که آن ابزار را «مختصِّ اجرای قانون» سازند. کمبودِ خصیصه‌های مختصّ اجرای قانون، مانند واسط کاربری‌های شهودی، ثبت ردّ ممیزی، و تولید داده‌های با کیفیتِ مدرکی، اغلب یکی از موانعِ موجود بر سر راهِ پذیرشِ نرم‌افزار تجاری مربوطه از سوی جامعه‌ی اجرای قانون است (ISTS، ۲۰۰۴).

کسب اطلاعات از رایانه‌ی در-حالِ-اجرا

اگر بازپرس با رایانه‌ای مواجه شود که در حالِ اجرا است، و به اعتقاد بازپرس، اطلاعاتی دارای ارزش مدرکی در حافظه‌ی فعال رایانه، یا RAM، ذخیره شده است، گزینه‌هایی در دسترس او قرار دارد که این امکان را می‌دهند تا بتوان RAM را بازیابی کرد. برای مثال، اجازه دهید موقعیتی را بررسی کنیم که بازپرس سرِ صحنه‌ای قرار می‌گیرد که در آن مکان، متهم در حال ای‌گپ زدنِ آنلاین با مأموری مخفی یا فرعی بوده است. زمانی که مأموران سرِ صحنه می‌رسند، متهم به‌سرعت پنجره‌ی ای‌گپ را می‌بندد. به‌طور پیش‌فرض، بسیاری از برنامه‌های ای‌گپ، فایلی از ثبت جلسات ای‌گپ نگه نمی‌دارند و تقریباً تمام فعالیت واقعی ای‌گپ در بخشی از برنامه‌ای انجام می‌شود که در RAMِ رایانه‌ی مربوطه در حالِ اجرا است. بدون کسبِ رونوشت، یا دانلودِ RAM، احتمال بسیار کمی وجود خواهد داشت که بتوان اطلاعاتی از رایانه‌ی متهم در باره‌ی جلسه‌ی ای‌گپی به‌دست آورد که همین چند لحظه پیش صورت گرفته است. ای‌گپ، تنها نوع داده‌ای نیست که در RAM نگه‌داری می‌شود. گذرواژه‌ها، اسناد ذخیره‌نشده، پیش‌نویس‌های ذخییره‌نشده‌ی ایمیل‌ها، گفت‌وگوهای IM، و الخ همگی می‌توانند در RAM، و نه در هیچ جای دیگر رایانه، نگه‌داری شوند. بازپرس باید تصمیم بگیرد که آیا اطلاعات تشریح‌شده در حکم تفتیش، به‌لحاظ منطقی ممکن است در RAMِ رایانه کشف شوند یا نه. اگر اطلاعات تشریح‌شده در حکم تفتیش در رابطه با اثبات اختلاس باشند، توجیهِ چندان منطقی‌ای ندارد که بتوان پذیرفت داده‌های موجود در RAM مرتبط با این مورد باشند. این گفته به این معنا نیست که چنین چیزی ممکن نیست- منتها پاسخگو باید سراغِ مکان‌هایی برود که بالاترین احتمال را دارند که حاویِ اطلاعات تشریح‌شده در حکم تفتیش باشند. حتی اگر متهم روی فایل مرتبطی کار کرده بود و بقایای همان فایل در RAM موجود بود، نتیجه‌ی منطقی این است که آن فایل روی رسانه‌ی پایدارتری، مانند سخت‌درایو ذخیره شده است. از طرف دیگر، اگر در حکم تفتیش، اطلاعاتی مرتبط با جلسات ای‌گپ یا آنی‌پیامِ نامناسب شرح شده باشد، RAMِ رایانه‌ی در-حالِ-اجرا مکان اصلی، و به احتمال زیاد تنها مکانی خواهد بود که اطلاعات تشریح‌شده در حکم می‌توانند در آنجا وجود داشته باشند. در این مورد، استفاده از برنامه‌ای مانند هلیکس برای «رونوشت‌برداری» از RAM به افزاره‌ی ذخیره‌سازی پاسخگو اولویت بسیار بالایی خواهد داشت (Shipley، ۲۰۰۶).

البته، در باره‌ی آن‌چه می‌خواهید انجام دهید احتیاط کنید، چرا که رونوشت RAM می‌تواند شامل چندین گیگابایت اطلاعات شبه‌تصادفی باشد. تکه‌هایی از اسناد، کلیدهای رجیستری، فراخوانی APIها، و میزبان کاملی از دیگر داده‌های ناخواسته که در قالب فایل متنی غول‌پیکری درهم‌آمیخته شده‌اند. هنوز هم کمینه‌سازی یکی از عواملی است که باید در نظر گرفت، حتی زمانی که RAM به‌عنوان یکی از مکان‌هایی شناسایی شده است که داده‌های مربوطه می‌توانند در آنجا وجود داشته باشند- اگر امکان دارد که داده‌ها جای دیگری قرار داشته باشند، مفیدتر است که آن را بررسی کرد تا این‌که تلاش کرد آن‌ها را از درون رونوشتِ RAM بیرون کشید.

سِرچ، سازمان ملی آموزش اجرای قانون، اخیراً کتابی منتشر کرد در باره‌ی مبانیِ جمع‌آوری مدرک از رایانه‌ی در-حال-اجرا، که در رابطه با استفاده از نرم‌افزار پیش‌مشاهده است تا بتوان محتویات RAM را از دست‌گاه در-حال-اجرا پیش از توقیف به‌دست آورد (Shipley، ۲۰۰۶). در مقاله‌ی سِرچ، نوعی انحراف از معیار مشاهده می‌شود که طی آن تصدیق می‌شود که هنگامِ وارد کردنِ درایو USB درون دست‌گاه به‌منظورِ دریافت محتویات RAM، تغییراتی در سیستم‌عامل رایانه ایجاد می‌شود. اما، نکته‌ی مهمی که مقاله‌ی سِرچ روی آن تأکید می‌کند این است که این تغییرات شناخته‌شده و قابل‌شرح هستند و روی اطلاعاتی که ارزش مدرکی دارند، اثری نمی‌گذارند. شما با خود می‌گویید: «صبر کن ببینم، حرکت دادن موس و/یا وارد کردنِ افزاره‌ی USB اطلاعات موجود در درایو متهم را تغییر خواهد داد، و این کار اکیداً ممنوع است!» در پاسخ باید بگویم که افراد بسیاری در جامعه‌ی بازپرسی و قانونی وجود دارند که پی‌آمدهای اندکی در این موضوع دیده‌اند که مأمور اجرای قانون کارهایی انجام دهد که موجب تغییر داده‌های موجود در سخت‌درایو یا دیگر رسانه‌های متهم شده است- البته تا زمانی که آن مأمور، منطقی عمل کند و اعمال خود را به‌طور مناسب مستند سازد. این اظهارنظر قطعی و مطلق که داده‌ها نباید تغییر یابند، نیاز به بررسی دارد تا مشخص شود که آیا موارد ما به‌واسطه‌ی ترویج این توصیه‌ی ناصحیح، دچار اثرات منفی شده‌اند یا نه.

تصویربرداری سرِصحنه‌ی اطلاعات

تصویربرداریِ سرِصحنه‌ی کلّ سخت‌درایو، در میان پاسخگویانِ فنی‌ترِ صحنه‌ی جرم دیجیتال امری متداول است- به‌ویژه در میان بازپرسان بخش خصوصی رایج‌تر است چرا که اغلب با مواردی مواجه می‌شوند که لازم است سخت‌درایوها بازرسی شوند، اما شرکت تجاری مربوطه راضی به این نیست که اجازه دهد درایو اصلی از اختیار آن‌ها خارج شود. در هر دوی این موارد، آنالیز درایو تصویربرداری‌شده معمولاً در آزمایشگاه اتفاق می‌افتد. به‌ندرت می‌شنوید که درایوی هم تصویربرداری شود و هم هم سرِصحنه پیش‌مشاهده گردد- اگرچه چنین فرآیندی، در واقع، نشان‌دهنده‌ی دغدغه‌هایی است که در باره‌ی استفاده از نرم‌افزار پیش‌مشاهده برای بازبینی اطلاعات روی درایو در سرِصحنه وجود دارد- به‌ویژه، انجام پیش‌مشاهده‌ی مدرک روی درایو اصلی.

در عین حال که گرفتن تصویر از درایو در سرِصحنه، در میان افرادِ به‌لحاظ فنی ماهرتر کار کاملاً متداولی است- معمولاً برای جرایم شرکتی-، می‌بینیم که در میان پرسنل کم‌مهارت‌تر برای جرایم سطحِ پایین، استفاده‌ی اندکی از این روش می‌شود. اما، دلایلی خوبی برای انجام تصویربرداریِ سرِصحنه در مورد اغلب جرایم رایانه‌ای وجود دارد. اول این‌که، همچنان که پیش از این اشاره شد، پیش‌مشاهده‌های مدرک روی نسخه‌ی تصویربردارری‌شده با آسودگی خاطر بیش‌تری انجام می‌شوند چرا که دیگر لازم نیست نگران این باشیم که بازپرس سهواً به اطلاعات موجود در درایو اصلی آسیب وارد نماید. دوم این‌که، در آن مواردی که دغدغه‌های بیرونی، مانع از توقیف رسانه‌ی فیزیکی هستند، مانند دغدغه‌های PPA، داده‌های شخص ثالث، و چندین کاربره بودنِ رایانه، تصویربرداری از سخت‌درایو گزینه‌ی دیگری در اختیار بازپرسان سرِصحنه قرار می‌دهد.

هشدار اصطلاح فنی…

تصویربرداری در مقایسه با کپی و آمیخته‌ها

بسیار مهم است که داده‌های موجود در سخت‌درایو متهم به جای این‌که فقط کپی شوند، روی درایو/افزاره‌ی مقصد تصویر شوند. فرآیند تصویربرداری موجب ایجاد کپیِ رشته‌بیتی- یا به‌عبارتی کپی دقیقی از ۱ها و ۰ها- از اطلاعاتِ درحالِ کپی می‌گردد. دستورِ کپی عادی که در سیستم‌عامل وجود دارد، فایل مربوطه را بر اساس برنامه‌نویسی منطقی آن می‌نویسد- به این معنا که فایلِ در حالِ نویسش به درایو، می‌تواند روی درایو هدف در قالب خوشه‌هایی بی‌شمار گسترش یابد. نکته‌ی تصویربرداری از داده‌ها در این است که نسخه‌ی دقیقی از داده‌ها، به همان صورت که در درایو مبدأ پدیدار شده است، در درایو مقصد نیز ایجاد می‌شود- به‌ویژه، به همان ترتیب دقیق بیت‌ها (۱ها و ۰ها) روی درایو- از این رو، به کپی رشته‌بیتی نیز مصطلح است. از آنجا که تصویربرداری، ترتیب دقیق بیت‌ها را از نسخه‌ی اصلی به نسخه‌ی کپی منتقل می‌کند و آن‌ها را دست‌نخورده نگاه می‌دارد، می‌توان توابع آمیخته را روی کلّ درایو مبدأ اجرا کرد، که سپس تصویر می‌شود و با کپی دقیقی که روی درایو مقصد ایجاد شده است، مقایسه می‌گردد. آمیخته‌سازیِ تصویر این امکان را به پاسخگو می‌دهد تا به‌لحاظ ریاضیاتی اثبات نماید که داده‌ای که روی درایو مبدأ وجود دارد دقیقاً همان داده‌ای است که روی درایو مقصد است. برخی ادعا می‌کنند که برخی از الگوریتم‌های آمیخته (مانند الگوریتم آمیخته‌ی MD5) شکسته شده‌اند. این ادعا به‌لحاظ فنی صحیح است؛ به‌هرحال، شرایط بروز تلاقی- دو فایل متفاوت که آمیخته‌ی MD5ِ یکسانی تولید می‌کنند- به‌طور مشخص ایجاد شده‌اند تا اثبات کنند که ممکن است تلاقی رخ دهد. احتمال بروز تلاقی آمیخته‌ی MD5 به‌هنگامِ مقایسه‌ی درایو مبدأ و درایوی که به‌طور اشتباه تصویربرداری شده است، به‌طرز غیرقابل‌باوری کم است. من کاملاً اطمینان دارم که تطابق آمیخته میان دو فایل/تصویر که فرض بر تطابق آن‌ها است، اثباتی است بر این‌که آن دو فایل/تصویر، در واقع، کپی دقیقی از هم هستند. حتی در باره‌ی اعتبار نسل بعدی الگوریتم‌های آمیخته، از جمله SHA1، SHA-256، یا SHA-512 اطمینان بیش‌تری دارم.

تصویربرداریِ سرِصحنه‌ی اشیاء داده‌ای محدود

در جوّ کنونی اجرای قانون، در باره‌ی توقیف قطعات ویژه‌ای از اطلاعات، مباحث اندکی مطرح شده است. معمولاً کلّ رایانه توقیف می‌شود- و رایانه‌ی توقیف‌شده معمولاً «مدرک» نامیده می‌شود. داده‌های موجود در رایانه در زمان دیگری بازبینی می‌شوند تا بلکه فایل‌ها یا قطعه‌های اطلاعاتی دیگری کشف شوند که بتوانند به اثبات یا ردّ فرضیه‌ای کمک نمایند. از منظر ناظر خارجی، این‌گونه به‌نظر می‌آید که توقیف کلّ رایانه روشی است که برای کسب اطلاعات مدرکی ترجیح داده می‌شود، اما ما ثابت کرده‌ایم که تصویربرداریِ سرِصحنه در جامعه‌ی بازپرسی دیجیتال کاملاً پذیرفته شده است. بنابراین، آیا گزینه‌های دیگری وجود دارد که شامل توقیفِ تعداد محدودی از اشیاء داده‌ای به‌عنوان مدرک باشد؟

اگر ما می‌توانیم کلّ سخت‌درایو را سرِصحنه تصویربرداری نماییم، پس طبق این استدلال، می‌توانیم بخش‌هایی از آن را نیز تصویربرداری نماییم. زمانی که مرتباً از شرکت‌ها و ISPها درخواست می‌کنیم که مدرک جرمی را صیانت کنند، در واقع از آن‌ها درخواست می‌کنیم که دقیقاً همین کار را انجام دهند- در واقع ما به‌ندرت سرورهای ISP را توقیف می‌کنیم، هم‌چنین، از آن‌ها درخواست نمی‌کنیم که تصویری از کل سرور بگیرند تا بتوان بازرسی قانون رایانه‌ای را روی آن انجام داد. آیا دلیلی خاصی هست که نمی‌توانیم از همین منطق به‌هنگامِ پاسخگویی به یک متهم استفاده کنیم؟ پرسش اساسی‌تر این است که آیا این نوع توقیف مناسب است یا نه. آیا به‌هنگامی که برای اثبات جرم، حجم محدودی از اطلاعات نیاز است، و توقیف سخت‌درایو اصلی جزء گزینه‌ها نیست، مقتضیاتی وجود دارد؟ این بحث، بسیار مشابه است با بحث پیشین در باره‌ی تصویربرداریِ سرِصحنه‌ی کلّ درایو در موقعیت‌هایی که توقیف رسانه‌ی فیزیکی ممکن نیست. هم‌چنین ممکن است موقعیت‌هایی پیش آید که قطعه‌های محدودی از اطلاعات برای پیشبرد مورد مربوطه کفایت کنند. در این موقعیت‌ها، توقیف تعداد محدودی از اشیاء داده‌ای می‌تواند گزینه‌ی مناسبی برای پاسخگویان باشد.

در مثال موردی ما که پیش از این مطرح شد، جایی که سام متهم به آزار و اذیت سالی است، فرض کنیم که با توجه به وجود آن ایمیل آزاردهنده در رایانه‌ی سام برای او حکم دستگیری صادر شده است. اگر پیش‌مشاهده‌ی رایانه نشان می‌داد که ایمیلِ موردبحث در رایانه‌ی سام وجود داشت، و بازپرس این توانایی را داشت که از فایل .pst که حاویِ آن ایمیل بود، تصویربرداری کند، بازپرس می‌توانست سام را همان لحظه دستگیر کند و تمام مدارک موردنیاز برای مختومه اعلام کردنِ مورد را در اختیار داشت. هیچ نیازی نبود که دست‌گاه دیگری به صف دست‌گاه‌هایی اضافه کند که در انتظار انجام بازرسی قانون رایانه‌ای بودند، و به جای هفته‌ها تا ماه‌ها انتظار برای بازدید قانون رایانه‌ای، بازپرسی بلافاصله می‌توانست مختومه اعلام گردد.

یادداشت

تمرکز بر توقیف اشیاء داده‌ای که در بخشِ دیگر گزینه‌ها بحث شد، برای اِعمال بر توقیف رایانه‌هایی که مظنون به محتویاتِ بچه‌نگاری هستند، چندان مناسب نیست. توصیه‌ی اکید می‌شود که برای دستیابی به دستورالعمل توقیفِ رایانه‌های حاویِ بچه‌نگاری به نیروی عملیاتی جرایم اینترنتی علیه کودکان (ICAC) مراجعه نمایید. این شبکه از دوایر اجرای قانون ۴۶+، در بازپرسی و دادستانی جرایم علیه کودکان که با کمک رایانه انجام شده‌اند، تخصص دارند. دیگر اطلاعات اضافی در باره‌ی ICAC را می‌توانید در www.icactraining.org بیابید.

می‌توانم صدای فریاد شما را بشنوم که می‌گویید «صبر کن! اگر به نظرم بیاید که ممکن است او در رایانه‌ی خود بچه‌نگاری داشته باشد، آن وقت چه؟» پرسش خوبی است. اگر حکم تفتیش مربوط به این مورد، معین می‌سازد که بازپرس می‌تواند ایمیل ارسال‌شده را در-محل، جست‌وجو و توقیف نماید، بنابراین توجیه این کار دشوار است که چرا بازپرس تمام روز را به دنبالِ تصاویر احتمالی از بچه‌نگاری درون تصاویر مربوط به تعطیلات متهم گذرانده است. در اختیار داشتنِ حکم توقیفِ قطعه‌ی معینی از اطلاعات که منجر به توقیف رایانه، یا افزاره‌ی ذخیره‌سازی دیجیتال دیگری می‌گردد، این اجازه را به مأمور اجرای قانون نمی‌دهد که بتواند تمام فایل‌های موجود در رایانه را بازبینی نماید. برگردیم به پرسشی که در باره‌ی بچه‌نگاری مطرح شد؛ اگر بازپرس اعتقاد دارد که مدرکی از بچه‌نگاری در رایانه موجود است، بهتر است که بازپرس به جای این‌که به بهانه‌ی یک جرم، به جست‌وجوی مدرک جرم دیگری بپردازد، حکم تفتیشی برای بچه‌نگاری بگیرد.

این گفته به این معنا نیست که هیچ موردی یافت نمی‌شود که امکان داشته باشد شما به‌هنگامِ بازدید اطلاعات دیجیتال، به‌طور اتفاقی به مدرک جرم متفاوتی برخورد کنید. اگر زمانی که شما طبقِ حکم تفتیش معینی در حالِ جست‌وجوی یک نوع از اطلاعات هستید، چنین موردی پیش بیاید و شما سهواً مدرک جرم دیگری کشف کنید، دستورالعمل قانونی این است که باید بلافاصله بازدید را متوقف نمایید و حکم تفتیش ثانویه‌ای برای جست‌وجوی مدرک جرم ثانویه اخذ کنید. به‌لحاظ نظری این امکان وجود دارد که شما بتوانید بازرسی رایانه را طبق حکم اولیه به پایان برسانید، و به‌طور خاص به جست‌وجوی اقلام مرتبط با جرم تازه‌کشف‌شده نپردازید. اما، این استراتژی توصیه نمی‌گردد.

اما آیا ما ابزار لازم را داریم که به ما این امکان را بدهد که تنها اشیاء داده‌ای مرتبط را کپی کنیم؟ آیا این کار در چارچوب زمانی معقولی، قابل‌انجام است؟ از منظر فن‌شناسانه، خودِ فن‌آوری اغلب انعطاف‌پذیرتر از چارچوب قانونی‌ای است که در قالب آن عمل می‌کند. فن‌آوری کنونی به ما این امکان را می‌دهد تا بتوانیم با سرعت بسیاری، هزاران صفحه اطلاعات را به‌صورتِ کلیدواژه‌ای جست‌وجو کنیم، شاهکاری که در اسناد کاغذی کاملاً غیرممکن است. اما بسیاری از ابزارهای تخصصی قانون رایانه‌ای برای استفاده در محیط آزمایشگاه قانونی طراحی شده‌اند و نه برای پاسخگویی سرِصحنه. این ابزارهای قانونی قدرتمند اغلب نیاز به مدت زمان قابل‌قبولی برای آنالیز و پردازش اطلاعات موجود در درایو هدف دارند. اغلب، این بازرسی‌های آزمایشگاهی همراه با ابزارهایی هستند که ممکن است چندین ساعت طول بکشد تا کارکرد معینی کامل شود، و بازدید اطلاعات، اغلب همراه با ساعت‌ها جست‌وجو میانِ اسناد و عناصر گرافیکی است. اگر ما بپذیریم که «زمان» یکی از محدودکننده‌ترین عوامل در انجامِ آنالیز سرِصحنه است، قطعاً تعارضی میان بهترین آنالیز فنی که می‌تواند انجام شود و چارچوب زمانی‌ای وجود دارد که یک آنالیز سرِصحنه‌ی منطقی باید در آن چارچوب تکمیل گردد.

توقیف اشیاء داده‌ای از سرورهای بزرگ، به‌هنگام بازپرسی موارد نفوذ شبکه‌ای، امری نسبتاً رایج و پذیرفته‌شده است، اما به‌راحتی نمی‌توان گفت که آیا توقیف اشیاء داده‌ای در جعبه‌ابزار پاسخگوییِ روزمره‌ی بازپرسان، متداول خواهد شد یا نه. اگرچه به‌نظر می‌رسد چارچوب قانونی و فن‌آورانه‌ی عامی وجود دارد که توقیف شیء داده‌ای می‌تواند در آن چارچوب رخ دهد، هنوز هضم این حقیقت دشوار است که مدرک اصلی به حالِ خود رها خواهد شد. استفاده از این روش در شبکه‌ها و رایانه‌های تجاری این بحث را در پی دارد که شرکت تجاری، شخص ثالث بی‌غرضی است و این‌که اگر داده‌های مربوطه از دست بروند یا گم شوند، بازپرس می‌تواند دوباره برگردد و اطلاعات اضافی را بازیابی کند چرا که شرکت تجاری هیچ علاقه‌ای به مداخله در بازپرسی ندارد. اما آیا همسر یا هم‌اتاقی فرد در رابطه با داده‌های موجود در رایانه‌ی او نقش شخص ثالثی بی‌غرض را خواهد داشت؟ آیا ما می‌توانیم ابزارهایی را توسعه دهیم که امکانات بیش‌تری در اختیار بازپرس قرار دهند تا او با راحتی بیش‌تری، پیش‌مشاهده‌ی سرِصحنه/بازدید را به‌طور جامع‌ومانع انجام دهد؟ این پرسش‌ها، و پرسش‌های دیگری که از چنین مباحثی نشأت می‌گیرند، مسیری را شکل خواهند داد که این روش، و دیگر گزینه‌هایی که پیش از این معرفی شدند، در آن راستا از طرف جامعه‌ی پاسخگویی مدرک دیجیتال پذیرفته یا رد خواهند شد.

استفاده از ابزارها برای جمع‌آوری مدرک دیجیتال

در حالی که قانون رایانه‌ایِ دیروزی بر ابزارهای ابتدایی متفاوتی متکی بود که امکان دستکاریِ اشیاء داده‌ای توقیف‌شده را می‌دادند، از آن زمان تاکنون ابزارهایی توسعه داده‌ایم که در کسب، سازماندهی، و بازرسیِ داده‌ها کمک می‌کنند. هم حضورِ همه‌وقت‌وهمه‌جاییِ اطلاعات الکترونیکی و هم حجم خالص اطلاعات دیجیتال توقیف‌شده، استفاده از ابزارها را در فرآیند بازپرسی ضروری کرده است. مسدودکننده‌های نویسشِ نرم‌افزاری و سخت‌افزاری و افزاره‌های کپی سخت‌درایو، احتمال آسیب به اطلاعاتِ موجود در درایوهای مبدأ را کاهش داده‌اند. ابزارهایی فراتر از ویراستارهای شانزده‌شانزدهیِ ساده و اسکریپت‌های خط فرمان توسعه داده شدند تا در انجام جست‌وجوهای کلیدواژه‌ای، مرتب‌سازی اشیاء داده‌ای بر اساس نوع و طبقه‌بندی فایل، و جست‌وجوی دیسک منبع به‌دنبالِ بقایای فایل در فضای شناور فایل و فضای آزاد درایو، به بازرس کمک کنند. ابزارهایی مانند Autopsy Browser، SMART، iLook، Encase، و Forensic Toolkit پیشرفت‌های چشمگیری نسبت به جست‌وجوی خطِ فرمانِ دستی هستند و تأثیر قابل‌توجهی بر کارآمدی داشته‌اند، به‌گونه‌ای که حجم عظیمی از داده‌ها با استفاده از آن‌ها بازرسی می‌شوند. هم‌چنین، این ابزارها دسترسی به مدرک دیجیتال را برای افرادی که خارج از حلقه‌ی بسته‌ی بازرسان قانونی کاملاً آموزش‌دیده هستند، افزایش داده‌اند.

روشی که اطلاعات دیجیتال طبق آن روش آنالیز می‌شوند، طی این سال‌ها تغییر یافته است- واضح است که آن‌چه موجب این امر شده است، حجم روزافزونِ اطلاعاتی است که به‌صورت دیجیتال ذخیره می‌شوند. اما تغییرات دیگری نیز به سبب افزایش دانش ما از نحوه‌ی کار با مدرک دیجیتال صورت گرفته‌اند- برجسته‌ترین آن‌ها توسعه‌ی ابزارهایی است که در مراحل مختلف فرآیند بازپرسی و قانونی کمک می‌نمایند. استفاده از ابزارهای نرم‌افزاری و سخت‌افزاری از سوی پاسخگویانِ سرِصحنه می‌تواند آغازی باشد بر این امر که ما چگونه می‌توانیم به سطوح بالاتری از توقیف شیء داده‌ای دست یابیم. ابزارهای کنونی، مانند ImageMaster و Helix، به پاسخگوی سرِصحنه این امکان را می‌دهند تا کلّ درایو را تصویربرداری کنند و محتویات RAM را توقیف کنند. دیگر ابزارهای موجود در این حوزه، مقداری ظرفیت در اختیار فرد می‌گذارند تا محتویات درایو متهم را پیش‌مشاهده کند و تنها از اطلاعات ضروری تصویربرداری کند؛ همچنان که سال‌ها در نظام‌های پاسخگویی رویداد، وضع به همین منوال بوده است.

برخی این موضوع را مطرح می‌کنند که هیچ‌کس نباید از ابزاری استفاده کند مگر این‌که بتواند دقیقاً توضیح دهد که آن ابزار چه کاری انجام می‌دهد. در قلمرو قانون رایانه‌ای، این عبارت این‌گونه تفسیر می‌شود که «هیچ‌کس نباید از ابزاری استفاده کند مگر این‌که بتواند همان عملیاتی را که آن ابزار انجام می‌دهد، به‌صورت دستی انجام دهد.» تعداد قابل‌قبولی از افراد با این موضع مخالف هستند. جامعه‌ی اجرای قانون معمولاً از ابزارهایی استفاده می‌کند که می‌تواند اصول اولیه‌ی آن‌ها را توضیح دهد، اما نه روش دقیقی را که آن ابزارها از طریق آن، وظیفه‌ی خود را انجام می‌دهند. برای مثال، وقتی مأموری در باره‌ی استفاده از تفنگ راداری آموزش می‌بیند، اصول اثر دوپلر را فرامی‌گیرد و هم‌چنین این موضوع را که آن ابزار چگونه زمان‌بندی بسیار دقیقی را بین ارسال تکانه‌ای راداری و دریافت انرژی بازتاب‌شده‌ی راداری ثبت می‌کند. هم‌چنین، به آن مأمور نشان داده می‌شود که این دست‌گاه چگونه آزمایش و تنظیم می‌شود تا بتوان از قابلیت‌اطمینان آن یقین پیدا کرد. به این ترتیب، مأمور مربوطه درک می‌کند که این ابزار به‌طور کلی چگونه کار می‌کند- این امر منطقی نیست که به او نحوه‌ی ساخت آن افزاره آموزش داده شود، یا برای این‌که مأمور مربوطه کاربرِ ماهر آن ابزار درنظر گرفته شود، ملزم شود تا به‌طور دستی محاسبه کند که سرعت وسیله‌ی نقلیه چگونه از روی سیگنال‌های راداری ثبت‌شده تعیین می‌گردد.

این گفته به این معنا نیست که ما می‌توانیم هر ابزاری را بدون نیاز به جوابگویی و مسئولیت‌پذیری به‌کار بریم. ابزارهایی که در توقیف یا آنالیز مدرک دیجیتال به‌کار می‌روند، باید آزمایش شوند. معمولاً سازمانی که از آن ابزار استفاده می‌کند، این آزمایش را انجام می‌دهد- چرا که آن ابزار باید طبق پارامترهای پروتکل‌های دایره‌ی مربوطه آزمایش شود- اما وارسیِ جامع‌ترِ ابزار در مؤسسه‌ی ملی استانداردها و فن‌آوری (NIST) صورت می‌گیرد. NIST مشخصه‌های آزمایش ابزار را برای ابزارهای تصویربرداری دیسک، مسدودکننده‌های نویسشِ نرم‌افزاری و فیزیکی، و برنامه‌های بازیابی فایل حذف‌شده ایجاد کرده است. برخی از محصولات، تحت این برنامه آزمایش شده‌اند و نتایج به‌دست‌آمده بسیار امیدبخش هستند. تقریباً تمام برنامه‌ها یا افزاره‌های آزمایش‌شده واقعاً به همان شکلی کار می‌کنند که طراحی شده‌اند. این امر به این معنا نیست که هیچ مشکلی در خصوص برنامه‌ی NIST وجود ندارد. فن‌آوری، سریع‌تر از توسعه‌ی استانداردها و فرآیندهای آزمایش ابزار تغییر می‌کند، و شوربختانه، تعداد کلیِ استانداردهای توسعه‌یافته از طریقِ برنامه‌ی NIST بسیار کم بوده است.

البته، قرار دادن ابزارها در دسترسِ جامعه‌ی بزرگ‌تری از اجرای قانون، تأثیرات قابل‌توجهی در ارتباط با مدل کلی‌ای دارد که ما به‌هنگامِ کار با مدرک دیجیتال از آن پیروی می‌کنیم: اگر ما بتوانیم به مأموران/بازپرسان در باره‌ی استفاده‌ی مناسب از ابزاری معین آموزش دهیم، و آن ابزار، طبق پروتکلی معین آزمایش‌های مربوطه را با موفقیت گذرانده باشد، چه در دایره‌ی محلی و چه در NIST، در آن صورت مأمور/بازپرس این اختیار و توان را دارد که نقش فعالی در بازیابی مدرک دیجیتال و به‌طور کلی در بازپرسی برعهده گیرد.

واضح است که ما نمی‌توانیم به تمام موانع فن‌آورانه‌ی موجود پاسخ دهیم، اما همچنان که پیش از این بحث شد، فن‌آوری اغلب عاملِ محدودی نیست. جامعه‌ی قانونی، با درک این موضوع که فن‌آوری همیشه در حال تغییر و پیشرفت خواهد بود، باید شروع به ایفای نقشی فعال در ارائه‌ی جهت‌گیری‌ها و حدود به فن‌شناسان بنمایند. فن‌شناسان باید به این راهنمایی‌های قانونی توجه نمایند، بررسی کنند و ببینند که موضوعات پیشِ رو در آینده چه تأثیراتی بر اجرای قانون خواهند گذاشت، و شروع به طراحی ابزارهایی نمایند که این ابزارها مزیت مهمی در اختیار افراد موجّه قرار دهند.

رشته‌نخ‌های مشترک در توقیف مدرک دیجیتال

چشم‌انداز محیط‌های بالقوه‌ی توقیف پیچیده است و متغیرهای آن تقریباً بی‌شمار اند. سطح دانش پاسخگویانِ سرِصحنه، شاملِ محدوده‌ی گسترده‌ای از مهارت‌ها و توانایی‌ها است. از آنجا که فرآیند توقیف تا حد زیادی متأثر از تمهیدات سخت‌افزاری و نرم‌افزاری خاص و دانش پاسخگوی سرِصحنه است، شوربختانه امکان ندارد که بتوان فقط یک راه صحیح برای توقیف مدرک دیجیتال ارائه داد. در واقع، آن‌چه هست زنجیره‌ای از روش‌ها است که بر اساس پیچیدگی صحنه در برابر مهارت پاسخگویان، نگاشته شده‌اند.

البته، رشته‌نخ‌های بنیادینی وجود دارند که تمام فرآیند توقیف را به هم گره می‌زنند. اولین رشته‌نخ این است که شما باید بتوانید شرح دهید که چه گام‌هایی برداشتید تا به مقصود خاصی رسیدید. فرقی نمی‌کند که شما با یک نرم‌دیسک از ساختمان بیرون آمدید یا با کلّ شبکه، شما باید بتوانید هر گام از این فرآیند را تکرار کنید. اگر از شما خواسته شد که تکرار دقیقی از صحنه را ارائه دهید، باید بتوانید به یادداشت‌های خود مراجعه نمایید و همه‌چیز را دقیقاً همان‌گونه انجام دهید، از رسیدن به سرِصحنه، تا جمع‌آوری مدرک، و تا خروج از در. برای دستیابی به این سطح از شفاف‌سازی، دو رشته‌نخ فرعی وجود دارد: (۱) همه‌چیز را مستند سازید- منظور من دقیقاً همه‌چیز است. کسی را داشته باشید که فرآیند صحنه را انجام دهد و در عین حال، فرد دیگر تک‌تکِ گام‌ها را از ریز و درشت گرفته تا همه‌چیز ثبت کند. مستندسازی باید تا جایی که امکان دارد کامل و جامع باشد. اگر فردی به‌تنهایی در فرآیند توقیف کار می‌کند، از ضبط صوت استفاده کنید و تمامی گام‌ها در آن نقل کنید تا بعداً بتوانید از روی آن نسخه‌برداری کنید.این گام‌های دقیقی که در طول فرآیند برداشته می‌شوند، اهمیت مضاعفی خواهند یافت اگر و زمانی که رایانه‌ی هدف به هر طریقی دستکاری شود- برای مثال، حرکت دادن موس برای غیرفعال‌سازی محافظ صفحه‌نمایش، یا راه‌اندازی سلسله‌مراتبِ خاموش‌سازی. (۲) این گفته منسوب است به کنفوسیوس که: «دانش حقیقی آن است که بدانید که می‌دانید چه چیز را می‌دانید، و بدانید که نمی‌دانید چه چیز را نمی‌دانید.» حالا برای آن‌که ربط این گفته را به رشته‌نخ فرعی دوم بیان کنیم، می‌توانیم آن را این‌گونه تفسیر کنیم که اگر شما ندانید در حالِ انجام چه کاری هستید (یا بدتر از آن، این‌که همین چند لحظه پیش چه انجام دادید…)، یا واقعاً نمی‌توانید گام‌های بعدی را مشخص سازید، توقف کنید، و به روش توقیف دیگری رجوع کنید که نیاز به مهارت فنی کمتری دارد، یا از فردی که صلاحیت بیش‌تری دارد کمک بگیرید. دانش شما بیش از آن‌که بر اساس دانسته‌هایی که واقعاً دارید، سنجیده شود، بر این اساس سنجیده می‌شود که آیا این توانایی را دارید که بدانید چه چیز را نمی‌دانید- این‌که چه زمانی باید کار را متوقف کنید- یا نه.

رشته‌نخ دوم این است که باید به دنبالِ روش توقیفی باشید که به بهترین وجه ممکن صحنه‌ی جرم دیجیتال را کمینه سازد. اگر شما بتوانید معقولانه منطقه‌ای- یعنی درایو، فهرست راهنما، فایل، و الخ- را درنظر بگیرید که به اعتقاد شما مدرک مربوطه در آنجا قرار دارد، منطقی‌ترین کار این است که در همان مکان معین به دنبالِ مدرک دیجیتال بگردید. محدودسازی یا کمینه‌سازی صحنه‌ی جرم، بسته به این‌که جست‌وجو برای مدرک دیجیتال در سرِصحنه، در پاسگاه، یا در آزمایشگاه قانونی رخ می‌دهد، تأثیرات متفاوتی دارد. در کمینه‌سازیِ سرِصحنه ممکن است CDهای برچسب‌دار و حرفه‌ای‌تولید‌شده از چرخه‌ی توقیف خارج گردند. هم‌چنین، در کمینه‌سازی ممکن است از ابزارهایی نرم‌افزاری استفاده شود تا شیء داده‌ایِ معینی از محتویات رایانه پیش‌مشاهده گردد. در کمینه‌سازیِ خارج‌ازمحل ممکن است تنها کلیدواژه‌های معینی جست‌وجو شود یا تنها نوعِ مشخصی از فایل‌ها بازرسی شود. حتی اگر فرض کنیم که این توانایی را داریم تا همه‌چیز موجود در رایانه را جست‌وجو و پیدا کنیم، باید به‌خاطر داشته باشیم که هر بوده‌ای به کار ما مربوط نمی‌شود، و آنالیزی وجود ندارد که ۱۰۰ درصد جامع و کامل باشد. هسته‌ی اصلیِ کمینه‌سازی در این است که ما این توانایی را داشته باشیم که بدانیم در حینِ جست‌وجو برای مدرک دیجیتال، چه زمانی باید کار را متوقف کنیم.

رشته‌نخ سوم این است که آن‌چه به‌عنوان مدرکِ بالقوه توقیف می‌گردد باید پیش از آن‌که در پرونده‌ی مورد مربوطه پذیرفته شود، توسط دادگاه اصالت‌سنجی گردد. این قابلیت که دادگاه اصالتِ مدرک را تایید کند، یکی از موضوعات مهمی است که در ارتباط با مدرک دیجیتال مطرح است. اصالت‌سنجی، تابع قواعد فدرالِ قاعده‌ی مدرک 901 است (۲۸ U.S.C.)، که این قاعده تصریح می‌کند که «الزام اصالت‌سنجی یا احراز هویت به‌عنوان شرطِ مقدم بر پذیرش، بر این اساس ایفا می‌شود که مدرک مربوطه صلاحیت این را داشته باشد تا از این یافته پشتیبانی کند که موضوع موردبحث، همان چیزی است که ارائه‌گر آن ادعا می‌کند.» نکته‌ی برجسته‌ی این تعریف در بحث ما این است که مدرک دیجیتال می‌تواند با ارائه‌ی مدرکی اصالت‌سنجی گردد که آن مدرک بتواند نشان دهد که آن مدرک دیجیتال، در حقیقت، همان چیزی است که به‌هنگام ارائه‌ی آن، ادعا شده است. فکر می‌کنم کمی دچار دورِ منطقی شده‌ایم- بنابراین اجازه دهید برای روشن شدنِ موضوع، فرآیند اصالت‌سنجی را بشکنیم و آن را کمی بیش‌تر تفکیک کنیم.

مدرک ارائه‌شده به دادگاه از چندین راه می‌تواند اصالت‌سنجی گردد، از جمله احراز هویتِ مشخصه‌های ممتاز یا صرفاً به‌وسیله‌ی تعیین نوع مدرک، مثلاً این‌که مورد مربوطه برای اسناد عمومی است. هم‌چنین، می‌توان اصالت‌سنجی مدرک مربوطه را از طریق شهادت انجام داد، شهادت به این بوده که موضوع موردبحث همان چیزی است که ادعا می‌شود. دادگاه‌ها اصالت‌سنجی اسناد از طریق شهادت دادن را تایید کرده‌اند (ایالات متحده در برابر لانگ Long، C.A.8 [Minn.] 1988، ۸۵۷ F.2d 436، تبرّی از حکم تفهیم اتهام ۹۲۸ F.2d 245، تبرّی از حکم احضار پرونده ۱۱۲ S.Ct. 98، ۵۰۲ U.S. 828، ۱۱۶ L.Ed.2d 69).

با توجه به بحثی که پیش از این در باره‌ی گزینه‌های خود برای توقیف داشتیم، دو نکته‌ی برجسته در این‌جا وجود دارد. اول این‌که داده‌های توقیف‌شده- چه از روی رونوشتِ RAM و چه نتایج به‌دست‌آمده از تصویر درایو یا فایل- می‌توانند با شهادتِ بازپرسی که آن مدرک را از دست‌گاه متهم بازیافته است، اصالت‌سنجی گردند. اگر مورد در ارتباط با عکس بچه‌نگاری است، و بازپرس آن عکس را طی پیش‌مشاهده دیده است، بازپرس می‌تواند ادعا کند که عکس بازیابی‌شده همان عکسی است که او طی پیش‌مشاهده دیده بود. نکته‌ی دوم این است که ایجاد و تطابق آمیخته‌های ریاضیاتی، اثبات بسیار سطح بالایی است از این‌که داده‌های بازیابی‌شده کپیِ دقیقی از نسخه‌ی اصلی هستند. اگرچه قاعده‌ی برترین مدرک تصریح می‌کند که در صورت امکان باید نسخه‌ی اصلی ارائه گردد، موردِ ایالات متحده در برابر اِستِفِنسون، که پیش از این به آن اشاره شد، نشان می‌دهد که وقتی شرایط طوری است که تولید مدرک اصلی در دادگاه را محدود می‌سازد، ارائه‌ی کپی دقیق آن کفایت می‌کند. سخت‌درایوها، رایج‌ترین نوعِ رسانه‌های ذخیره‌سازی که با آن مواجه می‌شویم، افزاره‌هایی مکانیکی هستند، و تمام افزاره‌های مکانیکی در یک نقطه‌ی زمانی از کار می‌افتند- شاید پس از روزها، ماه‌ها، یا دهه‌ها- اما بالاخره از کار می‌افتند. بازپرس با مصرفِ کپیِ درایو توقیف‌شده، و ارائه‌ی همان به دادگاه، در واقع، احتمالِ نابودی کاملِ تمام داده‌های موجود در درایو توقیف‌شده را کاهش می‌دهد. کاهش احتمالِ نابودیِ کاملِ اطلاعات دیجیتال که در ارتباط با مورد هستند، یکی از دلایلی است که استفاده از کپی‌های دقیق به جای داده‌های اصلی را توجیه می‌کند.

آخرین رشته‌نخ، پذیرش مدرک است. پذیرش مدرک مبتنی بر اصالت‌سنجی است، و اصالت‌سنجی مبتنی بر اثبات این موضوع است که شیء توقیف‌شده اساساً تغییر نیافته است- اثباتی که می‌توان با ارائه‌ی زنجیره‌ی کاملِ حفاظت انجام داد (ایالات متحده در برابر زینک، C.A. 10 [Colo.] 1980، ۶۱۲ F.2d 511). در باره‌ی مدرک دیجیتال، اثبات این‌که داده‌ها همان چیزی هستند که ادعا شده‌اند و تغییری نیافته‌اند، از هر دو روشِ شهادت و استفاده از الگوریتم‌های آمیخته‌ی رمزنویسی‌شده صورت گرفته است. مشابهِ همان روشی که فن‌ورزان آزمایشگاه قانونی از تابع آمیخته استفاده می‌کنند تا نشان دهند که کلّ درایو توقیف‌شده به‌دقت کپی شده است، پاسخگوی سرِصحنه می‌تواند برای شهادت دادن، به یادداشت‌های دقیق خود رجوع کند، مثلاً مکان اطلاعات توقیف‌شده، و نشان دهد که توابع آمیخته اثبات می‌کنند که داده‌ها طی تصویربرداری دچار اشکال و تغییری نشده‌اند.

تعیین مناسب‌ترین روش توقیف

واضح است که مواردی پیش خواهد آمد که مناسب‌ترین عمل، توقیف تمام سخت‌افزار فیزیکی موجود در مکان متهم است. شاید این تنها گزینه‌ای است که پاسخگوی دارای آموزشِ حداقلی در دسترس خود دارد. شاید نرم‌افزار پیش‌مشاهده‌ی قانونی از کارت گرافیکی روی رایانه پشتیبانی نکند. ممکن است نیاز باشد که کلیدواژه‌های دیگری جست‌وجو شوند یا نیاز باشد که اقلامی از فضای آزاد درایو بیرون کشیده شوند، و هر دوی این کارها در محیط آزمایشگاهی کنترل‌شده بهتر انجام گیرند. دلایل بی‌شماری وجود دارد که چرا پاسخگوی سرِصحنه تصمیم می‌گیرد که محفظه‌ی فیزیکی را توقیف کند، و اشکالی هم ندارد! نکته‌ی مهم این است که با توجه به سطح مهارت پاسخگو مناسب‌ترین روش توقیف انتخاب گردد، و این‌که این امر به نوع جرم نیز برمی‌گردد.

مرحله‌ی کمینه‌سازی می‌تواند به بازپرس کمک نماید تا مکان‌هایی- رایانه‌ها، رسانه‌های ذخیره‌سازی، و الخ- را مشخص سازد که بیش‌ترین احتمال را دارد که حاویِ اطلاعات موردنظر باشند. ممکن است پیش‌مشاهده‌ی سرِصحنه وجودِ اطلاعات را تصدیق نماید. در مواردِ داشتنِ بچه‌نگاری، پیش‌مشاهده‌ی سرِصحنه به بازپرس این اجازه را می‌دهد تا متهم را همان لحظه دستگیر نماید- یا حداقل گفت‌وگوی بی‌پرده و صریحی در باره‌ی مطالب یافت‌شده در رایانه داشته باشد. ممکن است که یک مورد، تنها همراه با تصاویر پیش‌مشاهده‌ی آن به دادستان احاله گردد، لزومی ندارد که منتظرِ بازرسی قانونی کامل ماند بلکه به جای آن می‌توان فوراً بحث در باره‌ی احکام و دادخواست‌ها را شروع کرد. وقتی که مورد مربوطه برای دادرسی ارجاع داده شد، آنالیز قانونی کاملِ رایانه‌ی توقیف‌شده می‌تواند در آن زمان انجام گیرد. از طرف دیگر، شاید باید بازرسی کاملی از داده‌ها انجام شود تا مشخص شود که آیا متهم، تصاویر جدیدی از بچه‌نگاری ساخته است یا نه- اطلاعاتی که در تصمیم‌گیری در این باره حیاتی است که آیا هم‌اکنون کسی در حال قربانی شدن است یا نه و در کل برای مبارزه با این نوع جرم حیاتی است. این سناریوی ساده نشان می‌دهد که چگونه روش افزایشی و گزینه‌های توقیف که پیش از این بحث شدند، حتی برای این‌که بتوان جای پایی میان جرایمِ با جزء سایبری باز کرد، موردنیاز هستند؛ اما ممکن است آن شرایط، بازپرسان را وادار سازد تا روش افزایشی را به نفعِ بازرسی کامل کنار بگذارند.

نکات کلیدی دیگری نیز در ارتباط با توقیف فیزیکی وجود دارند. اول این‌که، برای تعیین زمان سیستم و دیگر تنظیمات مرتبط با مادِربُرد باید کلّ رایانه در اختیار آزمایشگاه قرار گیرد. اگر قصد دارید فقط سخت‌درایو را توقیف کنید، سخت‌درایو را سرِصحنه تصویربرداری کنید، یا فقط اطلاعات مربوطه را تصویربرداری کنید، از روش‌شناسیِ NIJ در بازرسی قانونیِ مدرک دیجیتال (NIJ، ۲۰۰۴) پیروی کنید تا از راه‌اندازی‌های کنترل‌شده استفاده کنید تا زمان سیستم را بر اساس منبع زمانی قابل‌اطمینانی ثبت نمایید.

نکته‌ی کلیدی دوم این است که رایانه‌ها و لپ‌تاپ‌های بسیاری وجود دارند که اجازه‌ی دسترسی آسان به سخت‌درایوها را نمی‌دهند- که می‌تواند هرگونه اقدام به تصویربرداریِ سرِصحنه را غیرعملی سازد و، در نتیجه، نیاز به توقیف سخت‌افزار است. برای مثال، طراحی برخی از لپ‌تاپ‌ها به‌گونه‌ای است که باید عمده‌ی قسمت‌های لپ‌تاپ از هم جدا شوند تا بتوان به سخت‌درایو دسترسی یافت. من اکیداً توصیه می‌کنم که جدا کردنِ لپ‌تاپ‌ها یا دیگر سخت‌افزارها در محیط کارگاهی یا آزمایشگاهی کنترل‌شده صورت گیرد- در جداسازیِ سرِصحنه، باید بدانید که قطعات و پیچ و مهره‌های کوچک بسیار زیادی، اغلب با طراحی‌های غیرعادی، وجود دارد. در این موارد، ممکن است نیاز به توقیف فیزیکی خود رایانه باشد، حتی اگر شما مجهز به تصویربرداری سرِصحنه باشید.

نکته‌ی کلیدی سوم این است که ممکن است مدرک غیردیجیتال دیگری وجود داشته باشد که همراه با رایانه‌ی فیزیکی قرار داشته باشد. اقلامی مانند یادداشت‌های چسبیده‌شده ممکن است روی صفحه‌نمایش پیدا شوند؛ گذرواژه‌ها یا آدرس‌های وب ممکن است با مداد یا ماژیک روی محفظه‌ی رایانه نوشته شده باشند؛ یا ممکن است اقلامی زیرِ صفحه‌کلید با نوار بسته شده باشند یا درون خود رایانه پنهان شده باشند. مجرمی را به‌خاطر دارم که ماری‌جوآنای خود را درون رایانه پنهان کرده بود؛ زنِ او ادعا کرده بود که او در رایانه بچه‌نگاری دارد و بازرس رایانه- و زن او- وقتی که کیسه‌های ماری‌جوآنا را درون محفظه‌ی رایانه کشف کرده بود، حیران و شگفت‌زده مانده بود.

آخرین تذکر: در حین انجام توقیف، بخش بازپرسانه‌ی مغز خود را خاموش نکنید. از تمام روش‌های بازپرسانه‌ای که در دانشگاه فراگرفته‌اید، استفاده کنید و آن‌ها را هنگامِ اجرای احکام تفتیش فیزیکی به‌کار بندید. اگر از اطلاعاتِ یک منبع (رایانه/متهم) برای کسب اطلاعات بیش‌تر از منبع دیگر (متهم/رایانه) استفاده کنید، به چیزهای بیش‌تری در باره‌ی مورد مربوطه دست پیدا خواهید کرد- اما به یاد داشته باشید که در صورت گفت‌وگو با متهم، حقوقِ میراندا (حقوق قانونی متهم) برای او محفوظ و قابل‌اجرا است.

خلاصه

شکی نیست که بازپرسانِ فردا با اطلاعات دیجیتال بیش‌تری، در تعداد و انواع بیش‌تری از افزاره‌ها روبه‌رو خواهند شد. توقیف اطلاعات مدرکیِ مربوطه، گام بسیار مهمی در کلّ فرآیند قانون رایانه‌ای است و همچنان خواهد بود. دیدگاه کنونی که سخت‌افزار را به‌عنوان مدرک می‌شناسد، هم‌اکنون به دیدگاه متفاوت دیگری گرایش یافته است که بر مبنای آن، اطلاعات را به‌عنوان مدرک می‌شناسد- این‌که سخت‌افزار به‌عنوان مدرک شناخته شود یا اطلاعات، تأثیر بسیار زیادی بر این دارد که ما چگونه مدرک را چه در سرِصحنه و چه در آزمایشگاه قانونی «توقیف» یا «جمع‌آوری» کنیم.

ممکن است برخی از عوامل، توقیف کاملِ سخت‌افزار فیزیکی را با محدودیت روبه‌رو سازند. ممکن است حجم ذخیره‌سازیِ سخت‌درایو رایانه‌ی متهم یا شبکه‌ی ذخیره‌سازی، فراتر از توانایی بازپرس برای انتقالِ همه‌چیز به آزمایشگاه قانونی باشد. رمزبندی تمام‌دیسک، که هم‌اکنون به‌عنوان بخشی از سیستم‌عامل ویندوز ویستا عرضه شده است، اگر کلید رمزبندی مناسب در اختیار نباشد، می‌تواند تلاشِ بازپرس برای بازیابی داده‌ها را بی‌نتیجه بگذارد. علاوه بر این، دغدغه‌های موجود در باره‌ی داده‌های آمیخته و شخص ثالث، که تحت پوشش قانون حفاظت از حریم شخصی قرار دارند، می‌توانند روی توانایی بازپرس در توقیف داده‌هایی بیش‌تر از آن‌چه در حکم تفتیش مشخص شده است، تأثیرگذار باشند. در نهایت این‌که، حجم روزافزونِ مدرک دیجیتال توقیف‌شده موجب شده است که بسیاری از آزمایشگاه‌های قانون رایانه‌ای نتوانند آنالیز‌های قانونی را در چارچوب زمانی قابل‌قبولی به پایان برسانند. هم بازپرسی‌ها و هم دادستانی‌ها از تأخیراتِ موجود در پردازش مدرک دیجیتال دچار زیان خواهند شد.

در حالی که روش‌شناسی کنونیِ توقیف روی توقیف سخت‌افزار متمرکز است، بازپرسان باید بتوانند بر اساس موقعیت و سطح تخصص فنی خود، مناسب‌ترین گزینه را برای توقیف انتخاب نمایند. گزینه‌های توقیف دیگری وجود دارند که می‌توانند مدّنظرِ جامعه‌ی پاسخگویی مدرک دیجیتال قرار گیرند. پیش‌مشاهده‌ی در-محل با استفاده از سی‌دی‌های راه‌اندازِ مبتنی بر لینوکس یا ویندوز به بازپرس این امکان را می‌دهد تا محتویات رایانه‌ی متهم را به شکلی نسبتاً قانونی بازدید نماید. روش‌هایی وجود دارد که می‌توان از RAMِ رایانه‌ی متهم رونوشت گرفت تا هرگونه اطلاعاتی را که ممکن است در RAM ذخیره شده باشند اما در دیسک نوشته نشده باشند، بازیابی کرد، اطلاعاتی مانند گذرواژه‌ها، جلسات ای‌گپ، و اسناد ذخیره‌نشده. تصویربرداریِ سرِصحنه گزینه‌ی دیگری است که در دسترس بازپرسان قرار دارد. تصویربرداری تمام‌دیسک- که کپیِ بیت‌به‌بیتِ کاملی از سخت‌درایو روی درایو سیاه ایجاد می‌شود- رایج‌تر است و هم‌اکنون توسط تعداد قابل‌قبولی از بازپرسان به‌کار می‌رود. تصویربرداری از اشیاء داده‌ای منتخبی که دارای ارزش مدرکی هستند، نیز روشی است که کمتر به‌کار می‌رود. با این‌که این موضوع هنوز هم بحث‌برانگیز است، اما به‌نظر می‌رسد چارچوب قانونی و فن‌آورانه‌ای وجود دارد که تصویربرداری از اشیاء داده‌ای را تبدیل به گزینه‌ای مناسب می‌سازد.

واضح است که همیشه مدارک دیجیتال موجود بیش از آن خواهند بود که ما بتوانیم آن‌ها را در سازمان‌ها و ساختارهای دولتی کنونی خود پردازش نماییم. داشتنِ بازرسانِ آموزش‌دیده‌ی بیش‌تری در این زمینه، همیشه به این معنا نیست که بازرسان آموزش‌دیده‌ی بیش‌تری در آزمایشگاه‌های کم‌پرسنل یا خارج از آن در این زمینه داشته باشیم. وقتِ پرسنل کاملاً آموزش‌دیده، یکی از ارزشمندترین منابع ماست. هیچ راه ممکنی وجود ندارد که این تعداد محدود از کارشناسان بتوانند مدرک الکترونیکی را در تمام صحنه‌ها پردازش نمایند. نه تنها آن‌ها نمی‌توانند تمام صحنه‌ها را پوشش دهند، بلکه بی‌شک آزمایشگاه‌ها نیز به زحمت خواهند افتاد. برای حفظ وقتِ افراد کاملاً آموزش‌دیده و کارشناس، آن‌هایی که دانش فنی کمتری دارند باید آموزش‌هایی ببیند که به آن‌ها این امکان را بدهد تا بتوانند برخی از وظایفی را انجام دهند که در حالت عادی توسط کارشناسان انجام می‌شوند. از این طریق، دانش و مهارت‌های بازپرسانه‌ی دارای فن‌آوری پیشرفته، در تمام سطوح پاسخگویان انتشار می‌یابد. این گفته به این معنا نیست که آموزش به اولین پاسخگو دشملاتی به همراه ندارد- دانش لازم برای اجرای مناسبِ ابزارهای پیشرفته اغلب فراتر از مقدار زمانی است که برای چنین آموزشی اختصاص می‌یابد. ما در یک مخمصه گیر افتاده‌ایم: تمام افسران صف باید بتوانند مدرک دیجیتال را توقیف نمایند، اما سطح آموزشیِ اولین پاسخگو نمی‌تواند به‌طور کامل افسران را تجهیز کند تا مدرک مربوطه را توقیف کنند، و از طرفی، سطح آموزشی موردنیاز برای این‌که افراد به‌طور کامل‌تری فرآیندِ توقیفِ مدرک دیجیتال را درک کنند شاملِ چندین روز آموزش خواهد بود، و دوره‌ی آموزشی چندروزه در باره‌ی فقط یک موضوع احتمالاً برای تمام افسران صف امکان‌پذیر نخواهد بود.

سطح آموزش بر استفاده‌ی پاسخگو از فن‌آوری تأثیرگذار خواهد بود، و فن‌آوریِ پیش‌آمده مشخص خواهد ساخت که آیا سطح آموزش پاسخگو در آن موقعیت مناسب است یا نه. مواردی خواهد بود که مناسب‌ترین کار همان توقیفِ تمام سخت‍‌‌افزار فیزیکیِ موجود در مکان متهم است. شاید این تنها گزینه‌ای است که پاسخگوی دارای آموزشِ حداقلی در دسترس خود می‌بیند، یا شاید فن‌آوری موردنظر آنقدر پیچیده است که هیچ‌یک از پاسخگویان نمی‌دانند دقیقاً چگونه باید توقیف موردنظر را انجام دهند.

سیستم آنالیز و جمع‌آوری قانونی، با توجه به وضع کنونی، فعلاً تا حدودی جواب می‌دهد-گاهی اوقات به‌طور جزئی و ناچیز، و اغلب بسیار کند و حلزونی- اما، بی‌شک ما با تغییرات بیش‌تری روبه‌رو خواهیم شد: تغییراتی به‌شکلِ افزاره‌های جدید، سطوح بالاترِ بین‌اتصالی، و حجم روزافزونِ ذخیره‌سازی داد‌ه‌ها که برای بازرسی لازم است. آیا روش کنونی‌ای که ما برای توقیف و بازرسیِ اطلاعات دیجیتال در پیش گرفته‌ایم در پنج سال آینده نیز جواب خواهد داد؟ ده سال چطور؟ آیا می‌توان از حالا تغییراتی را در باره‌ی نحوه‌ی نگرش ما به مدرک دیجیتال بنیان گذاشت تا وضعیت ما را در مواجهه با تغییرات پیشِ رو بهتر سازد؟

در طول این فصل، امیدوارم بودم که توانسته باشم این موضوع را روشن سازم که من طرفدار و مدافعِ هیچ‌کدام از روش‌شناسی‌های توقیف در برابر آن دیگری نیستم- نکته‌ی قابل‌تأملی که وجود دارد این است که ما باید گزینه‌هایی را در اختیار پاسخگویان خود قرار دهیم تا بتوانند بر اساس سطح مهارت فنی خود و موقعیت موجود روش توقیف مناسبی انتخاب کنند. من با توجه به تجربیات کاری خود در اجرای قانون در نیوهمشیر، و هم‌چنین سرتاسر کشور، به این نکته رسیدم که جرایمِ مرتبط با رایانه دقیقاً متناظر با جرایمی هستند که ارتباطی با رایانه ندارند- تمام آن‌ها، نقل مکانِ جرایم سنتی به محیط دیجیتال هستند. اگر ما از مأموران اجرای قانون خود انتظار داریم تا پاسخگویِ جرایم سنتیِ با جزءفن‌آوری پیشرفته باشند، باید آن‌ها را مجهز به ابزارها و روّیه‌های مناسبی سازیم تا این امکان در اختیار آن‌ها قرار گیرد که واقعاً موردی را بازپرسی و مختومه نمایند. این‌که از بازپرسان بخواهیم تک‌تکِ مواردِ مرتبط با رایانه را به‌منظور بازدید به آزمایشگاه قانونی اسال کنند، گزینه‌ی مناسب و قابل‌تحملی نیست. اگر ما دانش فنی را رو به بازپرسان و افسران صف «گسیل» نکنیم، کارشناسان به‌سرعت فرسوده خواهند شد و بازپرسی‌ها آنقدر تحت فشار خواهند بود که متوقف خواهند شد- وضعیتی که همین حالا هم در سراسر کشور شروع شده است.

حجمِ بازرسی‌های قانون رایانه‌ای، تنها یکی از عواملی است که ما را وادار به تغییر رویّه‌ی خود نسبت به توقیف مدرک دیجیتال می‌سازد. همان‌طور که در صفحه‌های پیشین مطرح شد، رمزبندی تمام‌دیسک، دغدغه‌های مرتبط با قانون حفاظت از حریم شخصی و داده‌های شخصی، و آرایه‌های ذخیره‌سازی بسیار عظیم همگی در این حرکت ما نقش داشته‌اند، حرکتی که برای کمینه‌سازیِ مقدار اطلاعات توقیف‌شده از دست‌گاه متهم انجام شده است. این چشم‌انداز به‌سرعت در حال تغییر است، و ره‌یافت‌های طراحی‌شده برای مشکلات امروزی، ما را برای چالش‌های پیشِ رو آماده نمی‌کنند. امید است که چرخش تمرکز از توقیف کاملِ رسانه‌ها و افزاره‌های ذخیره‌سازی رو به دیگر گزینه‌ها، در موقعیت‌های مناسب، مأموران اجرای قانون و بازپرسان بخش خصوصیِ ما را در برابر فن‌آوری‌های جدید و دغدغه‌های قانونی نوظهوری که در آینده پیش خواهند آمد، بهتر آماده سازد.

مراجع

Association of Chief Police Officers and National High Tech Crime Unit. 2004. Good Practice Guide for Computer based Electronic Evidence,Version 3.0.Available on the Internet at www.acpo.police.uk/asp/policies/Data/gpg_computer_based_evidence_v3.pdf (12/2006).

Bloombecker, Buck. Spectacular Computer Crimes:What They Are and How They Cost American Business Half a Billion Dollars a Year. ۱۹۹۰. Homewood, IL: Dow-Jones Irwin.

Carrier, B. and E. Spafford.“Getting Physical with the Digital

Investigation Process.” International Journal of Digital Evidence.Volume 2, Issue 2, 2003.Available at www.ijde.org (۱۲/۲۰۰۶).

Computer Crime and Intellectual Property Section (CCIPS), Criminal Division. “Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations.” United States Department of Justice.Washington, DC. 2002.

Gilder, G.“The Information Factories.” Wired Magazine.Volume 14, Number 10, 2006.

ISTS.“Law Enforcement Tools and Technologies for Investigating Cyber Attacks: Gap Analysis Report.” Institute for Security Technology Studies, Dartmouth College. Hanover, NH. 2004.

ISTS.“Law Enforcement Tools and Technologies for Investigating Cyber Attacks: A National Research and Development Agenda.” Institute for Security Technology Studies, Dartmouth College. Hanover, NH. 2004.

Meyers,M. and Rogers, M.“Computer Forensics:The Need for

Standardization and Certification.” International Journal of Digital Evidence.Volume 3, Issue 2, 2004. Available at www.ijde.org (۱۲/۲۰۰۶).

Moore, Robert. Cybercrime: Investigating High-Technology Computer Crime. Anderson Publishing, LexisNexis Group. 2005.

National Institute of Justice (NIJ). Forensic Examination of Digital Evidence: A Guide for Law Enforcement. Office of Justice Programs, U.S. Department of Justice,Washington, DC. 2004.

National Institute of Justice. Electronic Crime Scene Investigation:A Guide for First Responders. Office of Justice Programs. U.S. Department of Justice. NIJ Guide Series.Washington, DC. 2001.

National Security Agency Information Assurance Solutions Technical Directors. Information Assurance Technical Framework, Release 3.1. 2002. Available at www.iatf.net/framework_docs/version-3_1/index.cfm.

Nolan, Joseph R. and Jacqueline Nolan-Haley. Black’s Law Dictionary, Sixth ed. St. Paul, MN:West Publishing Company. 1990.

School of Information Management Systems (SIMS).“How Much Information?” University of California Berkeley. 2003.Available on the Internet at www2.sims.berkeley.edu/research/projects/howmuch-info-2003.

Shipley,T. and H. Reeve. Collecting Evidence from a Running Computer: A Technical and Legal Primer for the Justice Community. SEARCH,The National Consortium for Justice Information and Statistics. Sacramento, CA. 2006.Available on the Internet at www.search.org/files/pdf/CollectEvidenceRunComputer.pdf (۱۲/۰۶).

“Scientific Working Group on Digital Evidence (SWGDE) and International Organization on Digital Evidence. Digital Evidence Standards and Principles.” Forensic Science Communications.Volume 2, Number 2, 2000. Federal Bureau of Investigation. U.S. Department of Justice.Washington, DC.

Sterling, Bruce.“Hacker Crackdown.” Project Gutenburg. Champaign, IL. 1992.Available on the Web at www.gutenberg.org/etext/101.

Technical Working Group for Electronic Crime Scene Investigation, Office of Justice Programs. Electronic Crime Scene Investigation:A Guide for First Responders. U.S. Department of Justice, National Institute of Justice. NIJ Guide series, NCJ 187736.Washington, DC. 2001.

United States Secret Service (USSS). “Best Practices for Seizing Electronic Evidence.” ۲۰۰۶.Available on the Internet at www.secretservice.gov/electronic_evidence.shtml (۱۲/۲۰۰۶).

United States Department of Justice. Federal Guidelines for Searching and Seizing Computers. United States Department of Justice. Washington, DC. 1994.

Federal Rules of Evidence (FRE) are available at judiciary.house.gov/media/pdfs/printers/108th/evid2004.pdf.

Federal Rules of Criminal Procedure (FRCP) are available at judiciary.house.gov/media/pdfs/printers/108th/crim2004.pdf.

منابع مرتبط اضافی

Daubert v. Merrell Dow Pharmaceuticals, Inc., ۵۰۹ US, 579 (1993).

Noblett, M., M. Pollit, and L. Presley.“Recovering and Examining Computer Forensic Evidence.” October Forensic Science Communications. Volume 2, Number 4, 2000. Federal Bureau of Investigation. U.S. Department of Justice.Washington, DC.

Duerr,T., N. Beser, and G. Staisiunas. “Information Assurance Applied to Authentication of Digital Evidence.” Forensic Science Communications.Volume 6, Number 4, 2004. Federal Bureau of Investigation. U.S. Department of Justice.Washington, DC.

Brown, C. and E. Kenneally. “Risk Sensitive Digital Evidence

Collection.” Digital Investigation.Volume 2, Issue 2, 2005. Elsevier Ltd. Available on the Internet at www.sciencedirect.com/science/journal/17422876.

Brenner, S.W. and B.A. Frederiksen.“Computer Searches and

Seizures: Some Unresolved Issues.” Michigan Telecommunications Technical Law Review.Volume 8, Number 39, 2002.

Joint Administrative Office/Department of Justice Working Group on Electronic Technology in the Criminal Justice System.“Report and Recommendations.” ۲۰۰۳. Available on the Internet at www.fjc.gov/public/pdf.nsf/lookup/CompInDr.pdf/$file/CompInDr.pdf (12/06).

Wright,T. The Field Guide for Investigating Computer Crime: Parts 1–۸. ۲۰۰۰–۲۰۰۱.Available on the Internet at www.securityfocus.com/infocus/1244 (12/2006).

مرور فشرده‌ی ره‌یافت‌ها

تعریف مدرک دیجیتال

•  اصطلاح اشیاء داده‌ای در این فصل به آرایش‌هایی از اطلاعات دیجیتال گفته می‌شود که به‌شکل منطقی در قالب چیزی معنادار سازماندهی شده‌اند.
•  مدرک دیجیتال می‌تواند سخت‌افزار فیزیکی یا رسانه‌ای که حاویِ اشیاء داده‌ایِ مرتبط است و یا خودِ اشیاء داده‌ای درنظر گرفته شود.
•  این‌که چه چیزی به‌عنوان مدرک درنظر گرفته می‌شود- محفظه‌ی فیزیکی یا خودِ اطلاعات- روش روش توقیف تأثیر دارد.

روش‌شناسی توقیف مدرک دیجیتال

•  روش‌شناسی کنونی توقیف که توسط بسیاری از دوایر اجرای قانون به‌کار گرفته می‌شود، روی توقیف سخت‌افزار فیزیکی متمرکز است.
•  روش‌شناسیِ تجدیدنظرشده باید دستورالعملِ سطحِ بالایی ارائه دهد در باره‌ی نحوه‌ی برخورد با صحنه‌های جرم غیراستاندارد مانند احراز هویت رسانه‌ی دیجیتال، کمینه‌سازی صحنه‌ی جرم با استفاده از اولویت‌دهیِ رسانه‌های فیزیکی، و توقیف رسانه‌ها و افزاره‌های ذخیره‌سازی.
•  این‌که باید دوشاخه را کشید یا به‌طور مناسب مراحلِ خاموشی را انجام داد، یکی از مسائل دشواری است که پیشِ روی این جامعه قرار دارد. پاسخ آن، بستگی به مهارت فنی پاسخگو در برابرِ پیچیدگی موقعیت مربوطه دارد.

عوامل محدودکننده‌یِ توقیف کامل سخت‌افزار

•  چندین عامل ممکن است در آینده محدودیت‌هایی برای ما ایجاد کنند، به‌طوری که دیگر نتوانیم کلّ سخت‌افزار فیزیکی را توقیف نماییم. این عوامل، شاملِ حجم رسانه‌ها، رمزبندی دیسک، دغدغه‌های مرتبط با حریم شخصی، و تأخیرهای مرتبط با آنالیز آزمایشگاه است.

دیگر گزینه‌ها برای توقیف مدرک دیجیتال

•  با توجه به عواملی که ممکن است توقیف سخت‌افزار را در آینده محدود سازند، ما باید در باره‌ی دیگر گزینه‌های توقیف که در دسترس ما هستند، به پاسخگویان خود آموزش دهیم.
•  این گزینه‌های توقیف شاملِ پیش‌مشاهده‌ی اطلاعات در سرِصحنه، کسب اطلاعات از رایانه‌ی در-حالِ-اجرا، تصویربرداریِ سرِصحنه‌ی اطلاعات، و تصویربرداریِ سرِصحنه از اشیاء داده‌ای محدود هستند.

رشته‌نخ‌های مشترک در توقیف مدرک دیجیتال

•  برخی از رشته‌نخ‌های مشترک تمام روش‌های توقیف را به هم گره می‌زنند.
•  پاسخگویان باید بتوانند تمام گام‌هایی را که طی توقیف برداشته‌اند، تشریح کنند. مستندسازی و آگاهی از محدودیت‌ها، در این‌جا نقش کلیدی دارند.
•  روش توقیف باید شاملِ امور کمینه‌سازی باشد.
•  هر چیزی که توقیف می‌گردد باید بتوان در دادگاه اصالت‌سنجی کرد.
•  اقلام توقیف‌شده باید در دادگاه قابل‌پذیرش باشند.

تعیین مناسب‌ترین روش توقیف

•  مناسب‌ترین روش توقیف مبتنی خواهد بود بر دانش و آموزش پاسخگو، در مقایسه با نوع جرم و پیچیدگی صحنه‌ی جرم.
•  روش افزایشی و گزینه‌های توقیفی که در این‌جا بحث شدند، در مبارزه با جرایمِ مرتبط با مدرک دیجیتال موردنیاز هستند- البته، ممکن است شرایطی پیش بیاید که بازپرسان را وادار سازد تا تمام سخت‌افزار را توقیف و آنالیز نمایند.

پرسش‌های متداول

پرسش‌های متداول زیر، که توسط نویسندگان این کتاب پاسخ داده شده‌اند، با این هدف طراحی شده‌اند که هم میزان یادگیری شما از مفاهیم ارائه شده در این فصل را بسنجند و هم به شما کمک کنند تا با کاربرد عملی این مفاهیم آشنا شوید. برای پاسخگویی به پرسش‌های‌تان در مورد این فصل توسط نویسنده‌ی مربوطه، به آدرس www.syngress.com/solutions بروید و روی فرم «Ask the Author (از نویسنده بپرسید)» کلیک کنید.

پرسش: نظر شما در باره‌ی گواهی‌نامه‌ی پرسنل چیست؟ آیا اگر به پرسنل گواهی‌نامه داده شود، نمی‌توانیم تمام مشکلات مرتبط با کارشناسان و قابلیت‌پذیرشِ مدرک را حل کنیم؟

پاسخ: گواهی‌نامه‌ی پرسنل، به نظر من، نامفید و مضر است. یکی از گواهی‌نامه‌های رایج‌تری که وجود دارد، گواهی‌نامه‌ی فروش است. این دوره‌های آموزشی به‌طور کلی تا جایی مفید هستند که دوره‌ی آموزشی مربوطه گواهی می‌دهد که آن‌ها در این دوره شرکت کرده‌اند، نه این‌که آن‌ها برای استفاده از ابزار معینی گواهی می‌شوند. گزینه‌ی دیگری که وجود دارد این است که از طریق مجموعه‌ی گواهی‌کننده‌ی مستقلی گواهی‌نامه کسب کرد. تعدادی از این نوع سازمان‌ها وجود دارند و امکانی ایجاد کرده‌اند برای افراد تا بتوانند از آن طریق سطح دانش و مهارت خود را به نمایش بگذارند، که این امکان به هنگام همکاری با حوزه‌های قضایی مختلف می‌تواند نسبتاً مفید واقع شود، همکاری‌ای که اغلب در بازپرسی جرایمِ با جزء سایبری اتفاق می‌افتد. البته، احتمال بسیار کمی دارد که سیستم دادگاهی به گواهی‌نامه‌ی خاصی، پذیرش تام و تمامی بدهد. اگر شما به‌عنوان کارشناس برای شهادت احضار شده باشید، گواهی‌نامه‌های شما می‌توانند به شما کمک کنند تا به‌عنوان شاهدِ کارشناس از این احضار با موفقیت بیرون بیایید، اما این گواهی‌نامه هرگز به معنای موفقیت حتمی در جایگاه شهادت نخواهد بود.

آخرین عقاید در باره‌ی گواهی‌نامه‌ها: بیایید برای یک لحظه فرض کنیم که کنگره این موضوع را در دستور کار خود قرار داده است و قانونی گذرانده که تمام بازرسان قانون رایانه‌ای را ملزم می‌کند که کارشناس قانونی گواهی‌شده باشند. همین که اولین نفر موفق به دریافت این گواهی‌نامه می‌شود، به این معناست که همه‌ی افرادِ به جز او، به‌طور پیش‌فرض، گواهی‌شده نیستند. پرسنل قانونی باید مدت زمانی را صرف این کار بکنند که گواهی‌نامه‌ی موردنظر را کسب کنند، مدت زمانی که باید صرفِ موارد کنونی گردد. در نهایت، چنین گواهی‌نامه‌ی جهان‌شمولی چگونه کسب و کشفِ در-محل، پیش‌مشاهده‌های قانونی زنده، و توقیف مدرک دیجیتال را تحت تأثیر قرار خواهد داد؟ اگرچه چنین گواهی‌نامه‌ای ممکن است مزایایی به همراه داشته باشد، اما به‌نظر می‌رسد معایب آن، به‌ویژه در ارتباط با توانمندسازیِ تمام بدنه‌ی اجرای قانون برای برعهده گرفتنِ نقشی در بازپرسی جرایمِ با جزء سایبری، نسبت به اثرات مثبت آن وزن سنگین‌تری دارند.

پرسش: آیا زمانی که رایانه یا افزاره‌ی دیگری واقعاً به سرقت می‌رود، توقیف اشیاء داده‌ای یا پیش‌مشاهده‌ی مدرک با هم مرتبط هستند؟

پاسخ: در موردی که مدرک دیجیتال واقعاً به سرقت رفته است، یا به‌طور کلی، زمانی که سخت‌افزار یا رسانه در حکمِ وسیله یا نتیجه‌ی جرم هستند، بی‌تردید باز هم کار درست این است که رسانه یا سخت‌افزار فیزیکی را توقیف کنید. در این موارد، خودِ سخت‌افزار یا رسانه‌ی ذخیره‌سازی می‌تواند «مدرک» باشد و لزوماً نیازی نیست که اشیاء داده‌ایِ درون رایانه یا افزاره بازرسی شوند (CCIPS، ۲۰۰۱). این نوع توقیف‌ها نشان می‌دهند که چرا بسیار مهم است که بدانیم رایانه‌ی مربوطه دقیقاً چگونه در ارتکاب عمل مجرمانه به‌کار رفته است. بسیار مهم است که به خاطر داشته باشید که تمام جرایمی که مرتبط با رایانه هستند، لزوماً مرتبط با مدرک دیجیتال نیستند. بدتر از همه این‌که بسیاری از این افزاره‌های توقیف‌شده، بدون این‌که لزومی داشته باشد، توسط سیستم پُرتقاضای قانون رایانه‌ای پردازش می‌شوند. همچنان که پیش از این بحث شد، با خاطر داشته باشید که رایانه‌ها و افزاره‌های دیجیتال را از تمام جوانب ببینید، و مراقب باشید که تنها به اقتضای شرایط، از مدرک دیجیتال استفاده نمایید.