طرح جلد کتاب ِ «بازپرسی جرایم سایبری»
بازپرسی جرایم سایبری

بازپرسی جرایم سایبری: قانون دیجیتال و آنالیز داده‌ها

فهرست ِ محتوای ِ کتاب
این نوشته بخشی از کتاب ِ «بازپرسی جرایم سایبری» است. برای ِ دست‌رسی به فهرست ِ محتوای ِ کتاب و خواندن ِ بخش‌های ِ دیگر می‌توانید به این لینک بروید.

ره‌یافت‌های این فصل:

  • تکامل قانون رایانه‌ای
  • مراحل قانون دیجیتال
  •  خلاصه
  •  مرور فشرده‌ی ره‌یافت‌ها
  •  پرسش‌های متداول

مقدمه

احتمالاً پیچیده‌ترین بخش از فرآیند بازپرسی جرایم سایبری، قانون دیجیتال است. این‌جا اغلب همان جایی است که قوی‌ترین مدرک به‌دست می‌آید. قانون دیجیتال یعنی کشف، آنالیز، و صیانت علمی از داده‌های موجود در رسانه‌ی الکترونیکی که این اطلاعات را می‌توان به‌عنوان مدرک در دادگاهی قانونی به‌کار برد. رویّه‌ی قانون دیجیتال به‌خودیِ خود می‌تواند یک شغل محسوب شود واغلب این‌طور نیز هست. در سایر مواقع، زیرمجموعه‌ای از مهارت‌هایی است که در حالت کلی‌تر، برای یک رویّه‌کار امنیتی لازم است. اگرچه رویّه‌کار شرکتیِ قانون دیجیتال، مأمور اجرای قانون نیست، با این حال، رویّه‌ی عاقلانه آن است که از همان شیوه‌هایی پیروی کند که اجرای قانون در انجام قانون دیجیتال از آن‌ها پیروی می‌کند. حتی در محیط شرکتی، کاری که فرد انجام می‌دهد می‌تواند به‌سرعت منجر به دادگاهی شدنِ او گردد. صرف‌نظر از این‌که مورد مربوطه مدنی یا جزایی است، مدرک مربوطه به یک نحو ارائه خواهد شد.

تکامل قانون رایانه‌ای

قانون دیجیتال سنتی با توقیف رایانه یا رسانه‌ای دیگر آغاز می‌شد. درایوها و رسانه‌ها به روشی قانونی، بیت‌به‌بیت کپی می‌شدند. راه برگشت- اگر چنین چیزی در فن‌آوری رایانه وجود داشته باشد- کپیِ قانونیِ مربوطه را می‌شد با استفاده از برنامه‌ی ویراستارِ دیسک یا شانزده‌شانزدهی جست‌وجو کرد. بعدها برنامه‌ها و مجموعه‌برنامه‌های قانونی تکامل یافتند و برخی از این فرآیندها را خودکار یا بسیار ساده کردند. رویّه‌کار قانونی فایل‌های حذف‌شده را بازیابی می‌کرد، فایل‌های موقت را جست‌وجو می‌کرد، ایمیل را بازیابی می‌کرد، و کارهای دیگری انجام می‌داد تا مدرک موجود در رسانه‌های مربوطه را کشف کند.

امروزه برنامه‌های کاربرپسند بیش‌تری وجود دارند که داده‌ها را در قالب GUI ارائه می‌دهند، و بسیاری از کارهای کاملاً فنی را خودکار کرده‌اند، کارهایی که پیش از آن برای انجام آن‌ها باید دانش عمیق و تخصصی در زمینه‌ی ویراستار شانزده‌شانزدهی می‌داشتید. هم‌چنین، سخت‌افزارهای فراوانی وجود دارند که این رویّه را کارآتر ساخته‌اند، اما واقعیت این است که فرآیندها تاکنون به آن اندازه تغییر نکرده‌اند.

از زمانِ آن توقیف‌های نخستین تا به امروز، مجموعه‌ای از بِه‌رویّه‌ها پدید آمده‌اند؛ مقصود از این کار، این بوده است که شالوده‌ای ایجاد شود برای کارهایی که تحت عنوان قانون دیجیتال انجام می‌شوند:

  • به هیچ وجه تغییری در رسانه‌ی اصلی ایجاد نکنید.
  • همیشه روی نسخه‌ی کپی کار کنید، نه نسخه‌ی اصلی.
  • رسانه‌ی در حالِ بازرسی باید استریل باشد تا مطمئن باشیم که هیچ داده‌ی پس‌ماندی با داده‌های در حالِ بازپرسی تداخل نخواهد داشت.
  • بازپرس باید بی‌طرف بماند و بوده‌ها را گزارش کند.

اغلب، بِه‌رویّه‌ها و روش‌شناسی‌ها از همان زمانِ آغاز قانون دیجیتال، دست‌نخورده و بی‌تغییر باقی مانده‌‎اند. سیستم موردنظر مستندسازی می‌شود؛ سخت‌درایوها جدا می‌شوند و متصل به افزاره‌ی مسدودکننده‌ی نویسش می‌شوند. با استفاده از برنامه‌ی تصویربرداریِ منتخب، تصویری قانونی ایجاد می‌شد، و با استفاده از برنامه‌ی قانونی منتخب، بازرسی انجام می‌شد. بِه‌رویّه‌ها تنها به‌عنوان رهنمود دیده نمی‌شدند؛ بلکه به‌عنوان دستورالعملی قطعی و مطلق به آن‌ها نگاه می‌کردند. این شیوه تاکنون خوب عمل کرده است، اما کم‌کم تاریخ انقضای برخی از عناصر رسیده است. اگرچه این بِه‌رویّه‌ها پایه و اساسِ شیوه‌های کنونی بوده‌اند، بسیاری از عناصر این بِه‌رویّه‌ها کم‌کم در حالِ عقب ماندن از موج فن‌آوری هستند و نیاز به تغییر یا تعدیل دارند.

برخلاف دیگر علوم قانونی، موضوعاتِ قانون دیجیتال، و هم‌چنین روش‌های آن، همچنان در حالِ تکامل هستند. ممکن است اثر انگشت انسان در طول زمان تغییر و تکامل یابد، اما این تغییر، در طول عمر افراد، به چشم نمی‌آید و برای کارشناسان اثر انگشت قابل‌ملاحظه نخواهد بود. ممکن است مواد شیمیاییِ روی یک رشته مو تغییر کنند، اما خودِ مو تقریباً همیشه همان‌گونه باقی می‌ماند. ممکن است روش‌ها تکامل یابند، اما موضوعات چندان تغییری نمی‌یابند. از سوی دیگر، همگام با تغییر فن‌آوری، مدرک دیجیتال نیز همچنان تغییر می‌کند. سیستم‌عامل‌ها و سیستم فایل‌ها پیشرفت و تغییر پیدا خواهند کرد. در واقع، سیستم‌عامل‌ها تقریباً از هر پنج سال تغییر می‌یابند. همگام با به‌بود فن‌آوری، افزایش چگالی داده‌های مغناطیسی، و کاهش قیمت‌ها، حجمِ آرایه‌های ذخیره‌سازی بزرگ و بزرگ‌تر شده است. رسانه‌درایوهای فلش همچنان به‌لحاظ ظرفیت، بزرگ‌تر و به‌لحاظ اندازه‌ی فیزیکی، کوچک‌تر می‌شوند. حجم افزاره‌ها که به‌طور بالقوه می‌توانند مدرکی را ذخیره کنند، به‌طور نمایی رشد کرده‌اند و همچنان رشد خواهند کرد. سیستم‌های بازی، پخش‌کننده‌های صوتی دیجیتال، سیستم‌های رسانه‌ای، ضبط‌کننده‌های ویدئویی دیجیتال- این فهرست همچنان رشد خواهد کرد. جهش عظیم در بازار دوربین دیجیتال، موجب ایجاد حجم عظیمی از افزاره‌ها و نیاز به آنالیز‌هایی شد که این آنالیز‌ها به‌طور سنتی در حدود اختیاراتِ بازرسان عکس بود، و نه خوره‌های رایانه. همگام با این‌که مجموعه‌ی منابعِ مدرک رشد می‌کنند، روش‌شناسی‌ها نیز باید تا حدّ زیادی توسعه یابند.

برای مثال، به‌طور معمول، تلفن‌همراه باید به منبع تغذیه وصل باشد تا بتواند تمام داده‌ها را حفظ کند. اگر این افزاره روشن بماند، می‌تواند به شبکه‌ای بی‌سیم متصل شود. برای اطمینان از این‌که این افزاره از شبکه مجزّا است، بازپرس باید از افزاره‌ی فارادِی استفاده کند- اما در حقیقت ما با جدا کردنِ افزاره از شبکه، داده‌های روی افزاره را تغییر می‌دهیم. این افزاره جزئیاتِ خروج از شبکه را برای خود ثبت خواهد کرد.

هشدار اصطلاح فنی…

افزاره‌ی فارادی

افزاره‌ی فارادی یا قفس فارادی، افزاره‌ای است که برای جلوگیری از ورود و خروجِ سیگنال‌های رادیویی به منطقه‌ی حفاظت‌شده ساخته شده است، و مانند یک محافظ الکترومغناطیسی عمل می‌کند. این افزاره شاملِ رسانایی فلزی یا حلقه‌ای مشبّک است که جلوی ورود و خروج سیگنال‌های الکترومغناطیس را می‌گیرد.

در صفحه‌های پیش رو، به برخی از مشکلاتی که رخ می‌دهند و این‌که چگونه برخی از فن‌آوری‌ها و بِه‌رویّه‌ها از موج فن‌آوری عقب می‌افتند، خواهم پرداخت. این مباحث، نه تنها شاملِ چالش‌های فنی، بلکه شامل چالش‌های رویّه‌ای نیز خواهند بود.

مراحل قانون دیجیتال

قانون دیجیتال سنتی را می‌توان به چهار مرحله تقسیم کرد. برخی از کارهایی که در هر یک از مراحل انجام می‌شوند، ممکن است با مراحل دیگر هم‌پوشانی داشته باشند، اما در کلّ، تفاوت بسیاری بین آن‌ها وجود دارد:

  • جمع‌آوری
  • بازرسی
  • آنالیز
  • گزارش

جمع‌آوری، حفظ و نگه‌داری از مدرک به‌منظور آنالیز است. بِه‌رویّه‌های کنونی بیان می‌دارند که مدرک دیجیتال باید کپی دقیقی- معمولاً کپی رشته‌بیتی یا کپی بیت‌به‌بیت- از رسانه‌ی اصلی باشند. سپس، کپیِ رشته‌بیتی از طریق الگوریتمِ آمیخته‌سازیِ رمزنویسی‌شده اجرا می‌شود تا این اطمینان ایجاد شود که این کپی، کپیِ تغییرنایافته‌ای است. در قانون دیجیتال نوین، اغلب، این کار با جداسازیِ فیزیکیِ سخت‌درایو از افزاره‌ی مربوطه، اتصال آن به دست‌گاه مسدودکننده‌ی نویسش، و استفاده از نرم‌افزاری قانونی برای ساخت کپی‌هایی قانونی انجام می‌شود. بازرسی، جست‌وجوی روش‌مندِ داده‌ها برای کشف مدرک است. این مرحله شاملِ کارهایی مانند استخراج سند و ایمیل، جست‌وجوی فایل‌های دودوییِ مشکوک، و داده‌کاوی است. آنالیز، فرآیندِ استفاده از مدرکِ بازیابی‌شده برای حلّ جرم است. آنالیز، کنار هم چیدنِ تمام بیت‌ها و تکه‌ها و کشف رمز نهفته در آن‌ها است تا بتوان فهمید که چه اتفاقی رخ داده است. گزارش مرحله‌ای است که در آن، تمام مراحل دیگر مستند و تشریح می‌شوند. گزارش باید حاویِ مستندسازیِ سخت‌افزار، ابزارهای به‌کاررفته، روش‌های به‌کاررفته، و کشفیات باشد. هر کدام از این مراحل، مشکلات و چالش‌های خاص خود را دارند.

نکته

در این‌جا برخی از منابع مهم در باره‌ی اداره‌ی رویداد رایانه‌ای و قانون دیجیتال را معرفی می‌کنیم:

NIST «راهنمای اداره‌ی رویداد امنیتی رایانه‌ای» SP800-61

http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf

NIST «راهنمای یک‌پارچه‌سازیِ روش‌های قانونی با پاسخگویی رویداد» SP800-96

http://csrc.nist.gov/publications/nistpubs/800-96/sp800-96.pdf

مؤسسه‌ی ملّی دادگستری- بازرسی قانونیِ مدرک دیجیتال: راهنمایی برای اجرای قانون

www.ojp.usdoj.gov/nij/pubs-sum/199408.htm

راه‌بردهای RFC برای جمع‌آوری و بایگانیِ مدرک

www.faqs.org/rfcs/rfc3227.html

جمع‌آوری

بِه‌رویّه‌های قانون دیجیتال سنتی بیان می‌دارند که باید کپیِ رشته‌بیتِ کاملی از حجمِ فیزیکیِ مربوطه ایجاد گردد. بالتبع، این کار مستلزمِ جداسازیِ فیزیکیِ سخت‌درایوها از سیستم مظنون، و اتصال درایو مربوطه به سیستمی دیگر برای انجامِ کپیِ قانونی است. تصویر قانونی، کپیِ بیت‌به‌بیت از رسانه‌ی اصلی است. این کار تمام داده‌ها را روی افزاره‌ای ذخیره‌سازی کپی می‌کند، از جمله بخش‌های استفاده‌نشده، فایل‌های حذف‌شده، و هر چیز دیگری که ممکن است روی  افزاره‌ی مربوطه باشد. سخت‌درایوِ مظنون باید به‌وسیله‌ی ره‌یافتی سخت‌افزاری، ره‌یافتی نرم‌افزاری، یا هر دو، در برابر هر نوع تغییری محافظت گردد (روش آن را به یاد دارید؟). معمولاً ره‌یافت سخت‌افزاری، افزاره‌ی مسدودکننده‌ی نویسش یا تصویربرداری سخت‌افزاری است. مسدودکننده‌ی نویسش، جلوی فرمان‌های نویسش را در سیستم بازرسی می‌گیرد، فرمان‌هایی که برخی از سیستم‌عامل‌ها به‌طور عادی انجام می‌دهند. ره‌یافت‌های نرم‌افزاری مستلزم این هستند که درایو یا افزاره‌ی مظنون به‌صورتِ فقط-خوانشی در سیستم‌عامل نصب شوند.

داده‌ها باید تغییرنایافته بمانند و زنجیره‌ی حفاظت باید حفظ گردد. تا جایی که امکان دارد، تمام کارها باید روی نسخه‌ی کپی انجام شوند؛ نسخه‌های اصلی باید حفظ و بایگانی شوند. برای اطمینان از این‌که داده‌ها تغییرنایافته مانده‌اند، درایو اصلی و درایو تصویربرداری‌شده آمیخته می‌شوند و آمیخته‌ها با هم مقایسه می‌گردند تا این اطمینان ایجاد شود که کپیِ بیت‌به‌بیتِ دقیقی به‌دست آمده است.

هشدار اصطلاح فنی…

آمیخته‌ها

آمیخته‌ها از الگوریتم‌های رمزنویسی‌شده استفاده می‌کنند تا چکیده‌پیامی از داده‌ها ایجاد کنند و آن را به‌عنوان تکه‌ی نسبتاً کوچکی از داده‌ها ارائه دهند. این آمیخته را می‌توان برای مقایسه‌ی آمیخته‌ی داده‌های اصلی با کپی قانونی به‌کار برد. در صورتی که این آمیخته‌ها بر هم منطبق باشند، اثبات می‌شود که این داده‌ها همان کپی دقیق هستند. با این‌که هنوز چالشی در این باره ایجاد نشده است، منتها آمیخته‌های سنتیِ CRC، MD5، و SHA1 شکسته شده‌اند. هم‌چنین، در حجمِ خالصِ الگوریتم‌های آمیخته‌سازیِ ۱۲۸ بیتی‌ای مانند MD5 محدودیت‌هایی وجود دارند. تنها امکانِ ۲۱۲۸ آمیخته وجود دارد. اگر فایل‌سرورِ چند ترابایتیِ بزرگی که در حالِ آنالیز است، حاویِ ۲۱۲۸ + ۱ فایل باشد، قطعاً دو فایل متفاوت با داده‌هایی منحصربه‌فرد وجود خواهند داشت که دارای آمیخته‌ی یکسان خواهند بود. بدیهی است که ۲۱۲۸ حدود ۳۴۰ میلیارد میلیارد میلیارد میلیارد است، و می‌تواند آرایه‌ی ذخیره‌سازیِ بی‌نهایت بزرگی از فایل‌های بسیار کوچک باشد، اما این بوده نیز تردیدبرانگیز است و می‌تواند موجب تباهیِ پیگرد جزایی گردد. اگرچه ۲۱۲۸ هنوز هم عدد هنگفتی است، با رشد و توسعه‌ی ذخیره‌سازی، چندان هم بی‌راه نخواهد بود اگر این‌گونه فکر کنیم که آمیخته‌های ۱۲۸ بیتی تبدیل به مشکلی روزافزون خواهند شد. احتمالاً بسیار پیش از آن‌که مشکلی بزرگ در تک‌ایستگاه‌های کاری ایجاد کنند، برای سیستم‌های ذخیره‌سازیِ بزرگ مشکل ایجاد خواهند کرد. به‌نظر می‌رسد که آینده از آنِ الگوریتم SHA-256 و دیگر آمیخته‌های ۲۵۶ بیتی خواهد بود. هم‌اکنون، آمیخته‌های کتابخانه‌ایِ مرجعِ نرم‌افزار ملّی از الگوریتم‌های SHA-1 و MD5 استفاده می‌کنند.

مدرک دیجیتال باید ویژگی‌های زیر را داشته باشد:

  • قابل‌پذیرش  مدرک دیجیتال پیش از آن‌که تقدیم دادگاه گردد، باید مطابق با قواعد قانونی معینی باشد.
  • اصیل  باید اثبات شود که داده‌ها مرتبط با رویداد هستند. این همان جایی است که مستندسازیِ تکمیلی اهمیت می‌یابد.
  • کامل  باید بی‌طرف باشد و تمام داستان را بگوید.
  • قابل‌اطمینان  نباید هیچ چیزِ تردیدبرانگیزی در ارتباط با جمع‌آوری و انجام امور مرتبط با مدرک در میان باشد. روندهای زنجیره‌ی حفاظت در این‌جا نقشی حیاتی می‌یابند.
  • قابل‌باور  گزارش‌ها و مستندسازی باید همه‌چیز را بیان کنند تا برای قاضی یا هیئت منصفه قابل‌باور و قابل‌فهم باشند.

هر مدرک دیجیتالی که جمع‌آوری می‌شود باید این الزامات را برآورده سازد. چالشی که پدیدار می‌شود قابلیتِ پذیرش است. بِه‌رویّه‌ها و قواعدی سنتی وجود دارند که تمرکز آن‌ها بر داده‌های به‌دست‌آمده از سیستم‌های ایستا یا خاموش است. همان‌طور که خواهیم دید، مسائلی وجود دارد که این روش را دشوار، یا غیرممکن می‌سازند، یا این‌که ممکن است در این روش، حجم عظیمی از داده‌ها از قلم بیفتند. یکی از چالش‌های پیشِ روی جمع‌آوریِ داده‌ها برای آنالیز، می‌تواند بیرون کشیدن و خارج کردنِ فایل‌ها از سیستم‌ها، و نیز زمانی که آن‌ها خارج از سیستم هستند، باشد. آیا سیستم مربوطه راهی برای اتصالِ حافظه‌ی خارجی دارد یا آیا اصلاً دسترسی فیزیکی برای انجام چنین کاری وجود دارد؟ اگر هیچ دسترسی فیزیکی‌ای وجود نداشته باشد، چه مدت زمانی طول می‌کشد که داده‌ها را به خارج از سیستم انتقال داد تا با آن‌ها کار کرد؟ یکی از گزینه‌ها این است که روی سیستم با داده‌ها کار کرد، اما آیا روی سیستم به‌اندازه‌ی کافی حافظه در اختیار قرار دارد تا بتوان آن‌ها را کپی و آنالیز کرد؟ اگر سیستم مربوطه در معرض خطر باشد و احتمال کشف رمز آن برود، آیا استفاده از برنامه‌ها و فایل‌های دودویی روی آن، می‌تواند کار قابل‌اطمینانی باشد؟ به احتمالِ قریب به یقین نه.

گزینه‌ی دیگر، انتقال داده‌ها به خارج از سیستم از طریق اتصال شبکه است. حجمِ پیوندِ شبکه برای انتقال داده‌ها به خارج از سیستم چقدر است؟ اگر نتوان در-محل با داده‌ها کار کرد، آیا حافظه‌ی لازم برای انتقال آن را دارید؟ آیا حافظه‌ی لازم را دارید تا بتوانید بعداً با آن کار کنید؟ آیا سیستم‌هایی دارید که به‎اندازه‌ی کافی قدرتمند باشند تا بتوانند تمام داده‌ها را کندوکاو و پرسمان کنند؟ آیا تمام سیستم‌ها در یک مرکز داده‌ی یکسان هستند، یا این‌که لازم است از جایی به جای دیگر سفر کنید یا چندین گروه داشته باشید که به‌طور همزمان کار کنند؟ پرسش‌های بسیاری در این زمینه مطرح هستند، و برخی از پیش‌برنامه‌ریزی‌ها در این زمینه ضروری هستند.

رویدادهایی که در بنگاه‌های تجاری بزرگ یا دیگر شبکه‌های بزرگ رخ می‌دهند، می‌توانند مشکلات بیش‌تری ایجاد کنند، و ممکن است بی‌نهایت پیچیده باشند. پاسخگوی جرایم سایبری، به احتمال قریب به یقین، با سیستم‌های گوناگونی روبه‌رو خواهد شد که در حالِ اجرای سیستم‌عامل‌های بسیاری هستند. افزاره‌های مربوطه دربرگیرنده‌ی تقریباً همه‌چیز و هرچیزی خواهند بود. مهم‌ترین گام به‌هنگامِ پاسخگویی به رویداد جرم سایبریِ بزرگ این است که چند دقیقه‌ای درنگ کنید و ابتدا مشخص سازید که با چه نوع سیستم‌هایی سروکار دارید. بهترین زمان است که هر نوع اسناد موجود، مثلاً نمودارهای شبکه و پیکربندی‌های سیستم، را گردآوری کنید.

نکته‌ی کلیدی در این است که از دید کانونی پرهیز کنید. ممکن است سیستم‌های بسیاری وجود داشته باشند که لازم است داده‌های آن‌ها بازیابی شوند، و احتمالاً نیاز به راه‌های بسیاری برای دسترسی به داده‌ها خواهد بود. ممکن است به‌راحتی در دام بیفتید و تمرکز خود را روی اولین سیستمی قرار دهید که آن را در معرض خطر یا دخیل در ماجرا یافته‌اید، و حال آن‌که ممکن است آن سیستم فقط قلّه‌ی نمایانِ کوه یخی باشد که قسمت اعظم آن در زیر آب پنهان است. اگر تمام تمرکزِ بازپرسی روی اولین سیستم قرار گیرد، در آن صورت ممکن است تمام مدارک دیگر از همان ابتدا از دست بروند. یا اگر مدت زمانِ نگاه‌داریِ ثبت وقایع یا داده‌های فرّار، بسیار کوتاه باشد، در آن صورت ممکن است داده‌ها برای همیشه از دست بروند. درست مانند پیاده‌گردی که گم شده است و به‌دنبالِ راه خود می‌گردد، تمام حلقه‌های اطرافِ آن نقطه‌ی کشف اولیه را بررسی نمایید. از همان دست‌گاه موردنظر اولیه، شروع به بررسیِ اطراف و جوانب نمایید، و روی راه‌های دسترسی‌ای که به آن ختم می‌شوند، تمرکز کنید. راه‌های فیزیکی به سیستم را از یاد نبرید- کنترل دسترسی‌ها و نظارت ویدئویی در اغلبِ مراکز داده یا دفاتر وجود دارند، و قطعاً ثبت وقایعِ دسترسیِ فیزیکی باید مورد بازبینی قرار گیرند.

آماده‌سازی

مجموعه‌ای از ابزارها، هم سخت‌افزاری و هم نرم‌افزاری، مورد نیاز است. اگر فرصت دارید، پیش از آن‌که سراغ دست‌گاه‌ها بروید، تا می‌توانید اطلاعات جمع‌آوری کنید. اگر در محیط محلی شما است، آن‌چه برای حالت کار عادی و برای پیش‌آمدهای احتمالی لازم است، پیش‌بینی نمایید. چند تماس تلفنی اضافه و چند دقیقه وقت بیش‌تر گذاردن برای گردآوری ابزارهای اضافی می‌تواند بعداً چند ساعت از وقت شما را صرفه‌جویی کند، ساعاتی که صرف این خواهد شد که روش‌های کشف‌وکسب دیگری را امتحان کنید یا با ابزارهای دستیِ ناکافی سر و کلّه بزنید. هم‌چنین، این کار می‌تواند به شما کمک کند تا تصمیم بگیرید که آیا به منابع دیگری احتیاج دارید یا نه، یا این‌که آیا پیچیده و غیرقابل‌فهم است یا نه. اگر در محیط شرکتی هستید باید مشخصه‌های سیستم‌های حیاتیِ موجود را داشته باشید تا به اجرای قانون در کار با سسیستم‌های‌تان کمک نمایید، البته اگر قصد ندارید که این کشف‌وکسب‌ها را به‌صورتِ درون‌سازمانی انجام دهید. به احتمال قریب به یقین، این اطلاعات باید برای بازیابیِ حوادث غیرمترقبه یا مشکلات مرتبط با خرابیِ سخت‌افزار در دسترس باشند.

اطمینان یابید که به‌اندازه‌ی کافی درایو یا حافظه‌ی ذخیره‌سازی در اختیار دارید تا تمام تصاویر قانونی‌ای را که جمع‌آوری خواهند شد، نگاه دارید. این درایوها باید پیشاپیش آماده شده باشند. این آماده‌سازی باید شاملِ داده‌زداییِ درایو باشد، به‌طوری‌که هیچ داده‌ای باقی نماند که بتواند داده‌های جمع‌آوری‌شده را آلوده سازد. این کار، جایی نیز برای این ادعا باقی نمی‌گذارد که ممکن است داده‌ها در آنجا قرار داده شده باشند یا این‌که مدرک جمع‌آوری‌شده آلوده و معیوب بوده است. باید گزارشی برای ثبت این وقایع نگه‌داری شود که آماده‌سازیِ این رسانه‌ی ذخیره‌سازی را مستند سازد.

یک مأمور اجرای قانون فدرال در مرکز داده‌ای حاضر می‌شود تا در بازپرسی جرم سایبری‌ای همکاری نماید. او به شخص قانونیِ شرکت که انجام این مورد را برعهده دارد، بیان می‌دارد که «من آمده‌ام این‌جا تا سرور را ببرم.» شخص قانونی شرکت مستقیماً به او خیره می‌شود، و سپس می‌پرسد، «آیا با خود کامیون و چند نفر آدم اضافی و شاید چند نفر کمک‌دست آورده‌اید؟» مأمور می‌پرسد «برای چه؟» «زیرا سرور با احتسابِ آرایه‌ی ذخیره‌سازی، هفت قفسه می‌شود!»

امروزه بسیاری از رایانه‌های شخصیِ متوسط با درایوهایی ۴۰۰ GB عرضه می‌شوند، تصویربرداری یا کپیِ رشته‌بیتیِ کامل مستلزمِ صرف زمان و سخت‌افزار است. نکته‌ای که باید درنظر گرفت: ره‌یافت‌های تصویربرداریِ مبتنی بر سخت‌افزار مانند Logicube MD5 نیازمندِ درایوِ هدفی بزرگ‌تر از درایو مدرک است. در حال حاضر، گزینه‌ی انتخابی می‌تواند درایو ۵۰۰ GB یا ۷۵۰ GB باشد. از درایو ۷۵۰ GB استفاده کنید، جمع‌آوری باید با ره‌یافتی انجام شود که به تصویرِ گرفته‌شده امکان می‌دهد تا روی رسانه گسترش یابد و باز شود. درایوهای یک ترابایتی در سال ۲۰۰۷ واردِ بازارِ مصرف‌کننده خواهند شد. نکته در این‌جا است که همیشه باید نقشه‌ی دوّمی در نظر یا آماده داشته باشید تا در صورتی که روش اصلی کار نکرد، از آن استفاده کنید. روند جالبی که قابل‌مشاهده است، رشد رسانه‌های ذخیره‌سازی است. مفهوم قانون مور که در ارتباط با توان پردازشی است، کاملاً شناخته‌شده است. از زمانِ ابداع سخت‌درایوها تا زمانی که حجم آن‌ها به ۱ گیگابایت رسید، ۳۵ سال طول کشید. امروزه ۱ گیگابایت به‌طور معمول در دوربین‌های دیجیتال و تلفن‌همراه‌ها به‌کار برده می‌شود. ۱۴ سالِ دیگر طول کشید تا درایوی ۵۰۰ گیگابایتی یا نیم ترابایتی واردِ بازارِ مصرف‌کننده شد. تنها دو سال بعد، این مقدار دو برابر شد و به یک ترابایت رسید [PC World]. همگام با ادامه‌ی این روند، حجم داده‌هایی که نیاز به بازرسی دارند، نیز به‌شدّت گسترش خواهد یافت.

در خصوص آمادگی برای پاسخگویی، داشتنِ یک دست‌گاه لینوکس ضروری است. برخی از افراد مکینتاش را بیش‌تر دوست دارند، و در این وضعیت نیز به‌خوبی کار می‌کنند. سیستمی که بتواند تنظیمات SMB و NFS را انجام دهد، netcat، ftp، و scp را اجرا کند، می‌تواند بسیار ارزشمند باشد.سیستم مبتنی بر ویندوز نیز می‌تواند این کارها را انجام دهد ، منتها نیاز به نرم‌افزارهای ثالث بیش‌تری برای انجام این کارها دارد. سیستمِ مبتنی بر *نیکس این توانایی را نیز دارد تا گستره‌ی وسیع‌تری از سیستم‌های فایل را نصب کند. وقتی که داده‌ها بازیابی می‌شوند، تمام ابزارهای *نیکسِ بومی برای جست‌وجو و دستکاریِ داده‌ها در دسترس خواهند بود.

نکات پنهان…

محتویات پیشنهادیِ جعبه‌ابزار

جعبه‌ابزار شما باید حاویِ اجزاء زیر باشد:

سخت‌افزار  سخت‌درایوهای هدف، مسدودکننده‌ی نویسش، و کابل‌ها (شبکه، IDE، و SCSI)

نرم‌افزار  دیسک‌های راه‌انداز و درایورها هم برای سیستم قانونی شما و هم هر سیستمی که ممکن است با آن روبه‌رو شوید، به‌ویژه برای کارت‌های شبکه

ابزارها  کلیدهای آلِن، آچار پیچ‌گوشتی‌های بزرگ و کوچک (استاندارد، فیلیپس، و تورکس)

دیگر محتویات  برچسب‌ها، کیسه‌های ضدّ الکتریسیته‌ی ساکن، خودکارها و نشانه‌گذارها، رسانه‌های خام: (سی‌دی‌ها، دی‌وی‌دی‌ها)، و دوربین

آخرین چیزی که باید در نظر گرفت این است که ممکن است داده‌ها به دلیلِ فرّار بودن، نیاز به حفظ و صیانت داشته باشند. فرّارترین داده باید پیش از همه حفظ شود. این موضوع اغلب در مورد سیستم‌های در حالِ اجرا صادق است، اما روشی که در موردِ سیستم‌های زنده به‌کار می‌بریم در آینده‌ی نزدیک اهمیت بیش‌تری خواهد یافت. مثالی از ترتیبِ بازیابیِ داده‌های سیستمی بر اساس فرّار بودن آن‌ها ارائه می‌کنیم:

  • اطلاعات سیستم زنده  این اطلاعات شاملِ حافظه، جدول مسیریابی، نهان‌حافظه‌ی ARP، و فهرست پردازش می‌شود. دغدغه‌ای که در ارتباط با اطلاعات سیستم زنده مطرح است، این است که تصویربرداری از حافظه‌ی سیستم یا داده‌های زنده‌ی دیگر با تغییرِ داده‌های اصلی، دشوار یا غیرممکن است.
  • حافظه‌ی مجازی  فایل‌های صفحه‌بندی و فضای پایاپای
  • دیسک‌های فیزیکی  سخت‌درایوهای فیزیکیِ سیستم
  • پشتیبان‌ها  رسانه‌های پشتیبان آفلاین مانند نوار مغناطیسی یا دیگر رسانه‌ها: کاملاً این احتمال وجود دارد که داده‌هایی که شما به دنبالِ آن‌ها می‌گردید امروز روی سیستم موجود نباشند، در حالی که دیروز آنجا بودند و در پشتیبانِ شبِ گذشته‌ی آن‌ها نیز وجود دارند.

از آنجا که ممکن است طیّ انجام بازپرسی جرایم سایبری، با گستره‌ی وسیعی از سیستم‌ها و افزاره‌ها روبه‌رو شد، باید جعبه‌ابزار بزرگ و قابل‌انعطافی ایجاد کرد. این جعبه‌ابزار نه تنها باید شاملِ سخت‌افزار و نرم‌افزار موردنیاز برای کار با افزاره‌های گوناگون باشد، بلکه باید حاویِ جعبه‌ابزارِ مخصوص خود بازپرس، جعبه‌ابزاری از فنون و روش‌های گوناگون برای کار با آن‌‎ها، نیز باشد. این جعبه‌ابزار باید شاملِ منابعی باشد تا بتوان در زمانی که رویّه‌کارِ قانونی در موقعیتی قرار می‌گیرد که فراتر از مهارت‌های او است، به آن منابع مراجعه کرد و از آن‌ها کمک گرفت.

مشکلات در حین جمع‌آوریِ مدرک از افزاره‌های غیرسنتی

ما شاهدِ انقلابی در رشد رسانه‌های ذخیره‌سازی بوده‌ایم، منتها توسعه‌ی پیوسته‌ی رسانه‌های ذخیره‌سازیِ جای‌گزین را نیز مشاهده کرده‌ایم. تنوع افزاره‌ها و قالب‌های ذخیره‌سازی همچنان چالشی مهم است. این افزاره‌ها شامل موارد زیر هستند، هر چند محدود به این‌ها نمی‌شوند:

واسط‌های سخت‌درایو

اولین نوع، گرچه در واقع چیز جدیدی نیست، با محبوبیّت ساتا و دیگر فن‌آوری‌ها ایجاد شده است. معمولاً، سخت‌درایوها IDE یا اِسکازی بودند. IDE، ۳ ۱/۲ یا ۲ ۱/۲ بود. به مددِ رخدادهای شگفت‌انگیزی که در فن‌آوری روی داد، ما هم‌اکنون سخت‌درایوهایی با واسط ۱.۸ اینچی داریم. ضمیمه‌ی ساتا نیز در هر دو اندازه‌ی ۳ ۱/۲ و لپ‌تاپی وجود دارد که خوش‌بختانه هر دو از رابط‌های یکسانی استفاده می‌کنند. پس از آن، تمام آداپتورهای اسکازی قرار دارند. کانال فیبر نیز هست که منتها بحث در باره‌ی آن را موکول به زمان دیگری می‌کنیم. در غیابِ آداپتور درایو، همیشه می‌توان از کشف‌وکسبِ شبکه‌ای استفاده کرد که بهای آن صرفِ زمان است. منتها، کارت شبکه‌های بی‌شماری وجود دارند که باید برای آن‌ها دیسک راه‌انداز یا درایورهای موردنیاز را ساخت یا جمع‌آوری کرد.

بهترین راه برای این‌که همیشه آمادگی لازم را برای واسط‌های درایو مختلف داشته باشیم، این است که گزیده‌ای از آداپتورهای درایو را دمِ دست داشته باشیم. قیمتِ اغلبِ آن‌ها نسبتاً ارزان است. اغلبِ آداپتورها این امکان را دارند که بتوان از افزاره‌ی مسدودکننده‌ی نویسشِ IDEِ استاندارد استفاده کرد، یا این‌که به‌صورت فقط-خوانشی نصب می‌شوند. همیشه پیش از استفاده از پیکربندیِ مربوطه در کشف‌وکسب واقعی، آن را آزمایش و اعتبارسنجی کنید.

اگر درایوِ مربوطه با مسدودکننده‌ی نویسش سازگار نباشد، همیشه می‌توان از گزینه‌‌ی کشف‌وکسب از طریق شبکه یا USB استفاده کرد.

MP3 و سیستم‌های سرگرمی دیجیتال

پخش‌کننده‌های MP3 مانند آی‌پادها همچنان به‌لحاظ ظرفیت ذخیره‌سازی و توانایی‌ها در حالِ رشد هستند. بسیاری از آن‌ها می‌توانند به‌عنوان سامانه‌ای شخصی عمل کنند. هم‌چنین، بسیاری از افزاره‌ها می‌توانند به‌عنوان حافظه‌ی ذخیره‌سازیِ قابل‌حمل عمل کنند. علاوه بر این، بدافزاری ایجاد شده است تا بتوان با استفاده از افزاره‌هایی مانند آی‌پادها داده‌های سیستم‌ها را به سرقت برد.

اغلبِ این افزاره‌ها می‌توانند مانند سخت‌درایوی خارجی رفتار کنند. اگرچه بسیاری از آن‌ها سخت‌درایو کوچکی دارند که می‌توان آن را جدا کرد و درایو مربوطه را برای کشف‌وکسب خارج کرد، این کار می‌تواند خسته‌کننده و دشوار باشد. یکی از راه‌بردهای قابل‌اطمینان این است که از طریق واسطِ خودِ آن‌ها کشف‌وکسب کنند که معمولاً همان USB است. همچون درایو خارجی، آن‌ها را نیز می‌توان از طریق ره‌یافت‌های سخت‌افزاری یا نصب روی درایو در برابر نویسش مسدود کرد، و از طریق سیستم‌عامل به‌صورتِ فقط‌خوانشی کرد.

نکات پنهان…

ذخیره‌سازیِ داده‌ها روی رسانه‌های جای‌گزین

چرا باید حتی به داده‌هایی که روی رسانه‌های جای‌گزین هستند، نیز توجه کنیم؟ این افزاره‌ها، علاوه بر پتانسیلی که برای ذخیره‌سازی دارند، آنقدر توانمند شده‌اند که به نرم‌افزار این امکان را می‌دهند که روی خودِ آن‌ها اجرا شود. چند مثال:

پادخوری  پادخوری به استفاده از آی‌پاد برای سرقت اطلاعات از یک سیستم می‌گویند. همین‌که آی‌پاد متصل می‌شود، برنامه‌ای اجرا می‌شود و تمام فایل‌های مطابق با انواع مشخص‌شده را ظرف چند دقیقه در آی‌پاد کپی می‌کند. با توجه به افزایش ظرفیت ذخیره‌سازیِ آی‌پاد، می‌توان محتویات چند سیستم را روی فقط یک افزاره ریخت.

پخش‌کننده‌های MP3 و دست‌گاه‌های خودپرداز (ATMها)

پخش‌کننده‌های MP3 که توانایی ضبط صدا را دارند، با استفاده از ضبط صداها از طریق خطوط تلفن، توانسته‌اند که برخی از ATMها را در معرض خطر کشف قرار دهند. زمانی که تمام داده‌ها گرفته می‌شوند، می‌توان آن‌ها را برای سرقت از حساب‌هایی به‌کار برد که از ATM استفاده کرده‌اند.

تلفن‌ها و PDAها

امروزه تقریباً هر کسی حداقل یک یا چند تلفن‌همراه در کنار خود دارد. مرز میان تلفن‌همراه و PDA محو و نامشخص شده است. به‌طور مشابه، مرز میان تلفن‌همراه، PDA، یا رایانه نیز محو شده است. این‌که افزاره‌ای بیش از ۱ گیگابایت حافظه داشته باشد، چیز غریب و نامتداولی نیست، و می‌تواند معدن طلای داده و مدرک محسوب شود. فقط این اطمینان را حاصل کنید که تشریفاتِ اداریِ فرآیندِ قانونی یا خط‌مشی‌های حریم شخصی در طولِ عملِ توقیف مدّ نظر قرار گرفته باشند. داده‌های موجود در افزاره‌هایی که با استفاده از باتری کار می‌کنند، بی‌نهایت فرّار هستند، و لازم است که به‌سرعت پردازش شوند یا با استفاده از منبع تغذیه‌ای نگه‌داری شوند. مراقبت ویژه‌ای نیز باید در باره‌ی اجتناب از آلایش داده در افزاره‌های بی‌سیم صورت گیرد، بنابراین باید استفاده از افزاره‌ی فارادی را مدّ نظر قرار داد.

احتمالاً تلفن‌همراه‌ها یکی از بغرنج‌ترین مسائلِ قانون دیجیتال هستند. حجم وسیعِ تولیدکنندگان، تراشه‌ها، و سیستم‌عامل‌ها (که بسیاری از آن‌ها اختصاصی هستند) موجب می‌شود که جمع‌آوری داده‌ها از تمام افزاره‌ها با استفاده از فرآیندی یکسان ممکن نباشد. اغلب نمی‌توان رونوشت فیزیکی کاملی از تمام حافظه‌ی موجود در یک افزاره به‌دست آورد. بسیاری از بسته‌های نرم‌افزاری می‌توانند رونوشتی منطقی از اطلاعات ایجاد کنند. برخی از بسته‌های نرم‌افزاری نیاز به نصبِ اَپلِت یا درایوری دارند تا بتوانند امکانِ کشف‌وکسب را ایجاد کنند. با توجه به این بوده که برای اتصال به افزاره‌ی مربوطه باید آن افزاره متصل به منبع تغذیه باشد، تقریباً تمام کشف‌وکسب‌ها کشف‌وکسب‌های زنده هستند. کشف‌وکسبِ افزاره داده‌ها را تغییر خواهد داد. فرّاریت داده‌ها در افزاره‌های همراه، در تناقض با حوزه‌ی سنتیِ قانون دیجیتال است؛ از آنجا که این نوع کشف‌وکسب، تصویری آنی در لحظه‌ی معینی از زمان است، مشابهِ ضبطِ قانونیِ شبکه است. به احتمال زیاد، اگر افزاره‌ی مربوطه دوباره کشف‌وکسب گردد، داده‌های آن متفاوت خواهد بود، و آمیخته‌های داده‌ها نیز به نوبه‌ی خود متفاوت خواهند بود. البته، هر کدام از کارت‌های حافظه‌ی درونِ افزاره‌ی مربوطه را می‌توان با روش سنتی نیز کشف‌وکسب کرد.

تلفن‌همراه یا PDAِ دارای بی‌سیم باید با استفاده از افزاره‌ی فارادی ایزوله شوند. افزاره‌ی بی‌سیم باید دارای منبع تغذیه‌ی جانبی نیز باشد که اگر باتری‌ها نتوانستند تا زمانی که داده‌های آن پردازش شوند، از آن پشتیبانی کنند، از این منبع تغذیه‌ی اضافی استفاده شود. این امر از این جهت دارای اهمیت ویژه‌ای است که برخی از افزاره‌ها زمانی که ایزوله می‌شوند، مدام اخطار می‌دهند و به‌دنبالِ شبکه می‌گردند، که در این حالت، ذخیره‌ی توان خود را سریع‌تر از حالت عادی مصرف می‌کنند. با توجه به مشکلِ فرّاریت که ناشی از شبکه‌های بی‌سیم و توان است، افزاره‌ی مربوطه باید هر چه سریع‌تر پردازش شود. هم‌چنین، رویّه‌کاران خواهند فهمید که هیچ راه‌حلّ اعجازآمیزی برای تلفن‌ها و PDAها وجود ندارد. جعبه‌ابزار گسترده‌ای از نرم‌افزارها و کابل‌ها برای رویارویی با افزاره‌های گوناگون مورد نیاز است. در نهایت، اگر همه‌چیز با شکست روبه‌رو شود، می‌توان داده‌های موجود در افزاره‌ها را با بازرسیِ دستیِ آن‌ها و عکس‌برداری از صفحه‌نمایش‌ها، همگام با پیشبردِ بازرسی، مستند ساخت.

حافظه‌های فلَش

افزاره‌های بسیاری از حافظه‌ی فلش استفاده می‌کنند. پخش‌کننده‌های MP3، دوربین‌های دیجیتال، تلفن‌همراه‌ها، درایوهای USB، و دست‌افزارها نمونه‌ای از آن‌ها هستند. هنگامِ جمع‌آوری و توقیف مدرک به‌دقت به‌دنبالِ تمام رسانه‌ها بگردید. قالب‌هایی مانند Mini SD بی‌نهایت کوچک هستند. هم‌چنین، به‌دنبالِ سخت‌افزاری باشید که ممکن است در کنار رسانه‌ی مربوطه باشد. برخی از قالب‌ها مانند xD در تعداد محدودی از افزاره‌ها به‌کار می‌روند. از آنجا که قالب‌های بسیاری در حال حاضر وجود دارند و بسیاری قالب‌های دیگر هم در حال ایجاد هستند، حافظه‌ی فلش می‌تواند چالش‌برانگیز باشد. چگالی حافظه‌ها همگام با حافظه‌های ذخیره‌سازیِ داده‌ها، به‌طور عام، به‌بود می‌یابد، در نتیجه برخی از رسانه‌های فلش کاملاً در حالِ افزایش هستند.

کارت‌خوان‌های حافظه‌ی فلش برای گستره‌ی متنوعی از قالب‌ها ضروی هستند. خوش‌بختانه این کارت‌خوان‌ها ارزان‌قیمت هستند و داشتنِ آن‌ها این امکان را به شما می‌دهد که اغلبِ قالب‌ها را همیشه دمِ دست خود داشته باشید. برخی از نسخه‌های قانونی آن‌ها وجود دارند که به‌صورت فقط‌خوانشی ساخته می‌شوند، این امر موجبِ کاهش مشکلات احتمالی می‌گردد، اما کارت‌خوان عادی می‌تواند با هر کدام از روش‌های دیگر به‌کار گرفته شود تا از درستی و بی‌نقصیِ داده‌ها محافظت نماید.

نکات پنهان…

درایوهای هوشمند U3

درایوهای هوشمند U3 جزء آخرین ره‌یافت‌های فن‌آوریِ ذخیره‌سازیِ قابل‌حمل هستند. اگرچه استفاده از آن‌ها، به دلیل وجود خصیصه‌هایی مانند نرم‌افزار قابل‌حمل، بسیار سودمند و ساده است، می‌توانند برای رویّه‌کار قانونی چالش‌برانگیز باشند. برخی از همان خصیصه‌هایی که درایوهای U3 را آنقدر روان و کارآ می‌سازند، می‌توانند مشکل‌ساز باشند. درایوهای U3 بر اساس طراحی‌ای که دارند، موقعِ پاک کردن، تمامِ داده‌های شخصی را پاک می‌کنند، در نتیجه وقتی چیزی از سیستم پاک می‌شود مصنوعات بسیار کمی باقی می‌مانند تا بتوان آن‌ها را آنالیز کرد. هم‌چنین، درایوهای U3 مثلِ برخی از سی‌دی‌ها خصیصه‌ی خوداجرایی دارند. همان‌طور که در پروژه‌هایی مانند U3 USB Hacksaw از HAK.5 نشان داده شده است، خصیصه‌ی خوداجرایی می‌تواند مشکلی امنیتی باشد. زمانی که USB Hacksaw واردِ سیستمی گردد، به‌طور خودکار نرم‌افزاری را اجرا می‌کند که اسناد موجود در دست‌گاه آلوده‌شده را مکان‌یابی و آن‌ها را از طریق ایمیل رمزبندی‌شده به مهاجم موردنظر ارسال می‌کند (www.hak5.org/wiki/USB_Hacksaw).

درایوهای U3 معمولاً نرم‌افزاری امنیتی نیز دارند که می‌تواند نواحی حفاظت‌شده‌ای در درایو مربوطه ایجاد نماید تا از داده‌های کاربر محافظت کند. این نواحیِ رمزبندی‌شده می‌توانند برای رویّه‌کار قانونی چالش‌برانگیز باشند و دسترسی او را با مشکل روبه‌رو سازند.

دست‌گاه‌های بازی

کنسول‌های بازیِ به‌بودیافته و به‌روزی مانند ایکس‌باکس، ایکس‌باکس ۳۶۰، یا PS2 می‌توانند منبع مدرک باشند. برای مثال: ایکس‌باکسی با تراشه‌ای به‌روز و مرکز رسانه‌ایِ ایکس‌باکس می‌تواند سیستمی قدرتمند باشد که از آن برای ذخیره‌ی ویدئو، موسیقی، یا داده‌های دیگر استفاده شود. این سیستم می‌تواند نقشِ سرور یا خدمات‌گیرنده را داشته باشد. سیستم‌های به‌بودنیافته از سیستم فایل اختصاصی استفاده می‌کنند که توسط بیش‌تر برنامه‌های قانونی پشتیبانی نمی‌شود. آن‌چه اوکدابِ این سیستم را پیچیده و دشوار می‌سازد این است که معمولاً کار سختی است که از ظاهر سیستم بتوان گفت که آیا دست‌گاه مربوطه به‌بودیافته است یا نه. این نمونه مثالی است که نشان می‌دهد برخی از اطلاعات و اوکدابِ بازپرسانه‌ی سنتی می‌تواند حجم کاریِ رویّه‌کار قانونی را کاهش دهد.

حتماً باید طی فرآیند توقیف مدرک، سیستم بازی را مدّنظر قرار داد. طی کشف‌وکسب و بازرسی، می‌توان با این سیستم، در اساس، مثل هر رایانه‌ی شخصی دیگری رفتار و عمل کرد چرا که از گذرگاه‌های سخت‌درایوِ بنیادینِ یکسانی استفاده می‌کنند.

GPS

استفاده از گیرنده‌های سیستم موقعیت‌یابیِ جهانی در بسیاری از وسایل نقلیه یا دست‌افزارها تقریباً رایج شده است. این گیرنده‌ها می‌توانند اطلاعات ارزشمندی در قالب راه‌نشان‌ها یا مکان‌های عبوری در اختیار ما قرار دهند. برخی از گیرنده‌های پیشرفته‌تر، امواج رادیویی تلفن‌همراه را نیز ترکیب می‌کنند تا امکانِ ردیابی یا دیگر کاربردهای داده‌ای را فراهم کنند. این گیرنده‌های دورگه، مانند بسیاری از افزاره‌های دیگر، همچنان مرزِ میان انواع دسته‌بندی‌های درایوهای سنتی را محو می‌کنند. بنابراین، رویّه‌کار قانون دیجیتال باید از چه رویّه‌ای استفاده کند؟ رویّه‌ی GPS یا رویّه‌ی تلفن‌همراهِ دایره‌ی مربوطه؟

پیش از کار با GPS باید تمریناتی را انجام داد. برای ارتباط با واسطِ این افزاره، اغلب نیاز به درایورها یا نرم‌افزاری است که تولیدکننده‌ی مربوطه آن‌ها را معین کرده است. اگر هیچ راهی برای استخراج داده‌ها از این افزاره نباشد، مثل تلفن‌همراه، ممکن است لازم باشد که بازرسی دستی به‌همراهِ عکس‌برداری صورت گیرد.

ضبط‌کننده‌های ویدئویی دیجیتال

 ضبط‌کننده‌های ویدئویی دیجیتال (DVR)، از سیستم TiVo یا MythTV گرفته تا سیستم دوربین تجاری، کم‌کم جای خود را در منازل به‌عنوان بخشی از سیستم‌های سرگرمی یا در بنگاه‌های تجاری به‌عنوان بخشی از سیستم امنیتی باز کرده‌اند. بسیاری از DVRهای تجاری از سیستم فایل یا قالب‌های داده‌ای اختصاصی استفاده می‌کنند. ممکن است این سیستم‌ها نیاز به فایل‌کاوی یا آنالیز دستی داشته باشند. TiVo علاوه بر داشتنِ قابلیتِ شبکه‌ی وای‌فای و انتقال داده به دیگر رایانه‌های شخصی، در حال حاضر امکان دسترسی به برخی از کارکردهای اینترنتی محدود را نیز میسر می‌سازد. هم‌چنین، ممکن است ضبط‌کننده‌های ویدئویی دیجیتالِ تجاری از کدگذار/گشاهای ویژه‌ای برای بازپخش استفاده کنند؛ افزاره‌های خود را پیش از یورش به آن‌ها بررسی کنید.

DVRها نیز باید طی فرآیند توقیف مدرک مدّنظر قرار گیرند. طی کشف‌وکسب و بازرسی، می‌توان با این سیستم‌ها، در اساس، مثل هر رایانه‌ی شخصی دیگری رفتار و عمل کرد چرا که از گذرگاه‌های سخت‌درایوِ بنیادینِ یکسانی استفاده می‌کنند. مشکل متداولی که در بازرسیِ DVRهای تجاری وجود دارد، تعیین قالب فایل‌های ویدئوییِ آن‌ها است. به‌محضِ روبه‌رو شدن با DVR باید بی‌درنگ به بررسیِ افزاره‌ی مربوطه و کدگذار/گشاهای به‌کار رفته در آن پرداخت.

سیستم‌های PBX و VoIP

مرز میان PBXِ سنتی و ITِ روزمره به‌لحاظ مجازی محو و ناپدید شده است. تکاملِ پروتکل صوت از طریق اینترنت (VOIP)، با بهره‌گیری از کارت‌های واسطِ مبتنی بر PCI و نرم‌افزاری که به‌منظور کار بر روی سیستم‌عامل‌های غیراختصاصی طراحی شده است، PBX را تبدیل به تنها یکی از خدمات‌دهنده‌های موجود کرده است. خدمات‌دهنده‌ی Asterisk که روی سیستم لینوکس اجرا می‌شود یا YATE که روی سیستم ویندوز اجرا می‌شود، نمونه‌هایی از این حوزه هستند. خدمات‌دهنده‌های ایمیل صوتی و سیستم‌های پاسخگوییِ صوتیِ تعاملی نمونه‌های دیگری از این سیستم‌ها هستند. با توجه به روند گسترش خدمات VOIP در سخت‌افزار مصرفی و گسترش تجسسِ امنیتیِ پروتکل‌های VOIP، تجهیزات تلفنی بیش از پیش هدفِ جرایم سایبری قرار خواهند گرفت. رشد و تکامل VOIP و این‌که توجه پژوهشگران امنیتی به آن جلب شده است، به این معنا است که توجه کلاه‌مشکی‌ها و شِکن‌گرها نیز به آن جلب خواهد شد. هنگام برخورد با این سیستم‌ها، به یاد داشته باشید که واسط‌های بسیاری، فراتر از اترنت مانند PSTN و ISDN، برای این شبکه‌های ارتباطاتی وجود دارند.

مستندسازیِ اتصالات همیشه از اهمیّت بسیاری برخوردار است، اما هنگام روبه‌رو شدن با افزاره‌های ارتباطاتی، این کار نسبت به حالت معمول اهمیت بیش‌تری می‌یابد. PBX، مثل بسیاری از سیستم‌های دیگر در عرصه‌ی افزاره‌های غیرسنتی، برای پشتیبانی از اخذِ تصمیمات صوتی در باره‌ی نحوه‌ی برخورد با آن، نیاز به تحقیق و بررسی دارد. با PBXِ مبتنی بر سرور سنتی می‌توان مانند هر سرور دیگری رفتار کرد، منتها PBXِ تجاریِ قدیمی، جزء تجهیزات کاملاً تخصصی است که نیاز به مهارت‌های ویژه‌ای دارد.

نکته

منابعی برای قانون رسانه‌های جای‌گزین:

www.Multimediaforensics.com

www.Phone-forensics.com

Phone Forensics Yahoo Group

مشکلات مستندسازی سخت‌افزار

مستندسازیِ پیکربندی سخت‌افزار، بخش خسته‌کننده اما ضروریِ فرآیند قانونی است. دامنه‌ی مستندسازی رابطه‌ی مستقیمی با تعداد و نوع افزاره‌هایی دارد که کشف‌وکسب می‌شوند. آن‌چه ما، به‌عنوان بازرسان، نباید به خود اجازه دهیم که فراموش کنیم، جوانب مختلفی است که در مستندسازی سخت‌افزار مطرح هستند.

در خودِ فرآیند مستندسازی، تمام پیکربندی‌های سیستم، از جمله سخت‌افزار نصب‌شده و تنظیمات بایاس مانند افزاره‌ی راه‌اندازی، باید مستند شوند. از دیگر جوانب ضروریِ مستندسازی سخت‌افزار، تنظیمات زمانی سیستم و ساعت سیستمِ هر کدام از افزاره‌ها است. زمان سیستم باید مستند و با زمان واقعی مقایسه گردد. به‌هنگامِ ایجاد خطّ سیر زمانی یا دیگر آنالیز‌ها، تنظیمات منطقه‌ی زمانی نیز تعیین‌کننده است. در صورت وجود سرور زمانیِ NTP باید به آن اشاره کرد. توجه داشته باشید که سیستم روی دامنه‌ی مایکروسافت ویندوز، زمان خود را با کنترل‌کننده‌ی دامنه هماهنگ خواهد کرد، اما به‌طور پیش‌فرض، زمان می‌تواند حدود ۲۰ ثانیه از دست برود و به‌خوبی کار کند.

قانون سنتی الزام می‌کند که تمام اعداد و برچسب‌های شناسایی مستند شوند. اغلب به‌عنوان بخشی از فرآیند مستندسازی، عکس تمام لبه‌ها و برچسب‌ها گرفته می‌شود. انجام این کار در سیستم‌های بزرگ، بی‌نهایت دشوار خواهد بود. ممکن است حدود یک روز طول بکشد تا همه‌چیز را جدا کرد و از همه‌ی سیستم‌های موجود در یک قفسه عکس گرفت. بسته به روشی که برای کشف‌وکسب داده‌ها از سیستم در پیش گرفته شده است، باید پس از انجام کشف‌وکسب، مستندسازیِ سخت‌افزاریِ کاملاً دقیقی صورت گیرد. اگر سیستم مربوطه زنده باشد، به احتمال زیاد خاموش کردنِ سیستمی پیچیده به‌منظور مستندسازی آن، و سپس راه‌اندازی مجدد آن به‌منظور انجام کشف‌وکسب، مطلوب نخواهد بود. اگر فرصت داشته باشید، محفظه‌ی سرور تیغه‌ای و سرورهای موجود در مرکز داده را ظرف یک روز ملاحظه کنید. همان‌گونه که رایانه‌ی شخصی معمولی‌ای را مستند می‌کنید، این کار را در باره‌ی هر کدام از این تیغه‌ها نیز مدّنظر قرار دهید. در آن هنگام این بوده را در نظر داشته باشید که یک قفسه‌ی معمولی، اغلب حاویِ شش محفظه است که هر محفظه حاویِ ۱۶ سرور تیغه‌ای است. امیدارم پرسنلِ IT مستندسازیِ مناسبی در این زمینه داشته باشند تا از روی آن بتوانند کار کنند. اگر به جای این‌که خودتان تمام کار را از صفر انجام دهید، بتوانید از روی مستندات موجود موارد مربوطه را بررسی نمایید، می‌توانید مقدار زیادی در زمان صرفه‌جویی کنید.

سیستم ذخیره‌سازی بزرگ می‌تواند مثال دیگری باشد از مواردی که افزاره‌های مربوطه باید پس از کشف‌وکسب مستند گردند، مگر این‌که از گزینه‌ی فیزیکی  استفاده شده باشد. دلیل این امر این است که به‌لحاظ عملی ممکن نیست که بتوان هر درایو را به‌طور مجزا تصویربرداری کرد. وقتی که تصویربرداریِ منطقیِ سیستم ذخیره‌سازی کامل شد، می‌توان درایوهای مربوطه را از محفظه خارج و مستند کرد. مستندسازیِ قفسه‌به‌قفسه‌ی سخت‌درایوها حتی از مستندسازیِ سرورهای تیغه‌ای نیز کار دشوارتر و وحشتناک‌تری است.

جانماییِ شبکه و تمام سیستم‌هایی که به‌طور مستقیم، مثلاً از طریق NFS یا SMB، با سیستم مربوطه تعامل دارند، نیز باید مستند گردند. اگر بازپرسی گسترش یابد، شاید لازم باشد که مستندسازیِ شبکه‌ی پیرامونی نیز افزایش یابد، به‌گونه‌ای که شاملِ کلیدها، مسیریاب‌ها، و هر کدام از تجهیزات دیگر شبکه نیز بشود. در مواردی مانند نفوذ، هر کدام از این مسیرها می‌توانند منبعِ در خطر افتادن سیستم بوده باشند.

آخرین فقره‌ای که باید مستند گردد، مکان کنسول است، البته اگر چنین چیزی وجود داشته باشد. حتی امروزه، تمام دسترسی‌های غیرمجاز از طریق اتصال شبکه رخ نمی‌دهند.

کلید بازپرسی موفقیت‌آمیز، در مستندسازیِ کامل و شفاف نهفته است. اگر رویداد مربوطه منجر به دادرسی گردد، گزارش ایجادشده از روی مستندسازی، مرجع ارزشمندی در اختیار بازرس قرار خواهد داد. مستندسازی کامل کمک می‌کند تا هر شک و شبهه‌ای که وکیل‌مدافع یا هر شخص ثالث دیگری در قضیه‌ای مدنی ایجاد می‌کند، رفع شود.

مشکلات در حین جمع‌آوریِ داده‌ها از افزاره‌های سان، ناس، و آرایه‌های Raid

اگر وارد عرصه‌ی شرکتی یا دولتی شوید، مشاهده می‌کنید که سخت‌درایو ۵۰۰ گیگابایتی تبدیل به سیستم‌های ذخیره‌سازی چند ترابایتی یا پِتابایتی شده است. هنگام روبه‌رویی با یک سانِ ۲۰ ترابایتی، گرفتن تصویر قانونی از درایوهای فیزیکی و بازهم‌گذاریِ آن حجم منطقی، پیچیدگی بسیاری دارد.  این مشکل را نیز به مسئله‌ی قبلی بیفزایید که تدارک و پشتیبانی از نگه‌داریِ تصاویر قانونی یا تهیه‌ی سخت‌افزار ذخیره‌سازی‌ای که «متناسب با مورد مربوطه باشد»، همیشه عملی نخواهد بود.

فرض کنیم که شما توانستید آرایه‌ی سانِ ۲۰ ترابایتی را تصویربرداری و نگه‌داری کنید، و احتمالاً آن را در قالب حجمی منطقی بازهم‌گذاری نمایید؛ چه میزان توان رایانه‌ای و زمان باید صرف شود تا بتوان آن حجم از داده‌ها را تفتیش کرد؟

این عرصه به جایی رسیده است که باید فرآیند اوکداب بهتری صورت بگیرد تا مدرکی که مناسب و مرتبط با بازپرسی است، اول از همه جمع‌آوری گردد. باید عملیات موازی بیش‌تری اتخاذ گردد. مراحل بازرسی و آنالیز باید به‌محضِ این‌که سیستم مربوطه اوکداب شد، آغاز گردند و در عین حال، کشف‌وکسب و تصویربرداری از مواردی که اهمیت کمتری دارند، همچنان ادامه یابد. این امر موجب بازدهی بیش‌تر فرآیندهای بازرسی و آنالیز خواهد شد، و این امکان را می‌دهد تا بازپرسی‌ها به‌موقع تکمیل گردند.

بسته به اهداف بازپرسی، اغلب نیازی به تمام سیستم نیست. اگر فقط یک شخص به‌خاطر کلاه‌برداری مالی تحت بازپرسی باشد، در آن صورت احتمالاً چندان ارزش یا ضرورتی ندارد که از تمام ۲۰ ترابایت حافظه‌ی موجود در سرورِ فایل تصویربرداری شود، کاری که ۲۰۰ کارمند دیگر را نیز تحت تأثیر قرار خواهد داد. بهتر است منطقه‌ای را که آن شخص دسترسی داشته، اوکداب کرد، و سپس شروع به کار با آن داده‌ها کرد.

RAID

آرایه‌ی افزونه‌ایِ دیسک‌های مستقل و ذخیره‌سازهای یورشی شبکه برای نگه‌داری حجم انبوهی از داده‌ها به‌کار می‌روند و معمولاً سطحی از افزونگی را ارائه می‌دهند. RAID از چند دیسک استفاده می‌کند تا افزونگی یا افزایش کارآیی را روی یک دیسک ایجاد کند. از دید قانونی، RAID به‌صورت یک دیسک منطقی به‌نظر می‌رسد، اما چندین دیسک فیزیکی را تحت پوشش قرار می‌دهد. در صورتی که دیسک‌های فیزیکی ‌به‌طور مجزا از هم برداشته و جداگانه تصویربرداری شوند، باید بعداً با استفاده از نرم‌افزار قانونی، RAIDِ مربوطه بازهم‌گذاری شود تا داده‌های مناسب را به‌دست آورد. معمولاً انجامِ کشف‌وکسبِ درایو منطقی مربوطه آسان‌تر است. اگر خط‌مشی‌های سازمان شما چنین الزامی دارد، پس از کشف‌وکسب منطقی می‌توان کشف‌وکسب فیزیکیِ تمام درایوها را انجام داد. نکته‌ای در باره‌ی بازهم‌گذاریِ آرایه‌ی RAID: مطمئن شوید که پیکربندی کنترل‌کننده‌ی RAID را به‌دست آورید. در صورتی که هم‌گذاریِ تصاویر فیزیکی انجام شود، داشتنِ این پیکربندی می‌تواند مقدار زیادی در زمان شما صرفه‌جویی کند.

سان

شبکه‌های ناحیه‌ی ذخیره‌سازی (سان) مانند ناس، نه تنها به دلیل اندازه‌ی آن‌ها، بلکه به دلیل فن‌آوریِ به‌کار رفته در آن‌ها چالش‌برانگیز هستند. دو نوع برجسته‌ی سان، کانال فیبر و آی‌اسکازی هستند. نکته‌ی مثبت در باره‌ی سان‌ها این است که آن‌ها در قالبِ اعداد واحد منطقی (LUN) از هم متمایز می‌شوند. اگر داده‌های مرتبط با بازپرسی فقط محدود به یک سیستم باشند، احتمالاً LUNِ اختصاص‌داده‌شده به آن سیستم، تنها بخشی از سان خواهد بود که باید کشف‌وکسب گردد. انتخاب منطقی‌ای که می‌توان برای سکّوی تصویربرداری انجام داد، لینوکس است، چرا که مسدودکننده‌های نویسشِ کانال فیبر زیادی در زمان این نویسش وجود ندارد. نکته‌ی مهم این است که باید مطمئن شد که از آداپتور گذرگاه میزبان (HBA) پشتیبانی می‌شود. سان‌های آی‌اسکازی معمولاً می‌توانند از طریق آداپتور شبکه متصل شوند. اگر زمان برای ما از اهمیت بیش‌تری نسبت به بودجه برخوردار است، HBAهای آی‌اسکازی‌ای با پشتیبانیِ لینوکس موجود هستند که می‌توانند مقداری از بار پردازشیِ CPU را کم کنند. HBAها مدار مجتمعِ ویژه‌برنامه‌ی اسکازیِ بر-صفحه‌ای دارند، که بهره‌ی کارآییِ قابل‌ملاحظه‌ای ایجاد می‌کنند.

بزرگ‌ترین چالش هنگام کار با سان، حافظه‌ی ذخیره‌سازی‌ای است که داده‌ها باید به آن کپی شوند. تولیدکنندگان در حالِ ساختِ ره‌یافت‌هایی فوق‌العاده مانند محفظه‌های RAIDِ قابل‌حملِ چندترابایتی هستند تا به حلّ این موضوع کمک نمایند. گزینه‌ی دیگر استفاده از نرم‌افزاری است که امکان گسترش رسانه‌ی هدف را طی کشف‌وکسب مهیا می‌سازد.

ممکن است سخت‌افزار موردنیاز برای کار با سیستم‌های ذخیره‌سازی بزرگ گران‌قیمت باشد. RAIDِ قابل‌حملِ چندترابایتی و مسدودکننده‌ی نویسشِ کانال فیبر می‌توانند حدود ۱۰ هزار دلار هزینه بردارند.

ناس

افزاره‌های ذخیره‌سازی وابسته‌ی شبکه (NAS) اسبابی هستند که تنها هدف آن‌ها تأمین ذخیره‌سازی داده‌ها است. ناس از آن جهت می‌تواند به‌هنگامِ تصویربرداریِ قانونی چالش‌برانگیز باشد که خدمات و پروتکل‌های محدودی را اجرا می‌کند. اگر بتوان آن‌ها را از طریق سیستمی وابسته کشف‌وکسبِ قانونی کرد، چنین گزینه‌ای ترجیح داده می‌شود. در غیر این صورت، احتمالاً باید ناس را هم‌برداری کرد و درایوبه‌درایو تصویربرداری کرد. افزاره‌های ناس بسیاری وجود دارند که برای کاربران خانگی یا تجاری کوچک طراحی و بازاریابی شده‌اند. آن‌ها دیگر فقط مختصِّ بنگاه‌های تجاری بزرگ نیستند. جای خوش‌بختی برای بازپرس جرایم سایبری دارد، که ظرفیت‌های ذخیره‌سازی هنوز خیلی بزرگ نیستند- اما با گذشت زمان این قضیه تغییر خواهد کرد.

بنابراین، ما چگونه می‌توانیم باز هم از بِه‌رویّه‌های سنتی استفاده کنیم، در حالی که هیچ راه عملی‌ای برای دسترسی مستقیم به درایوها و تصویربرداری فیزیکی وجود ندارد؟ مسئله‌ی کاملاً واقعی دیگری که باید در باره‌ی سیستم‌های ذخیره‌سازی بزرگ مدّنظر قرار گیرد، این است که سرمایه‌گذاری بزرگی روی سخت‌افزار صورت گرفته است. از آنجا که سرمایه‌گذاری بزرگی صورت گرفته است، به‌لحاظ منطقی می‌توان این‌گونه فرض کرد که سیستم مربوطه وابسته به سیستمی است که حداقل به‌لحاظِ سودِ حاشیه‌ای اهمیت است. بنگاهی تجاری که باید سیستم‌های‌اش در حالِ کار باشند تا بتواند کسب درآمد داشته باشد، باید تصمیمی تجاری در این باره بگیرد که آیا گستره‌ی کار را محدود سازد تا زمان خاموشی را کم کند یا نه.

مشکلات در حین جمع‌آوریِ داده‌ها از دست‌گاه‌های مجازی

دست‌گاه‌های مجازی‌ای که روی یک سیستم میزبان ساکن می‌‎شوند، به دلایل گوناگونی رواج یافته‌اند، از سرورهای مجازی تجاری گرفته تا اهداف خلاف‌کارانه‌ای روی دست‌گاه یک کلاه‌مشکی. برنامه‌های مجازی‌سازی تا حدی رشد و تکامل یافته‌اند که می‌توان سیستم‌های قابل‌اطمینانی برای دست‌گاه‌های تولیدی ساخت و نه این‌که همچون گذشته، فقط کار توسعه‌ای و آزمایشی انجام داد. آن‌چه دست‌گاه‌های مجازی را جالب توجه می‌سازد، این است که آن‌ها می‌توانند میزبانِ یک سیستم‌عامل باشند که آن سیستم‌عامل، میزبانیِ چندین سکوی مجازی‌سازی را برعهده داشته باشد، و هر کدام از این سکوها دارای چندین دست‌گاه مجازی از سیستم‌عامل‌های مختلف باشند. رویّه‌کار قانونی با شبحی از چندین سیستم‌عامل، و پیچیدگیِ هر کدام از برنامه‌های مجازی‌سازیِ موجود در یک سیستم مواجه است. کافی است RAID یا حافظه‌ی ذخیره‌سازی خارجی‌ای به آن اضافه کنید تا فرد آرزو کند که ای کاش شغل خود را تغییر دهد.

خوش‌بختانه اغلبِ مجموعه‌برنامه‌های قانونی اصلی، از عمده‌ی قالب‌های متداول دیسک مجازی پشتیبانی می‌کنند، که کشف‌وکسب را کمی آسان‌تر می‌سازد. در صورت روبه‌رویی با سیستمی زنده، دست‌گاه‌های مجازی نیز می‌توانند درست مانند سیستمی فیزیکی به‌طور زنده تصویربرداری شوند.

کشف‌وکسب ایستا یا مرده بستگی به انتخاب ابزار دارد. یکی از گزینه‌ها این است که فایل دیسک مجازی را از تصویرِ دست‌گاه میزبان استخراج کنیم و فایل دیسک مجازی را به‌عنوان یک درایو نصب کنیم. گزینه‌ی دیگر، استفاده از ابزاری مانند برنامه‌ی VMware Disk است. این برنامه این امکان را می‌دهد که دیسک مجازی مربوطه به‌عنوان درایوی وابسته به سیستم ظاهر شود. در نتیجه، در صورتی که از ابزار انتخابی به‌طور طبیعی پشتیبانی نشود، با این روش می‌توان با استفاده از آن ابزار از دیسک مجازی موردنظر تصویربرداری کرد. در واقع، دیسک مجازی بسیار شبیه به تصویری dd به‌همراهِ دیگر داده‌های اضافی است.

مشکلات در حین انجامِ کشف‌وکسب و آنالیز حافظه

روزبه‌روز نیاز به آنالیز حافظه افزایش می‌یابد و انجام این کار روی سیستم‌های در-حالِ-اجرا رایج می‌شود. به‌ویژه نظر به این‌که سیستم‌ها می‌توانند حتی بدون دسترسی به دیسک، در معرض خطر قرار گیرند و تنها ممکن است مصنوعاتی در حافظه باقی بمانند. محصولاتی تجاری مانند Core Impact چنین کاری را انجام می‌دهند، بنابراین دور از ذهن نیست که این محصول یا فن‌آوری آن برای اهداف خلاف‌کارانه به‌کار گرفته شود.

نمونه‌های گوناگونی از بدافزارهایی مانند Witty Worm وجود دارند که فقط حافظه‌مقیم هستند. این داده‌ها و دیگر داده‌های بازپرسی که به‌طور بالقوه ارزشمند هستند، از دست خواهند رفت اگر ما همچنان فقط سیستم‌هایی را بازرسی کنیم که خاموش شده‌اند. حجم داده‌هایی که امروزه حافظه‌مقیم هستند، بیش از صد برابر بزرگ‌تر از کلّ سخت‌درایو در دهه‌ی ۱۹۸۰ است. این مثال دیگری است از این‌که روش‌ها و بِه‌رویّه‌های پذیرفته‌شده، از موج فن‌آوری عقب افتاده‌اند.

نکته

ماریوس بورداچ (Mariusz Budrach) مقاله‌ی فوق‌العاده‌ای در باره‌ی کشف‌وکسب و آنالیز حافظه، روی وب‌گاه خود قرار داده است:

http://forensic.seccure.net/pdf/mburdach_digital_forensics_of_physical_memory.pdf

از «تصویر» نامیدنِ کشف‌وکسب حافظه اجتناب کنید. این کار، از دید قانون سنتی، تصویری حقیقی نیست. دلیل آن این است که بدون در اختیار داشتنِ سخت‌افزار تخصصی، واقعاً امکان ندارد که بتوان تصویری بیتی از حافظه‌ی سیستم ایجاد کرد، بدون این‌که بخشی از آن را تحت تأثیر قرار داد. از یک منظر، این موضوع به‌لحاظ مفهومی شبیه به اصل عدم قطعیت هایزنبرگ است: زمانی که مکان الکترون مشخص می‌شود، دیگر آنجا نیست و حرکت کرده است. زمانی که حافظه کشف‌وکسب می‌گردد، معمولاً تغییر یافته است.

اغلبِ *نیکس‌ها امکان کشف‌وکسب حافظه را به‌آسانی فراهم می‌سازند، زیرا این سیستم، حافظه را به‌صورتِ فایلی مانند هر فایل دیگر می‌بیند. dd یا هر کدام از گونه‌های قانونی آن مانند dcfldd می‌توانند برای ایجاد کشف‌وکسب حافظه به‌کار روند. مایکروسافت ویندوز امکان دسترسی به شیء حافظه‌ی  فیزیکی را می‌دهد اما برای دسترسی به آن، نیاز به امتیازات ویژه‌ی مدیریتی است. ابزارهایی وجود دارد که امکان کشف‌وکسب حافظه را می‌دهند؛ نسخه‌های dd که برای ویندوز ترجمه شده‌اند، از همه رایج‌تر هستند. ابزارها و اسکریپت‌هایی نیز وجود دارند که به آنالیز رونوشت مربوطه کمک می‌نمایند.

یک نکته: در ویندوز ایکس‌پی ۶۴ بیتی، ویندوز ۲۰۰۳ سرور SP1، و ویندوز ویستا بحث امنیت توسعه یافته است. این نسخه از سیستم‌عامل‌ها تمام دسترسی‌ها به حافظه‌ی فیزیکی در حالت کاربری را مسدود کرده‌اند.

به‌نظر می‌رسد در آینده افزاره‌هایی سخت‌افزاری مانند کارت PCIِ اختصاصی [hwmem] یا از طریق واسط فایروایرِ IEEE 1394 [fwmem] به‌وجود خواهند آمد، منتها با این‌که مفاهیم و نمونه‌های اولیه‌ی آن‌ها چندین سال است که وجود دارند، هیچ محصول تجاری‌ای به‌طور آماده موجود نیست. مزیت آشکارِ ره‌یافت‌های سخت‌افزاری این است که تأثیر کمتری روی سیستمِ در-حالِ-اجرا دارند. به این دلیل، به احتمال قریب به یقین، ره‌یافت‌های سخت‌افزاری به‌عنوان روش موردتوجه ظاهر خواهند شد. هم‌اکنون بر سرِ رویّه‌ی کشف‌وکسب حافظه بحث‌هایی وجود دارد و این بحث‌ها همچنان نیز ادامه خواهند داشت. دیدِ بسیاری از افراد به IT به‌عنوان چیزی است که موجب آلودگی مدرک می‌شود. دیگرانی نیز به IT به این عنوان نگاه می‌کنند که می‌تواند تمام داده‌ها و مدارک موجود را کسب کند. مثالی که اغلب برای دفاع از این ادعا مطرح می‌شود، صحنه‌ی جرم فیزیکی است که واحد صحنه‌ی جرم به ناحیه‌ی موردنظر وارد می‌شود تا سرنخ‌ها و اثر انگشت‌ها رابازیابی نماید. اعمال و حرکات آن‌ها کاملاً مستند می‌شوند تا بتوان اثبات کرد که تا حدّ امکان کمترین آلودگی را ایجاد کرده‌اند. در حوزه‌ی دیجیتال، بسیاری تصور می‌کنند اگر همان توجه و مراقبت را در مستندسازیِ تمام اعمال رعایت کنند، در آن صورت آلودگی کنترل و مستند می‌شود.

نظر شخصی من این است که من ترجیح می‌دهم داده‌ها را به‌دست آورم و بعداً بر سرِ قابلیت پذیرش آن مبارزه کنم، تا این‌که بخواهم داده‌های کلیدی و اطلاعات بازپرسانه‌ی بالقوه را از دست دهم.

بازرسی

بازرسی شاملِ وارسی و کاوش روش‌مندِ داده‌ها است. این کار می‌تواند شاملِ بازرسیِ تاریخ‌ها، فراداده‌ها، تصاویر، محتوای سند، یا هر چیز دیگری باشد. بسیاری از رویّه‌کاران قانونی از فرآیندی گام‌به‌گام برای بازرسی خود استفاده می‌کنند؛ جست‌وجوی کلیدواژه، کسب پیشینه‌ی وب، جست‌وجوی فضای اختصاص‌نایافته، جست‌وجوی فضای شناور فایل. همه‌ی این چیزها بستگی به هدف بازپرسیِ شما دارند. به خاطر داشته باشید که این رویّه‌ی قانونی فقط بخشی از بازپرسیِ وسیع‌تری است. از آنجا که ممکن است نیازهای بازرسی در طول بازپرسی تغییر یابند، به اعتقاد من فهرست انتخابِ قانون سنتی که بسیاری از افراد از آن استفاده می‌کنند، کم‌کم غیرکاربردی می‌شوند. رویّه‌ی قانونِ نینتِندو که شاملِ اجرای برخی جست‌وجوهای کلیدواژه‌ای و برخی از اسکریپت‌های نوشته‌شده توسط دیگران است، احتمالاً بسیاری از مدارک کلیدی را از دست می‌دهد.

هر چه حجم داده‌ها بزرگ‌تر باشد، نیاز به روش‌های اوکداب بهتری به‌هنگامِ ساماندهی فرآیند است تا بازرسی دقیق‌تری از نواحی کلیدی مانند رجیستری ویندوز صورت گیرد. استفاده‌ی افزایش‌یافته از ابزارهایی مانند آمیخته‌ها برای فیلترِ فایل‌های شناخته‌شده، در کنار ابزارهای دیگر برای دسته‌بندی فایل‌ها به‌منظورِ بازرسی متمرکز، می‌تواند به‌هنگامِ روبه‌رویی با حجم عظیمی از داده‌ها به افزایش سرعت فرآیند بازرسی کمک نماید.

نکات پنهان…

ابزارهای قانونی

ابزارهای بسیاری وجود دارند که می‌توانند به بازرسی قانونی کمک نمایند. انتخاب ابزار می‌تواند بر اساس ترجیحات شخصی، یا قدرت برنامه‌های اختصاصی، یا گاهی بر اساس بودجه باشد. بسته‌هایی قانونی وجود دارند که می‌توانند هزاران دلار هزینه بردارند یا این‌که رایگان‌افزار باشند. صرف نظر از ابزارهای انتخابی، بهترین رویّه این است که در صورت امکان، از چندین ابزار استفاده شود تا به دلیل مشکلی مرتبط با ابزار، پاره‌ای از مدارک از دست نروند- زمانی که چندین ابزار، کشفیات به‌دست‌آمده را تایید و بر سر آن توافق نمایند، هر گونه شک و تردیدی در باره‌ی قابلیت اطمینان ابزار مربوطه از بین می‌رود.

برنامه‌ی سودمندِ مجموعه‌های آمیخته

مجموعه‌های آمیخته فهرست‌های پیش‌ترجمه‌شده یا پایگاه‌داده‌هایی از فایل‌آمیخته‌های شناخته‌شده هستند. برای نمونه، تمام فایل‌های مرتبط با نصب یک برنامه یا دنباله‌ای از تصاویر غیرقانونی با استفاده از الگوریتم رمزنویسی‌ای آمیخته می‌شوند و آمیخته‌های به‌دست‌آمده در گردآوردی نمایه‌شده قرار داده می‌شوند. در طول بازرسی، آمیخته‌های مجموعه‌برنامه‌ها با تمام آمیخته‌های فایل‌های کشف‌شده روی سیستم مقایسه می‌شوند. اگر آمیخته‌ها با هم منطبق باشند، به‌لحاظ ریاضیاتی تقریباً این اطمینان ایجاد می‌شود که فایل مربوطه، صرف‌نظر از نام آن، همان فایلِ مرتبط با برنامه‌ی موردنظر است. به‌طور سنتی، از آمیخته‌ها برای کشف فایل‌های مشکوکِ شناخته‌شده‌ای مانند بدافزار، ابزارهای شکن‌گر، یا تصاویر غیرقانونی استفاده شده است.

درست همان‌طور که می‌توان از مجموعه‌های آمیخته برای جست‌وجوی چیزهای بدِ شناخته‌شده استفاده کرد، از طریق همین فرآیند می‌توان از آن‌ها برای مکان‌یابیِ فایل‌های خوب یا بی‌خطر شناخته‌شده استفاده کرد. با استفاده از مجموعه‌های آمیخته برای مکان‌یابیِ فایل‌هایی که مرتبط با بازپرسی نیستند یا فایل‌های تغییرنایافته‌ی سیستم‌عامل هستند، برای مثال، می‌توانند نویز را فیلتر کنند. بسته به اوکدابِ مورد مربوطه، مجموعه‌ی آمیخته‌ی فایل‌های شناخته‌شده‌ی سیستم‌عامل می‌توانند به‌سرعت مقداری از فایل‌ها را فیلتر کنند که این فایل‌ها، در حالت کلی، نیازی به بازرسی ندارند. برای نمونه، رویدادی که در آن، احتمالاً سیستم در معرض خطر قرار نگرفته است، لازم نیست که از همان ابتدا تمام فایل‌های درایور را جست‌وجو یا بازرسی کرد. استفاده از آمیخته‌ها برای فیلترِ فایل‌های شناخته‌شده، شناخته‌شده به این‌که از سوی فروشنده‌ی سخت‌افزار تغییر نیافته‌اند، می‌تواند حجم اطلاعاتی را که نیاز به بازرسی دارند تا حدّ زیادی کاهش دهد و این کار به نوبه‌ی خود موجب می‌شود که زمان بازرسی سیستم نیز بسیار کاهش یابد. فایل‌های باقی‌مانده یا تغییر یافته‌اند یا فایل‌هایی در فضای کاربر هستند که احتمالاً در جایی قرار دارند که مدرک یا اطلاعات واقعی نیز در آنجا قرار گرفته‌اند.

نکته

ایجاد مجموعه‌های آمیخته‌ی شخصی، به‌عنوان بخشی از عملیات آماده‌سازی، می‌تواند بعدها موجب صرفه‌جویی در زمان شود. ایجاد مجموعه‌های آمیخته از تمام تصاویر طلایی یا استانداردِ ایستگاه‌های کاری و سرورهای به‌کاررفته برای برنامه‌های نصب‌شده‌ی جدید، موجب می‌شود که فقط فایل‌های تغییریافته یا اضافه‌شده موردِ آنالیز قرار گیرند. فایل‌های برنامه‌های داخلی نیز می‌توانند آمیخته گردند و مجموعه‌هایی ایجاد شوند که کمک می‌کنند تا فایل‌هایی نیز فیلتر شوند که در اغلبِ مجموعه‌های آمیخته‌ی رایج وجود ندارند.

مشکلات مرتبط با بازرسیِ سیستم دارای رمزبندی تمام‌دیسک

یکی از مشکلاتی که روزبه‌روز رایج‌تر می‌شود، رمزبندی تمام‌دیسک است. این امر نحوه‌ی کشف‌وکسب سخت‌درایوها را تغییر خواهد داد. از آنجا که مسئله‌ی گم شدن یا دزدیده شدنِ لپ‌تاپ‌ها همچنان روی سازمان‌ها اثرگذار است، بسیاری از ادارات IT رو به رمزبندی تمام‌دیسک یا پاره‌دیسک آورده‌اند تا از داده‌ها محافظت کنند. تعبیر این قضیه برای رویّه‌کار قانونی این است که معمولاً داده‌های مدّنظر در بخش‌های رمزبندی‌شده‌ی درایو مربوطه قرار دارند.

اگر تمام داده‌های مدّنظر رمزبندی شده باشند، رویّه‌های قانونی سنتی بی‌فایده خواهند بود. گزینه‌هایی که در اختیار داریم، یکی، در صورت امکان، انجام تصویربرداری زنده از سیستم در حالی است که حافظه‌ی رمزبندی‌شده نصب است، و دیگری کشف رمزِ درایو مربوطه پس از کشف‌وکسب آن است.

در حالی که مشکلات بسیار دیگری نیز در قانون دیجیتال معاصر وجود دارد، این، یکی دیگر از جاهایی است که بِه‌رویّه‌ها و روش‌ها از فن‌آوری عقب  می‌افتند. هر ره‌یافتی که شما به‌کار می‌بندید، باید ارزیابی گردد و روش‌های مخصوصِ خودِ شما ایجاد شوند. برای پردازش حجم انبوهی از داده‌ها، تقریباً همواره تصویربرداریِ سیستم زنده سریع‌تر انجام خواهد گرفت.

ماژول سکّوی قابل‌اعتماد (TPM)

ماژول سکّوی قابل‌اعتماد، فن‌آوری نوظهور دیگری است که موجب توسعه‌ی طرح‌های رمزبندی کنونی خواهد شد. TPM تراشه‌ای است که در دست‌گاه‌های جدیدتر نصب می‌شود و کلیدها، گذرواژه‌ها، و گواهی‌نامه‌ها را ذخیره می‌کند. این تراشه امکانِ رمزبندیِ سخت‌افزاری را فراهم می‌سازد که می‌تواند چالش‌برانگیز باشد.

روش‌شناسیِ پیشنهادی برای نحوه‌ی رفتار با درایوهایی که به‌صورتِ تمام‌دیسک رمزبندی‌شده‌اند، چنین است:

  • به‌طور سنتی تصویربرداری کنید
  • تصویر کشف‌وکسب‌شده را روی دیسک هدفِ زدوده‌شده‌ای ذخیره کنید
  • دیسک هدف را کشفِ‌رمز کنید
  • دیسک هدفِ کشفِ‌رمزشده را کشف‌وکسب کنید
  • دیسک کشفِ‌رمزشده را مثل حالت عادی آنالیز کنید

این روش‌شناسی، اگرچه زمان موردنیاز را به‌طور قابل‌توجهی افزایش می‌دهد و حافظه‌ی موردنیاز را دو برابر می‌کند، موجب می‌شود که نسخه‌ی اصلی بدون تغییر باقی بماند و تصویر قانونیِ نسخه‌ی اصلی را نگه‌داری می‌کند. این روش ساده به‌نظر می‌رسد، اما چالش اصلی در گام سوم است. اگر رمزبندی قوی باشد و کلید آن در دسترس نباشد، برای کشفِ‌رمز درایو مربوطه احتمالاً نیاز به چند ابررایانه‌ی کِرِی و کدشکن‌های NSA خواهد بود. به جای آن منابع، می‌توان از فوت‌وفن‌های گذرواژه‌شکنی استفاده کرد. به دلیل پیچیدگیِ گذرواژه‌ها و حجم گذرواژه‌هایی که کاربر متوسط باید به خاطر بسپارد، گرایش به گذرواژه‌های ثبت‌شده دوباره ایجاد شده است. هنگامِ جست‌وجوی گذرواژه‌ها، جاهای پنهانی را از سر تا پا بگردید. به یاد داشته باشید که در طول پاسخگوییِ رویداد و مراحل توقیف، گذرواژه‌ها را بررسی کنید. فوت‌وفنّ دیگر این است که از مدرکِ کشف‌شده‌ی دیگر استفاده کرد تا واژه‌نامه‌ای ایجاد کرد و با استفاده از آن، حمله‌ی عملیاتی بی‌رحمانه‌ای را اجرا کرد. به خاطر داشته باشید که آمیخته‌ی درایو رمزبندی‌شده‌ی اصلی با درایو کشفِ‌رمزشده مطابق نخواهد بود. آن‌ها مجموعه‌های داده‌ایِ متفاوتی هستند و باید به همان صورت مستند گردند.

فرآیندهای قانونی جای‌گزین

مفهوم جدیدتری که می‌توان مطرح کرد یا لااقل عنوان آن جدید است، قانون سریع است. قانون سریع این‌گونه تعریف می‌شود: «آن فرآیندهای بازپرسانه‌ای که در چند ساعت ابتداییِ بازپرسی انجام می‌شوند، که اطلاعاتی را در اختیار قرار می‌دهد تا طی مرحله‌ی بازجویی از مظنون به‌کار روند. با توجه به این‌که لازم است تا اطلاعات در چارچوب زمانی نسبتاً کوتاهی کسب شوند، قانون سریع معمولاً همراه با آنالیز در-محل/میدانیِ سیستم رایانه‌ای موردنظر است.» [nw3c] برای پیاده‌سازیِ قانون سریع، نیاز به برخی از منابع و روش‌های اضافه‌ی دیگری است تا بتوان برخی از بازرسی‌ها و آنالیز‌های ابتدایی را بیرون از آزمایشگاه انجام داد. تمرکز اصلی در این کار، روی تهیه‌ی برخی از اطلاعات مهم است تا مدارک یا سرنخ‌های کلیدی در اختیار بازپرسان قرار گیرد تا از آن‌ها در بازجویی‌ها یا دیگر تفتیش‌های خود استفاده کنند.

برخی از روش‌های قانون سریع از لینوکس یا دیگر دیسک‌های راه‌اندازی قانونی استفاده می‌کنند تا تفتیش‌های سرِصحنه یا مستندسازیِ موارد استخراجی را انجام دهند. دیسک‌های راه‌اندازی فقط در حافظه اجرا می‌شوند و سخت‌درایوها را به‌صورتِ فقط‌خوانشی نصب می‌کنند تا مدرک مربوطه معیوب یا خراب نگردد.

آنالیز

هر رویداد جرم سایبری، حداقل با سطحی از آنالیز داده‌ها همراه خواهد بود، داده‌هایی که از سیستم‌ها بازیابی شده‌اند. برخی شاملِ فقط چند فایل کوچک از یک یا دو سیستم هستند، یا ممکن است شاملِ چندین ترابایت از دست‌گاه‌های بسیاری باشند. هسته‌ی بازپرسی می‌تواند شاملِ فقط یک رسانه یا شاملِ هزاران سخت‌درایو باشد. فوت‌وفن این کار در آنالیزی است که تمام تکه‌های جورچین را در کنار هم قرار می‌دهد. آنالیز کلّ جرم سایبری می‌تواند بسیار پیچیده‌تر از آنالیز تک‌تکِ سیستم‌های مربوطه باشد؛ جمع‌آوری و کنار هم گذاشتنِ بخش‌های مختلف، به‌راستی عظیم‌تر از تمام کار است. می‌توان این کار را به یک هم‌نوایی تشبیه کرد. نواختنِ هر کدام از آن آلات موسیقی کار دشواری است، اما کنار هم قرار دادن و هماهنگ کردنِ همه‌ی آن‌ها با هم کار بسیار پیچیده‌تری است. بازپرس جرایم سایبری باید جعبه‌ابزاری از برنامه‌های سودمند بسازد تا بتواند داده‌های به‌دست‌آمده از هزاران سیستم را آنالیز نماید و تکه‌داده‌های مختلف را به هم ربط دهد تا بتواند تصویر کاملی و مرتبطی از این جورچین به‌دست آورد.

مرحله‌ی آنالیز از فرآیند قانون دیجیتال، مرحله‌ای است که ما نگاه دقیق‌تری به داده‌ها می‌اندازیم. آنالیز، نتیجه‌گیری از تمام داده‌ها برای حلّ‌وفصل رویداد است.

نمونه‌ای از آنالیز در سطرهای زیر آمده است.

موردی در باره‌ی سرقت مالکیت فکری چندان نتیجه‌ای نمی‌داد تا این‌که داده‌های موجود در دسته‌ای از سیستم‌ها روی هم گذاشته شدند. فایل‌های ثبت وقایعِ حسابرسیِ فایل‌سرور بازبینی شدند و فهرستِ کاربری که از آن به‌دست آمد، برای پرسمانِ ثبت وقایعِ پراکسی‌سرور استفاده شد. زمانی که فایل‌های ثبت وقایع برای آن کاربردها بازبینی شدند، با تمرکز بر ترافیکِ وب‌میل و تالار گفت‌وگو  فهرست کوتاهی ایجاد شد. از آن فهرست کوتاه برای اوکداب و اولویت‌بندیِ بازرسی‌های ایستگاه‌های کاریِ کاربری استفاده شد. با بازرسی ایستگاه‌های کاری و بیرون کشیدنِ پیام‌های وب‌میل از نهان‌حافظه‌ی اینترنت و بازسازی آن‌ها، خیلی زود فرد موردنظر مشخص شد.

در طول مرحله‌ی آنالیز، حتماً باید تمام اطلاعات بازپرسی‌ای که جمع‌آوری شده‌اند، به هم ارتباط داده شوند. در این مرحله است که داده‌های به‌دست‌آمده از چندین سیستم یا منبع روی هم گذاشته می‌شوند که تا حد امکان تصویری کامل و بازسازی مناسبی از رویداد مربوطه ایجاد شود. بین مدرکی که به دادگاه ارائه می‌گردد و مدرکی که برای کشف تکه‌ی بعدی برای بازپرسی به‌کار می‌رود، تفاوت است. ممکن است تکه‌مدرکی که کشف می‌شود، به اندازه‌ی کافی محکم نباشد که بتواند قائم به ذات باشد، اما شاید چیزی باشد که سرنخ بعدی را به دست ما بدهد.

عامل چالش‌برانگیز بعدی این است که آنالیز مقادیر انبوهی از داده‌ها زمان می‌برد. تحت فشار ناشی از رویداد یا فشار افکار عمومی در بازپرسی‌ای بزرگ، اغلب کار دشواری است که بتوان انتظارِ مدیریت را مدیریت کرد. وارد کردنِ فایل‌های ثبت وقایع به درون برنامه‌های مختلف، زمان بسیار زیادی می‌برد. ساعت‌ها طول می‌کشد تا داده‌ها را بین سیستم‌های ذخیره‌سازی انتقال داد و کپی کرد. این آمادگی را داشته باشید که بتوانید توضیح دهید که چرا ارائه‌ی برخی پاسخ‌های ابتدایی چندین روز طول می‌کشد. شاید هفته‌ها یا ماه‌ها طول بکشد تا تمام داده‌ها کاویده شوند، و تمام چیزها ریزبه‌ریز بررسی شوند، به‌ویژه در رویدادی که ممکن است داده‌های مشتری را تحت تأثیر قرار داده و دارای الزامات گزارشی باشد.

نکات پنهان…

پادقانون

پادقانون حرکتی است که از ضعف‌های موجود در فرآیند یا ابزارهای قانونی بهره‌جویی می‌کند. هم‌چنین، می‌تواند مجموعه از اعمال برای پنهان‌سازیِ داده‌ها در برابر بازرسی قانونی باشد. روش‌های قدیمی بسیار ساده بودند، به‌طوری‌که در آن‌ها اسکریپتی اجرا می‌شد که فرمان تاچ را روی هر فایلی اجرا می‌کرد تا تاریخ و زمان آن را تغییر دهد. از دیگر روش‌های قدیمی، پاک کردنِ فایل‌های موقت و فایل‌های ثبت وقایع هستند. ابزارها و روش‌های دیگری ظهور کرده‌اند که بسیار پیچیده‌تر اند.

متااِسپلویت  مجموعه‌ی جامع و شناخته‌شده‌ای از ابزارهای آزمایش نفوذ، متااِسپلویت فریم‌وُرک تبدیل به مجموعه‌ای از ابزارهای پادقانون شده است.

تایم‌اِستومپ  ابزاری که این امکان را به شما می‌دهد تا هر چهار مشخصه‌ی زمانیِ NTFS را اصلاح کنید: زمانِ اصلاح، دسترسی، ایجاد، و اصلاح مدخل.

اِسلَکِر  ابزاری که این امکان را به شما می‌دهد تا فایل‌ها را درون فضای شناورِ سیستمِ فایلِ NTFS پنهان کنید.

ترانسموگریفای  ابزار نوظهوری برای غلبه بر قابلیت‌های امضاءِ فایل در ابزار‌های قانونی، که این کار را با پنهان‌سازی یا آشکارسازیِ فایل‌های شما تحت پوششِ انواع مختلف فایل انجام می‌دهد.

و ابزاری که مثل بقیه دقیقاً ابزاری پادقانونی نیست،

سام جوسِر  ماژول فرامُفسّری که از آمیخته‌های سام رونوشت برمی‌دارد، منتها این کار را بدون هیچگونه تماسی با دیسک انجام می‌دهد. ابزارهایی مانند pwdump به دیسک دسترسی پیدا می‌کنند و به‌طور بالقوه ردّ پای زیادی از خود باقی می‌گذارند (www.metasploit.com/projects/antiforensics/).

دیفایلِر تولکیت  دیفایلر تولکیت شاملِ دسته‌ای از ابزارها است که امکان پاک کردنِ فایل‌ها از سیستم‌های یونیکس را به‌گونه‌ای ایمن‌تر فراهم می‌سازد. این جعبه‌ابزار از نِکروفایل و کلیسمافایل تشکیل شده است. هر دو فایل تغییراتی در سیستمِ فایل ایجاد می‌کنند تا هرگونه مدارک مربوط به فایل‌هایی را که زمانی وجود داشته‌اند، از بین ببرند. نکروفایل اینودها را بازنویسی می‌کند یا در اصل می‌زداید، البته اینودهایی را که دیگر هیچ نامِ فایلی در ارتباط با آن‌ها وجود ندارد. کلیسمافایل همین کار را در باره‌ی جدولِ فهرستِ راهنما انجام می‌دهد. به‌لحاظ نظری، با مشاهده‌ی فضای خالی در جدول فهرست راهنما می‌توان فهمید که از کلیسمافایل استفاده شده است، اما چنین چیزی باید به‌دقت جست‌وجو و بررسی گردد. اطلاعات بیش‌تری در باره‌ی دیفایلر تولکیت در آدرس www.phrack.org/archives/59/p59-0x06.txt قابل‌دسترس است.

ابزارهای تجاری  ابزارهای پادقانون، دیگر فقط در انحصار اَبَرهکرها نیستند. با وجود ابزارهای تجاری‌ِ قابل‌دسترسی که می‌توانند به‌طور ایمن پاک‌سازی کنند، حتی کاربران تازه‌کار رایانه نیز می‌توانند ردّ پای الکترونیکی خود را پنهان سازند.

  • اِویدِنس اِلیمینِیتور:

www.evidence-eliminator.com/ Robin Hood Software

  • ویندو واشِر:

www.webroot.com/consumer/products/windowwasher/n-Webroot Software

اگرچه این ابزارها عاری از خطا و شکست نیستند، می‌توانند عملیات قانونی را بی‌نهایت دشوارتر سازند (www.phrack.org/archives/59/p59-0x06.txt).

همان‌طور که ممکن است هر نوع سیستم یا افزاره‌ای از میان گونه‌های متنوع آن‌ها در بازپرسی جرم سایبری دخیل باشند، ممکن است فقط یک دست‌گاه و یا هزاران دست‌گاه در این کار درگیر باشند. اضافه شدنِ چند سیستم، فرآیند آنالیز را پیچیده می‌سازد، چرا که داده‌هایی انبوهی که از بازرسی‌های بسیاری به‌دست آمده‌اند، کنار هم گذاشته می‌شوند.

آنالیز یک رایانه‌ی مجزا

اغلب بازپرسی‌های جرایم سایبری با بازرسی سیستم یا افزاره‌ای همراه است، و اغلب با بازرسیِ یک رایانه آغاز می‌شود. کانون بازرسی می‌تواند همان‌قدر متنوع باشد که وظایف و کاربردهای رایانه هستند.

فراداده‌ها

فراداده‌ها داده‌هایی در باره‌ی داده‌ها هستند. به‌عنوان مثال، نویسنده‌ی سندِ Word، یا تاریخ ایجادِ صفحه‌گسترده جزء فراداده‌ها هستند. منبعی که می‌توان برای مرورِ فراداده‌های مایکروسافت آفیس معرفی کرد، Microsoft KB223396 است. بسته به گستره یا نوع بازپرسی، از اهمیت فراداده‌ها غافل نشوید.

موردی که سرنخ بزرگ خود را از فراداده‌های سند به‌دست آورد، موردِ BTK بود. قاتلِ BTK نرم‌دیسکی به‎همراهِ پیامی که در سندی قرار داشت، به ایستگاه تلویزیونی ویچیتا KSAS ارسال کرد. بازرسی قانونیِ آن نرم‌دیسک، وجودِ یک فایل و برخی از فایل‌های پاک‌شده را آشکار ساخت. فراداده‌های فایلِ Test Art.rtf نشان دادند که آن فایل آخرین بار توسط کاربری به نامِ دِنیس ذخیره شده است و نام کلیسایی را فهرست کرده بودند. با جست‌وجویی که برای وب‌گاه آن کلیسا انجام شد، مشخص شد که رهبرِ گروهِ آن کلیسا دنیس رادِر بود، که سرانجام محکوم به قتل‌های BTK شد. [Stone]

قالبِ فایلِ تصویری قابل‌تبادل

قالب فایل تصویر قابل‌تبادل (EXIF) فراداده‌هایی هستند که در فایل تصویر موجود هستند، و اگرچه بسته به افزاره‌های مختلف متفاوت اند، می‌توانند اطلاعات ارزشمندی مانند نوع و مدلِ دوربینی که آن عکس را گرفته است، ارائه دهند. هم‌چنین، EXIF می‌تواند مشخص سازد که آیا تصویر مربوطه به‌وسیله‌ی برنامه‌ای گرافیکی تغییر یافته است یا نه. داده‌های EXIF می‌توانند تصویری را به دوربینی با مدل مشخص یا تلفن‌همراهِ دوربین‌داری با مدل مشخص مرتبط سازند. هم‌چنین، داده‌های EXIF اغلب دارای تاریخ‌نگاره و زمان‌نگاره‌هایی هستند که نشان می‌دهند تصویر مربوطه کِی گرفته شده یا تغییر یافته است. چندین قالب EXIF وجود دارد؛ بنابراین، ممکن است داده‌ها اندکی با هم تفاوت داشته باشند. هم‌چنین توجه داشته باشید که تمام افزاره‌ها تمام داده‌ها را منتشر نخواهند کرد.

آنالیز دودویی و بدافزار

یکی از الزامات، تواناییِ آنالیز دودویی و بدافزار است. گام اولیه این است که بتوان هر نوع بدافزاری را که ممکن است در سیستم باشد، شناسایی کرد. این کار هم از طریق شناسایی به‌وسیله‌ی مجموعه‌های آمیخته، و هم از طریق عدم فیلتر به‌وسیله‌ی مجموعه‌ی آمیخته میسر است. زمانی که فایلی شناسایی می‌شود که مشکوک است، دو روش عمده برای آنالیز آن وجود دارد: ایستا و پویا.

آنالیز ایستا مستلزم این است که در فایل‌های دودویی به‌دنبالِ رشته‌های متنی بگردیم یا شناسایی کنیم که آیا فایل مربوطه بسته‌بندی شده است یا نه. بسته‌بندیِ فایل اجرایی موجب فشرده‌سازیِ فایل مربوطه می‌شود، و معمولاً مهندسی معکوس را دشوارتر می‌سازد.

آنالیز پویا از آنالیز رفتاری استفاده می‌کند تا بدافزار یا کنش‌های آن را شناسایی کند. فایل مربوطه در محیطی امن مانند شبکه‌ای آزمایشی یا دست‌گاهی مجازی قرار داده می‌شود. سپس، این فایل اجرا می‌شود و کنش‌های آن در محیطِ آزمایشگاهیِ نرم‌افزار مشاهده می‌شود. مواردی مانند ترافیک شبکه‌ی تولیدشده یا فایل‌های دسترسی‌یافته ملاحظه می‌شوند و برای آنالیز فایل دودویی به‌کار می‌روند.

نکات پنهان…

دست‌گاه‌های مجازی

دست‌گاه‌های مجازی، محیط‌های ساختگی‌ای از قانون هستند که برای آزمایش خرابی به‌کار می‌روند. علاوه بر این‌که برای آنالیز بدافزار مفید هستند، برای مستندسازیِ کنش‌های نرم‌افزار قانونی یا حتی کنش‌های کاربر مفید هستند. به‌هنگامِ تلاش برای کشفِ جایی که ممکن است مدرک مرتبط با برنامه‌های موردنظر روی سیستم باشد، آزمایش در دست‌گاهی مجازی، امکانِ نظارت پویا را می‌دهد تا بازرس را به سوی مصنوعات ایستایی رهنمون شود که روی سیستم واقعی قرار دارند.

به‌هنگامِ انجام قانون رایانه‌ای، شناساییِ بدافزارهای موجود در سیستم از اهمیت زیادی برخوردار است. اگر وجود بدافزار کشف شود، همه‌چیز در خصوصِ مورد شما از بین نمی‌رود.

می‌توان بر بدافزار مربوطه نظارت کرد تا کنش‌های آن را شناسایی کرد. زمانی که مستند شد، و کنش‌های آن ثبت شدند، می‌توانید تعیین کنید که آیا کنش‌های بدافزار موجب تولیدِ نتایجِ موردبحث شدند یا نه. اگر بدافزار مربوطه مدرک موردنظر را تولید نکرده باشد، در صورتی که وکیل مدافع ادعا کند که بدافزار مربوطه مدرک را تولید کرده است و نه متهم موردنظر، می‌توانید با آن مقابله کنید. اگر بدافزاری وجود نداشته باشد، باز هم می‌توان با دفاعیه‌ی تروجان مقابله کرد.

نکته

دفاعیه‌ی تروجان روشی است که در آن، انجامِ برخی از کنش‌های موجود در سیستم انکار می‌شود و تقصیر را بر گردنِ بدافزاری مانند ویروس یا کرم می‌اندازند.

اقلام پاک‌شده

قدرت برنامه‌های قانونی در این است که بتوانند فایل‌های پاک‌شده را به‌تمامی بازیابی کنند یا حداقل مصنوعاتی را بازیابی کنند که آن برنامه ایجاد کرده است. وقتی که سیستم‌عامل فایلی را پاک می‌کند، داده‌های مربوطه را از بین نمی‌برد؛ بلکه فقط اشاره‌گرِ فایل را تغییر می‌دهد تا به سیستم فایل اطلاع دهد که این فایل دیگر وجود ندارد و فضای مربوطه آماده‌ی داده‌های جدید است. در نتیجه، برنامه‌های قانونی فایل‌های پاک‌شده‌ای را که هنوز وجود دارند، شناسایی می‌کنند یا مصنوعاتی را که زمانی وجود داشته‌اند، نمایش می‌دهند. فایل‌های پاک‌شده با اثبات کنش‌های ارادیِ متهمان برای پنهان‌سازیِ کنش‌های خود، می‌توانند روی مجرمیتِ آن‌ها تأثیرگذار باشند.

داده‌کاوی

انواع مختلف فایل‌ها تکه‌داده‌هایی در ابتدا و انتهای خود دارند که مشخص می‌سازند چه فایلی هستند. این تکه‌داده‌ها سرعنوان و پاعنوان نامیده می‌شوند. برنامه‌ها و ابزارها، با استفاده از امضاهای سرعنوان‌ها و پاعنوان‌ها می‌توانند فایل‌ها یا تکه‌هایی از فایل‌ها را از میانِ بُنجُل‌داده‌هایی که روی رسانه‌ی ذخیره‌سازی هستند، بازیابی کنند یا بکاوند. می‌توان واژه‌های فایل‌هایی را که حاویِ نویسه‌های متنِ ساده هستند، از میانِ بقایای آن‌ها کاوید. داده‌کاوی می‌تواند کاری وقت‌گیر و خسته‌کننده باشد. البته، این کار ارزشِ صرف وقت را دارد چرا که می‌توان مدرکی را بازیابی کرد که از راه‌های دیگر از دست می‌رود.

آنالیز ایمیل

آنالیز ایمیل، علاوه بر چالش‌های فنی، مسئولیت قانونی نیز دارد. فرآیند قانونی، برای مأموران اجرای قانون، بستگی به حالت داده‌ها دارد. دادستانان باید خط‌مشی‌های مناسبی برای بخش خصوصی پیاده‌سازی و بازدید نمایند تا انتظارات لازم برای حریم شخصی را برآورده سازند.

روی ایمیل می‌توان آنالیز بسیار بیش‌تری نسبت به سرعنوان انجام داد. آنالیز ایمیل می‌تواند بستگی به این داشته باشد که داده‌های موردنظر روی سرور ذخیره شده‌اند یا خدمات‌گیرنده. از برنامه‌هایی که در سکوی سرور یا خدمات‌گیرنده برای توابع جست‌وجو یا جست‌وجوی پیشرفته هستند، چشم‌پوشی نکنید. معمولاً توابع ورود و صدوری نیز وجود دارند که امکان آنالیز داده‌ها را در برنامه‌های دیگر می‌دهند. برای مثال، می‌توان مایکروسافت اوت‌لوکِ PST را برای آنالیز به اِکسل صادر کرد. در اکسل می‌توان گزارش‌های خلاصه‌وضعیتی مانند شمارِ جدولِ محوری را اجرا کرد تا روندها را کشف کرد.

نکته

یکی از ابزارهای تجاری قدرتمند برای آنالیز بسیاری از انواع قالب‌های ایمیل Paraben Forensics Email Examiner است. علاوه بر قابلیت کار با بسیاری از قالب‌های فایل ایمیل، این توانایی را دارد که ایمیل‌های پاک‌شده را بازیابی کند، و جست‌وجوهای پیشرفته‌ای را در گستره‌ی وسیعی از قالب‌های ایمیل از چندین تولیدکننده انجام دهد.

آنالیز رخداد تجاری

بازرسیِ یک دست‌گاه می‌تواند پیچیده و وقت‌گیر باشد، اما می‌تواند تنها قله‌ای نمایان از کوه یخی بزرگی باشد که قسمت اعظم آن در زیر آب است. پیچیدگیِ بازرسیِ یک ایستگاه کاری می‌تواند صدها یا هزاران برابر گردد. حتی در صورت وجود چندین سیستم‌عامل و معماری و بار اضافیِ پیکربندی‌های شبکه‌ی پیچیده، ممکن است نیاز به دخالتِ رویّه‌کاران کاملاً ماهر باشد.

برای ربط دادنِ داده‌های به‌دست‌آمده از سیستم‌ها و افزاره‌های مجزا در قالبی جامع، به‌طوری که بتوان آن‌ها را خلاصه و آنالیز کرد، نیاز به ابزارهایی اضافی است. فهرستی از فایل‌های ثبت وقایع می‌توانند معنای کاملاً جدیدی بیابند، اگر به‌صورت گرافیکی ارائه شوند. مثال‌هایی که می‌توان برای این امر ارائه کرد، نمودارهای گردشیِ سیستم و خطّ سیرهای رخداد هستند.

نمودارهای گردشی سیستم

نمودار گردشی، یا هر نمایش گرافیکی دیگر از شبکه، می‌تواند نشان دهد که کدام سیستم‌ها و چه زمانی بر مبنای داده‌های آنالیز‌شده در کنار هم قرار داده شده‌اند (شکل ۹.۱ را ببینید). این نمودار، داده‌های استخراجی از آدرس IPای را نشان می‌دهد که متعلق به ثبت وقایعِ دیوار آتش است. سپس، می‌تواند تکه‌ای از تراگذرِ فهرست راهنما را از فایل‌های ثبت وقایعِ آپاچی، و الخ را نشان دهد. این نمودار، به‌ویژه، هنگامِ توضیحِ رویداد به افراد غیرفنی، ارزشمند می‌شود.

شکل ۹.۱ نمودار گردشی سیستم

فراتر از سودمندیِ نمایش گرافیکی ترافیک، مقایسه‌ی نمودار گردشی سیستم با نمودار شبکه می‌تواند ناحیه‌هایی را نشان دهد که ممکن است تحت تأثیر قرار گرفته باشند اما هنوز شناسایی نشده باشند. به‌هنگامِ توضیح نتایج به مدیریت غیرفنی یا در صورتی که رخدادها به دادرسی، دادستانان، و هیئت منصفه برسند، اسناد گرافیکی می‌توانند مفید واقع شوند.

خطّ سیرها

گرافِ خطّ سیرِ رویداد یا آنالیز می‌تواند گزارشی ارزشمند باشد. این گراف می‌تواند تمام روند پیشرفت را نشان دهد، این‌که چه آنالیزی چه زمانی روی چه سیستمی انجام شده است (شکل ۹.۲ را ببینید). اغلب آسان‌تر است که به جای وارسیِ صدها ایمیل، به نموداری نگاه کرد و سیرِ رویداد را دید. هم‌چنین، خطّ سیر می‌تواند نشان دهد که کدام سیستم‌ها و چه زمانی بر مبنای داده‌های آنالیز‌شده تحت تأثیر قرار گرفته‌اند. این نمودار، داده‌های استخراجی از آدرس IPای را نشان می‌دهد که متعلق به ثبت وقایعِ دیوار آتش است. سپس، می‌تواند تکه‌ای از تراگذرِ فهرست راهنما را از فایل‌های ثبت وقایعِ آپاچی، و الخ را نشان دهد.

شکل ۹.۲ گراف خطّ سیر

خطّ سیرها برای به‌ترتیب چیدنِ سیر پیشرفتِ رخدادها، همگام با آشکار شدنِ آن‌ها، مفید هستند. آن‌ها برای نمایش شکاف‌های موجود در فعالیت مربوطه نیز مفید هستند. این شکاف‌های موجود در فعالیت موردنظر، ممکن است جاهایی باشند که برخی از مدارک از دست رفته‌اند یا فعالیتی وجود داشته است که هنوز فاش نشده‌اند. همان‌طور که پیش از این بیان شد، به‌هنگامِ توضیح نتایج به مدیریت غیرفنی یا در صورتی که رخدادها به دادرسی، دادستانان، و هیئت منصفه برسند، اسناد گرافیکی می‌توانند مفید واقع شوند.

ابزارهایی برای آنالیز داده‌ها

راه‌های بسیاری برای آنالیز داده‌ها وجود دارند، به همان اندازه که فایل‌های ثبت وقایع وجود دارند. با توجه به هزینه، کارآیی، یا پیچیدگی، هر کدام از این راه‌ها مزایا و معایبی دارند. معمولاً ابزارهایی که به‌طور روزمره توسط مدیران سیستم برای انجامِ اشکال‌یابی و میزان‌سازیِ پیش‌کنشی به‌کار می‌روند، می‌توانند همان ابزارهایی باشند که برای آنالیز واکنشی به‌کار می‌روند.

معمولاً با افزایش کارآیی، هزینه و/یا پیچیدگی آن‌ها نیز افزایش می‌یابد. برخی از ابزارها GREP، اسکریپت‌های PERL، اِکسل، SQL، و ابزارهای قانونی شبکه‌ی تجاری هستند.

GREP

GREP یکی از ابزارهای اجتناب‌ناپذیر و مهارت‌های ضروری برای پاسخگوی رویداد یا رویّه‌کار قانونی است. در واقع، فرمان GREP فایل یا فایل‌هایی را به‌دنبالِ الگوی خاصی جست‌وجو می‌کند. قدرت آن در انعطاف‌پذیریِ الگوهایی است که می‌توان ایجاد کرد یا در توانایی‌ای است که می‌توان ساختارهای فهرستی از فایل‌ها را به‌طور بازگشتی جست‌وجو کرد. GREP تحت گواهیِ GPL قرار دارد، بنابراین هزینه‌ای ندارد، و GREP از ابتدا روی تمام سیستم‌عامل‌های *نیکس مجازی وجود دارد، و روی تمام چیزهای دیگر نیز قرار داده شده است. برای افراد تازه‌کار باید خاطرنشان کرد که منابع اینترنتی بسیاری در باره‌ی نحوه‌ی تشکیلِ الگوهای GREP وجود دارند. محدودیت مهمی که باید به‌خاطر سپرد این است که GREP روی فایل‌های متنی کار می‌کند، و نمی‌تواند هر فایلی را که بر سر راهش قرار می‌گیرد، جست‌وجو کند. اگر شما با فایل‌های ثبت وقایعِ متنیِ بزرگ سر و کار دارید، در آن صورت، استفاده از GREP بسیار مفید خواهد بود.

صفحه‌گسترده‌ها

اگر شما بیش‌تر فردی دیداری هستید، با واسط کاربری گرافیکی (GUI) راحت‌تر هستید، و فایل‌های ثبت وقایعِ شما نسبتاً کوچک هستند، در آن صورت، صفحه‌گسترده می‌تواند گزینه‌ی مناسبی باشد. صفحه‌گسترده‌ها می‌توانند داده‌های شما را دسته‌بندی، شمارش، و دستکاری کنند. مزیت دیگر آن‌ها این است که می‌توانند بر اساس داده‌های شما گراف‌ها و نمودارهای تصویری‌ای ایجاد کنند، تا بعداً بتوانید برای مدیریت، اجرای قانون، دادستان، یا هیئت منصفه توضیحاتی ارائه دهید. می‌توان توابع ساده‌ای ایجاد کرد تا مواردی مانند آدرس‌های IPِ منحصربه‌فرد یا شمارِ آدرس‌های IP را نمایش داد. اگر فایل‌های ثبت وقایع نسبتاً کوچک باشند، در آن صورت، کاربردهای آن، تنها محدود به توانایی شما در ایجاد فرمول‌ها یا دستکاری داده‌ها هستند.

پایگاه‌داده‌ها

اگر فایل‌های ثبت وقایع شما بزرگ باشند، ابزار موجود دیگری که می‌توان به‌کار گرفت، پایگاه‌داده‌ها هستند. پایگاه‌داده‌ها به‌طور روزمره برای ذخیره‌سازی و گزارش‌دهیِ داده‌ها به‌کار می‌روند، بنابراین چرا برای فایل‌های ثبت وقایعی که در ارتباط با رویداد جرم سایبری هستند، از آن‌ها استفاده نشود؟ پایگاه‌داده‌ای که به‌کار می‌رود بستگی به میزان بودجه و تخصص دارد. برخی از مشکلاتی که باید در نظر داشت، بالاسری‌هایی هستند که در وجوه ضروریِ پایگاه‌داده مانند کلیدهای اصلی، دخیل هستند. این داده‌های اضافی به ملزومات ذخیره‌سازی افزوده خواهند شد.

یکی از مزایای پایگاه‌داده‌های SQL این است که آن‌ها برای آنالیز و گزارش داده‌ها، راه‌هایی را پیش پای شما می‌گذارند که محدود به چیزی جز خلاقیت شما نیستند. علاوه بر این، پایگاه‌داده‌ی SQL همین که ثبت وقایعِ به‌دست‌آمده از سیستم‌های مختلف درون جدول‌ها بارگذاری می‌شوند، امکانِ همبستگیِ آن‌ها را می‌دهد. تمام ثبت وقایع سیستم‌ها را بارگذاری و سپس، پرسمان کنید تا تمام جاهایی را بیابید که آدرس IPای رفته است یا اقدام به رفتن کرده است. در نهایت، از آنجا که پرسمان‌های SQL استاندارد هستند، می‌توانند به‌آسانی برای افرادی که با SQL آشنا هستند، توضیح داده شوند. معایب پایگاه‌داده‌ی SQL این هستند که اگر شما فایل‌های ثبت وقایعِ بزرگی داشته باشید و بخواهید که همبستگی را انجام دهید، نیاز به حجم ذخیره‌سازیِ بسیار عظیمی دارند. هم‌چنین، پرسمان‌های پیچیده در پایگاه‌داده‌های بزرگ نیاز به توان پردازشی یا صرف وقت بسیاری دارند. انجامِ همبستگی و گزارش نیز ممکن است حتی مقدار توان پردازشی و زمان بیش‌تری به خود اختصاص دهند.

انعطاف‌پذیری و توان پایگاه‌داده‌ی SQL، آن را تبدیل به ابزار بسیار ارزشمندی ساخته است که می‌توان مقادیر عظیمی از فایل‌های ثبت وقایع را پردازش کرد و آن‌ها در قالبِ گزارشی جامع، همبسته کرد.

اِسنورت

می‌توان از اسنورت برای آنالیز نه تنها ترافیک بی‌درنگ، بلکه فایل‌های ضبط استفاده کرد. استفاده از اسنورت، برای جداسازیِ امضاها و نشانه‌های حمله‌ای از میانِ فایل‌های ضبط که در آن جاها امکانِ وجودِ سیستم IDS نیست، می‌تواند مفید باشد. مزیت افزوده‌ی آن این است که اسنورت می‌تواند برای جداسازیِ ترافیکی به‌کار رود که به‌طور سنتی جزء حملات در نظر گرفته نمی‌شود اما می‌تواند در روند بازپرسی ارزشمند باشد، مثلاً اقدام-به-ورودها. از آنجا که اسنورت برنامه‌ای متن‌باز است، هزینه‌ی آن پایین است. هم‌چنین، اسنورت جامعه‌ی کاربری‌ای برای پشتیبانی دارد، و دارای مستندات خوبی نیز هست. منابع فراوانی وجود دارند که می‌توان در ایجاد امضاهای سفارشی از آن‌ها کمک گرفت.

سیستم‌های مدیریت رخداد امنیتی

بسیاری از سازمان‌ها شروع به نصبِ سیستم‌های مدیریت رخداد امنیتی (SEM) کرده‌اند تا تمام ثبت وقایع‌ها را از سیستم‌های مختلف گردآوری و همبسته نمایند. SEMS می‌تواند آینده‌ی ابزارهای آنالیز شبکه باشد. SEMS می‌تواند داده‌های به‌دست‌آمده از اسباب و سیستم‌های امنیتی مختلف را با سرعت زیادی همبسته نماید.

SEMS در آنالیز داده‌ها از طریق همبستگی و گزارش، از ارزش بالایی برخواردار است. تذکری که در باره‌ی گزارشِ SEMS باید داده شود، این است که ثبت وقایعِ دریافت‌شده یا نمایش‌داده‌شده اغلب تغییر یافته‌اند. این ثبت وقایع، اغلب کوتاه و بریده یا استانداردشده هستند، در نتیجه ثبت وقایعِ خامِ اصلی را باید از روی سیستم اصلی بازیابی و صیانت کرد.

بسیاری از SEMها هنوز با مشکلات مرتبط با کارآیی، دست‌وپنجه نرم می‌کنند و در حال مبارزه با سیل عظیم داده‌هایی هستند که از سوی سیستم‌های مختلف جاری شده‌اند. پایگاه‌داده‌ها اغلب در پیاده‌سازی‌های بزرگ دارای مشکلات مرتبط با کارآیی هستند.

اگر یک SEMS به‌خوبی پیاده‌سازی شود و در بنگاهی تجاری به‌کار گرفته شده باشد، منبع فوق‌العاده‌ای است که می‌تواند در همان اوایلِ وقوعِ رویداد، در اوکدابِ سیستم‌های تحت‌تأثیرقرارگرفته کمک کند.

گزارش

در انتهای بازرسی‌ها و آنالیز، نوبت به شاید کسالت‌آورترین اما در واقع مهم‎‌ترین مرحله می‌رسد.

گزارش، گردآوری و تلفیقِ تمام مستندسازی‌ها، مدارک به‌دست‌آمده از بازرسی‌ها، و آنالیز‌ها است. در گزارش باید مستندسازیِ تمام سیستم‌های آنالیز‌شده، ابزارهای به‌کاررفته، و کشف‌های انجام‌شده آورده شوند. گزارش باید حاویِ تاریخ‌ها و زمان‌های آنالیز، و نتایج دقیق آن باشند. گزارش باید کامل و واضح باشد، به‌گونه‌ای که نتایج و محتویات آن حتی سال‌ها بعد نیز قابل‌فهم باشند.

می‌توان گفت که گزارش، مهم‎‌ترین مرحله از قانون دیجیتال است. اگر گزارش ناکامل باشد، یا به‌دقت ابزارها، فرآیند، و روش‌شناسی را مستند نسازد، شاید همه‌ی این کارها به هیچ نیرزد. بسته به نیازهای سازمان شما، گزارش متفاوت خواهد بود، اما در اغلبِ موارد حداقل باید مستنداتِ افزاره‌هایی که بازرسی شده‌اند، ابزارهای به‌کاررفته، و کشفیاتِ بوده‌ای آورده شوند. حتی اگر روشی به‌کار رفته است و منتج به هیچ چیزِ باارزشی نشده است، باید مستند گردد، نه تنها به دلیل کامل بودنِ گزارش، بلکه برای اثبات این موضوع که در بازرسی، تمام زمینه‌ها تحت پوشش قرار گرفته‌اند.

گذشته از تمام موانعی که در مراحل کشف‌وکسب، بازرسی، و آنالیز وجود داشتند، شاید بزرگ‌ترین چالشی که وجود دارد این باشد که چگونه می‌توان آن را به‌گونه‌ای ارائه داد که جای برای هیچ حرف و حدیثی باقی نماند. خطر کاملاً واقعی‌ای که وجود دارد این است که برخی از روش‌های قانونی جدیدتر، تاکنون در هیچ دادگاهی به چالش کشیده نشده‌اند.

نکته

این موضوع را مستند سازید که تمام نرم‌افزارهای به‌کاررفته به‌طور مناسب گواهی شده‌اند. لازم نیست که در باره‌ی این گواهی‌ها تمام جزئیات را بیان کنید، بلکه خیلی زود سر و تهِ آن را هم بیاورید.

در محیط شرکتی، اغلب نیاز به چند گزارش است- در کمترین حالت، گزارش آنالیز قانونی و گزارشی که برای مدیر اجرایی ایجاد می‌شود. چالش اصلی، وسطِ کارِ بازپرسی‌های مهم یا بازپرسی‌هایی ایجاد می‌شود که موردتوجهِ افکار عمومی قرار دارند، ، و در آن‌ها مدیریت خواستارِ به‌روزرسانی‌ها و پاسخگویی‌هایی می‌شود. اغلب، وقتی که رویداد مربوطه شاملِ توده‌ای از داده‌ها است، زمانی از فرد خواسته می‌شود تا پاسخگو باشد که هنوز خیلی زود است که بتوان چنین پاسخی داد. راه‌بردی که می‌توان درنظر گرفت این است که «چیز درخشانی» ارائه داد که بتوان حواس آن‌ها را به‌اندازه‌ی کافی پرت کرد تا به نتایجی دست یافت. چیز درخشان می‌تواند فقط گزارشی آماری و خلاصه‌ی سطحِ بالایی از پیش‌آمدها باشد، مثلاً کشف‌وکسبِ ۱۰ سیستم با حجم کلیِ ۷.۵ ترابایت داده که هم‌اکنون در حالِ بازرسی و آنالیز است.

راه‌های دیگرِ ارائه‌ی داده‌ها در گزارش‌ها خطّ سیرها و نمودار گردشیِ دسترسی‌ها هستند. گزارشِ خطّ سیری از بازرسیِ قانونیِ سیستم، تاریخ‌ها و زمان‌های دسترسی به فایل‌ها را نمایش خواهد داد. گزارشِ خطّ سیری از داده‌های به‌دست‌آمده از سیستم‌های مجزا، گام‌هایی را نشان خواهد داد که در طول بازپرسی یا آنالیز برداشته شده‌اند. نمودار گردشی جزئیاتی از تأثیر یا تعامل با یک سیستم، مانند ترافیک عبوری از دیوار آتش و سپس دسترسی به سرور، را نشان خواهد داد.

خلاصه

در مقدمه، در باره‌ی بِه‌رویّه‌های کنونی بحث کردیم، و این‌که چگونه ممکن است بِه‌رویّه‌های کنونی تأثیری منفی از فن‌آوریِ در-حال-تغییر بگیرند. بزرگ‌تری چالش، زمانی پیشِ روی رویّه‌کار قانونی قرار می‌گیرد که او در حال پیشروی است در حالی که بِه‌رویّه‌ها از او پشتیبانی نمی‌کنند. در محیط‌های متنوع‌تر و فرّارتر هم باید وظایف یکسانی انجام شوند. این موضوع کم‌کم تبدیل به معیار می‌شود که نمی‌توان افزاره‌ها را به‌طور کامل تصویربرداری کرد، چرا که گاهی امکان‌پذیر نیست که بتوان تصویر فیزیکی کاملی گرفت. هم‌چنین، ممکن است تصویربرداری فیزیکی کامل از آرایه‌ی سانِ چندترابایتی، عملی نباشد.

حجم گسترده‌ی افزاره‌ها و قالب‌های متنوع، این کار را برای رویّه‌کار قانونی بی‌نهایت دشوارتر می‌سازند که بتواند در همه‌ی آن‌ها تخصص یابد. هم‌چنین، نیاز روزافزونی به آموزش مداوم ایجاد می‌کند. جعبه‌ابزاری که برای کار در قانون دیجیتال موردنیاز است، مانند جعبه‌ابزار یک فردِ آچاربه‌دست نیست؛ بلکه تبدیل به جعبه‌ابزار بزرگ یک مکانیک شده است.

یکی از روندهای در حال بازسازی، تمرکزِ روزافزونِ محیط‌های دانشگاهی روی پژوهش در زمینه‌ی قانون دیجیتال است. هم‌چنین، افزایشی در برنامه‌های دانشگاهیِ ویژه‌ی قانون دیجیتال ایجاد شده است، که می‌تواند شکاف بین دوره‌های تحصیلیِ دادگستری جزایی و درجات علمی IT و علم رایانه‌ی سنتی را از بین ببرد.

آخرین نکته- بدانید که چه زمانی درخواست کمک کنید.

مراجع

NW3C. Information on the National White Collar Crime Center’s courses, including the Fast CyberForensic Triage (FCT), is available online at www.nw3c.org/ocr/courses_desc.cfm.

Penerson, Melissa, J, “Hitachi Introduces 1-TB Hard Drive,” PC World Online, 2007.Available at: www.pcworld.com/article/id,128400-pg,1/article.html.

Carrier, B. and J. Grand,“A Hardware-Based Memory Acquisition Procedure for Digital Investigations.” Digital Investigation Journal.Vol. 1, Num. 1. Elsevier Advanced Technology, 2004.Available online at:

www.digital-evidence.org/papers/tribble-preprint.pdf

Stone, Randy.“Computer Forensics and the Arrest of BTK,” ۲۰۰۵. PowerPoint Presentation available at:

www.nlectc.org/training/nij2005/StoneMarriott1.pd

مرور فشرده‌ی ره‌یافت‌ها

تکامل قانون رایانه‌ای

  •  فن‌آوری سریع‌تر از بِه‌رویّه‌های قانونی تغییر می‌کند.
  •  حجم داده‌ها با سرعتِ بسیار زیادی در حالِ افزایش است.
  •  تنوع درایوها همچنان در حالِ رشد است.
  •  برخی از داده‌ها به‌طور روزافزونی فرّار هستند.

مراحل قانون دیجیتال

  •  تنوعِ حافظه‌های ذخیره‌سازی داده‌ها موجب نیاز به ابزارها و روش‌های بسیاری می‌گردد.
  •  ذخیره‌سازی داده‌ی افزایش‌یافته موجب نیاز به افزاره‌های ذخیره‌سازی هدف بزرگ می‌گردد.
  •  زمان موردنیاز برای جمع‌آوری همچنان افزایش خواهد یافت.
  •  داده‌های جمع‌آوری‌شده‌ی بیش‌تر، به‌معنای وجود داده‌های بیش‌تری برای وارسی است.
  •  باید از روش‌های کاهشِ داده‌های موردنظر استفاده شود.
  •  افزایش در داده‌های موجود می‌تواند آنالیز نهایی را ساده و مختصر سازد، یا این‌که فقط می‌تواند انبار کاهی را که سوزنی در آن پنهان شده است، بزرگ‌تر سازد.
  •  آنالیز کلِّ رویداد، بسیار پیچیده‌تر از بازرسیِ فقط یک سیستم است.
  •  شاید بتوان گفت که گزارش بسیار مهم‌تر از هر چیز دیگری است، چرا که روش‌ها و روندها باید به دلیلِ تأثیرات بالقوه‌ی آن‌ها روی داده‌های فرّار، به‌خوبی مستند شوند.
  •  گزارش ضعیف می‌تواند بهترین بازپرسی جرم سایبری را به‌شکلِ یک فاجعه جلوه نماید.

پرسش‌های متداول

پرسش‌های متداول زیر، که توسط نویسندگان این کتاب پاسخ داده شده‌اند، با این هدف طراحی شده‌اند که هم میزان یادگیری شما از مفاهیم ارائه شده در این فصل را بسنجند و هم به شما کمک کنند تا با کاربرد عملی این مفاهیم آشنا شوید. برای پاسخگویی به پرسش‌های‌تان در مورد این فصل توسط نویسنده‌ی مربوطه، به آدرس www.syngress.com/solutions بروید و روی فرم «Ask the Author (از نویسنده بپرسید)» کلیک کنید.

پرسش: آیا برای انجام مناسبِ قانون دیجیتال، نیاز به تجهیزات تخصصی هست؟

پاسخ: بله. همچنان در باره‌ی ملزوماتِ آموزشِ قانون دیجیتالِ معمول بحث‌هایی وجود دارد، اما چنین تجهیزاتی برای آموزش در قالبِ فرآیندها و روش‌های مناسب نیاز است.

پرسش: مهم‌ترین بخش از قانون دیجیتال چیست؟

پاسخ: روندها و روش‌شناسی‌ها نقش بنیادی دارند. اگر آن‌ها استوار و قوی باشند، باقی کارها از آن‌ها تبعیت خواهند کرد.

پرسش: آیا یک نرم‌افزار قانونی، می‌تواند هر آن‌چه را که من نیاز دارم، انجام دهد؟

پاسخ: شما هرگز نمی‌توانید ابزارهایی کافی را در جعبه‌ابزار داشته باشید. مجموعه‌های قانونی اصلی باید اغلبِ توابعی را که ممکن است رویّه‌کار قانون دیجیتالِ متوسط به آن‌ها نیاز داشته باشد، انجام دهند. هم‌چنین، یکی از بِه‌رویّه‌ها این است که کشفیات خود را با ابزار ثانویه‌ای پشتیبانی نمایید، بنابراین ممکن است به بیش از یک نرم‌افزار نیاز داشته باشید.

درباره‌ی نویسنده

فرهاد سپیدفکر

نمایش همه‌ی مطالب

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

2 × چهار =