متدولوژی کشف جرائم رایانهای یا Computer Crime Investigation
(توجه: این مقاله با ذکر منبع و رعایت کپی رایت آورده شده است.)
کشف جرائم رایانهای یک متدولوژی کاملا تعریف شده و واضح برای حفظ و نگهداری، شناسایی، بازگردانی و مستند سازی دادههای الکترونیکی و کامپیوتری است. کشف جرائم رایانهای به تازگی بصورت حقوقی در مجامع قانونی مطرح شده است و اولین باری که علم اینگونه کشف جرم مطرح شده و بکارگیری شد در دهه ۱۹۸۰ میلادی بود. پیشرفت این علم کاملا منطبق و وابسته به پیشرفت صنایع الکترونیک و کامپیوتر است.
آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات): کامپیوترها یکی از مواردی هستند که بیشترین هدف برای انجام آزمایشهای کشف جرم هستند اما تجزیه و تحلیلهای مربوط به کشف جرائم صرفا به کامپیوترها ختم نمیشود. گوشیهای تلفن همراه، PDAها، دوربینهای عکاسی و پیجرها و هر چیزی که مربوط به تجهیرات الکترونیکی باشد میتواند مورد تجزیه و تحلیل قرار بگیرد. حملات هکری انجام شده و سوء استفاده کارکنان از کامپیوترها نیز به نیازهای سازمان مبنی بر آزمایش تجهیزات الکترونیکی اضافه شده است. شیوه نامناسب اداره کردن نقاط مهم یک سازمان میتواند میلیونها تومان برای سازمان هزینه در بر داشته باشد. شرکتها و سازمانها باید این تجهیزات و دادهها را به خوبی نگهداری کنند. به دلیل اینکه اطلاعات الکترونیکی به راحتی قابل تغییر هستند، آزمون کشف جرم معمولا به سه مرحله تقسیم میشود:
پیدا کردن و ذخیره سازی: معمولا در اولین مرحله از این آزمون شما بایستی تا میتوانید اطلاعات جمع آوری کنید. معمولا به این فرآیند bit level copy نیز گفته میشود. Bit Level Copy به این معناست که از هر اطلاعاتی که در حال حاضر به عنوان اطلاعات اصلی موجود است یک کپی گرفته شود بطوریکه کسانی که مشغول آزمایش اطلاعات و دادههای موجود جهت بررسی اسناد جرم هستند بتوانند با خیال راحت یک کپی برای انجام بررسیها از دادهها برداشته و بر روی آن آزمایشهای خود را انجام دهند. این عمل باعث میشود اطلاعات و دادههای اصلی بدون تغییر و قابل استناد باقی بمانند.
سندیت و تصدیق: این فرآیند به کارشناس جرم این امکان را میدهد که ثابت کند اطلاعاتی که بر روی آنها بررسیها و کارشناسیها انجام شده است صحیح و درست و بدون تغییر هستند و میتوان به عنوان سند جرم از آنها استفاده کرد. اینکار بصورت عمده به وسیله استفاده از الگوریتمهای Hash و دریافت Hash هر یک از اطلاعات موجود در قسمت اول توسط الگوریتمهای Hashing مانند MD5 و یا SHA انجام میشود. الگوریتمهای Hashing مانند MD5 و SHA توانایی این را دارند که صحت اطلاعات را تایید کنند و ثابت کنند که اطلاعات در بین راه دستکاری و تغییر نکرده است و به همین دلیل نیز قابل استناد هستند.
تجزیه و تحلیل: کارشناس جرائم رایانهای بایستی بسیار با دقت اطلاعات و دادههای موجود را تجزیه و تحلیل و آزمایش کند و مراحل کار را بصورت کامل مستند سازی کند. معمولا یک کارشناس جرائم رایانهای با استفاده از بازگردانی اطلاعات از فضای پرت درایوها، فضای پرت فایلها، فایلهای مخفی، اطلاعات جابجا شده، کش اینترنت و سایر فضاهای کامپیوتر مانند سطل زباله دادهها و اطلاعات مورد نیاز خود را تامین میکند. تمامی این اطلاعات طبق مراحل ذکر شده در مرحله دوم بوسیله الگوریتمها و روشهای ذکر شده کپی برداری میشوند و اطلاعات اصلی در یک جا بدون تغییر باقی میماند.
بررسی مدارک و شواهد یا Handling Evidence
در فرآیند کشف جرائم رایانهای بررسی شواهد و مدارک مهمترین قسمت فرآیند
محسوب میشود. این فرآیند توسط روشی به نام Chain Of Custody انجام میشود.
Chain Of Custody در حقیقت خود یک فرآیند است که به وسیله آن کلیه
آزمایشهایی که بر روی مستندات و مدارک و شواهد موجود انجام میشود بصورت
کامل مستند سازی شده و در هر بار دسترسی به این شواهد و مدارک از این
دسترسی و بررسیهای log برداری میشود به گونهای که این بررسیها برای
ارائه در دادگاه جرائم رایانهای قابل استناد باشد. یک Chain Of Custody
کامل شامل گزارشی است که در آن دقیقا به دستورالعملها و فعالیتهایی که بر
روی مدارک و شواهد و اسناد موجود انجام شده است اشاره شده است. همیشه به
خاطر داشته باشید که تغییرات و بررسیها بر روی یک کپی از اطلاعات اصلی
انجام میشود و اطلاعات اصلی بدون تغییر در مکانی امن نگهداری میشوند.
آزمایش مدارک و شواهد یا Trace Evidence
یا قانون همیشگی برای انجام آزمایش مدارک و شواهد وجود دارد، هرگاه دو شیء
به همدیگر تماس داشته باشند، قطعا انتقال صورت خواهد گرفت. نتیجه آزمایش
این مدارک و شواهد و انتقال اطلاعاتی که انجام شده است برای تعیین مکان،
اشیاء و اشخاصی که در این جرم نقش داشتهاند موثر است. همیشه به خاطر داشته
باشید که هر اندازه هم که مجرم دانش داشته باشد در نهایت قطعا اثری از
خود باقی خواهد گذاشت. هرچند که مجرمین معمولا آثاری را که از جرمشان باقی
مانده است را حذف و حتی کشهای موجود را پاک میکنند اما همیشه و همیشه
نقطهای برای انجام آزمایشها باقی میماند هر چند که این نکته بسیار ریز
باشد.
پاک کردن درایو یا Drive Wiping
پاک کردن درایو یا Disk Wiping فرآیندی است که بر روی تمامی مکانهای قابل
آدرس دهی دیسکها اطلاعات را بازنویسی میکنیم. استاندارد پاک کردن درایو
یا Drive Wiping وزارت دفاع ایالات متحده به شماره #۵۲۲۲۰-۲۲M اینطور اعلام
میکند: برای پاک کردن درایوها بایستی کلیه مکانهای قابل آدرسی دهی
ابتدا یکبار با یک کاراکتر آدرس دهی شوند، سپس مکمل آن کاراکتر بایستی
مجددا در همان مکان آدرس دهی شود و در نهایت یک کاراکتر تصادفی در آن
آدرس قرار گرفته و مجددا آزمایش شود. با استفاده از بازنویسی چند باره
اطلاعات بر روی رسانههای اطلاعاتی یک سازمان میتواند احتمال بازگردانی
اطلاعات را تا حد زیادی کاهش دهد. همیشه سازمانهای مختلف در خصوص از بین
بردن اطلاعات موجود بر روی رسانههای دخیره سازی دچار مشکل بودهاند و این
نگرانی که ممکن است اطلاعات از روی اینگونه رسانههای بازیابی شود همیشه
دغدغه اصلی سازمانها بوده است. استفاده از روشهای پاکسازی درایو با
استفاده از روشی که ذکر شد یکی از روشهایی است که سازمانها از آن استفاده
میکنند اما توجه داشته باشید که همین روش نیز میتواند ابزاری برای
استفاده مجرمین برای از بین بردن آثار جرمشان یا به اصطلاح Covering Tracks
باشد.
استاندارد سازی دستورالعملهای کشف جرائم رایانهای
در مارچ ۱۹۹۸ سازمان بین المللی مدارک و شواهد رایانهای (IOCE) تصمیم به
ایجاد یک فرآیند و دستورالعمل استاندارد مرتبط با شواهد و مدارک دیجیتال
گرفت. قبل از این زمان هر کشور برای خود روش و راهکاری متفاوت برای کشف و
مستند سازی جرائم رایانهای در اختیار داشت که شاید در دادگاهای جرائم
رایانهای کشورها و یا حتی شهرهای مختلف آن کشور نیز قابل استناد نبودند.
هدف این سازمان یکپارچه سازی روشها و تمریناتی بود که ملل مختلف برای کشف
و مدیریت شواهد و جرائم رایانهای انجام میدادند، بطوریکه این مدارک را
بتوان در دادگاههای مختلف دنیا نیز ارائه و از آنها دفاع کرد. سازمان بین
المللی مدارک و شواهد رایانهای (www. ioce. org) شش اصل را برای دستیابی
به این هدف و استاندارد تدوین و ارائه کرد که شرح ذیل میباشند:
زمانی که با شواهد و مدارک دیجیتال روبرو هستید، تمامی مراحل استاندارد و تایید شده در خصوص کشف جرائم رایانهای بایستی اعمال شود.
به هنگام به دست آوردن اطلاعات و شواهد دیجیتال، عمل انجام شده به هیچ
عنوان نبایستی اطلاعات دیجیتال اصلی را تحت تاثیر قرار دهد و اطلاعات اصلی
بایستی دست نخورده باقی بمانند.
زمانی که قرار است شخصی به اطلاعات و شواهد و مدارک دیجیتال اصلی دسترسی
پیدا کند، این شخص بایستی آموزشهای لازم را دیده باشد، ضمن اینکه به مورد
دوم نیز حتما توجه کند.
تمامی فعالیتهای مربوط به بررسی شواهد و مدارک دیجیتال اعم از به دست
آوردن، دسترسی، ذخیره سازی و انتقال بایستی بصورت تمام و کمال و در یک قالب
استاندارد مستند سازی و نگهداری شوند به شکلی که در هر زمان که مورد نیاز
بود قابل دسترس و نمایش باشند.
زمانی که شخصی به عنوان مسئول نگهداری و یا بررسی شواهد و مدارک دیجیتال
معرفی میشود، این شخص مسئول تمامی اعمالی است که بر روی این شواهد و مدارک
انجام میشود.
هر شرکت یا آژانسی که مسئولیت بدست آوردن، دسترسی، ذخیره سازی و انتقال
شواهد و مدارک دیجیتال را بر عهده دارد، بایستی موارد فوق را کاملا درک و
به آن عمل کند.
دستگاههای قانونی اصلی یا Major Legal Systems
دستگاههای قانونی متفاوتی در دنیا وجود دارد که هر کدام بر اساس قوانین
خاص خود جرائم را بررسی میکنند، این تفاوتهای میتواند در نوع حقوق متهم،
نقش قاضی، ذات مدارک و شواهد و بسیاری دیگر از مسائل و موارد قانونی باشد.
این دستگاههای قانونی مسائل را با روشهای خاص خود بررسی و پیگیری
میکنند، در زیر اسامی برخی از این نوع قوانین را مطرح میکنیم:
قوانین غیر نظامی: این نوع قوانین به قوانین ناپلئونی نیز معروف هستند.
این نوع قوانین در اروپا تدوین شدهاند و مورد استفاده قرار میگیرند، این
نوع قوانین طیف وسیعی از قوانین را شامل میشوند و بصورت تدوینی نوشته شده و
در دادگاهها مورد استفاده قرار میگیرند.
قوانین عمومی: این نوع از قوانین در انگلستان تدوین شد و در حال حاضر در
ایالات متحده آمریکا، کانادا، استرالیا و نیوزیلند استفاده میشود. در این
نوع قانون متهم تا زمانی که جرمش ثابت نشده است بیگناه است.
قوانین مرسوم: اینگونه قوانین معمولا با یک سیستم یا دستگاه قانونی دیگر
ترکیب میشوند. اینگونه قوانین بر پایه و اساس رسوم و شیوه اداره خاص یک
ملت تدوین میشوند.
قوانین اسلامی: اینگوه قوانین که در کشورهای اسلامی رواج دارد بر اساس
آیینها و دستورالعملهای تدوین شده است که در کتاب مقدس قرآن کریم آمده
است.
قوانین مدنی: در قوانین مدنی چیزی به نام زندان وجود ندارد. در اینگونه
دستگاههای قانونی مجرمین معمولا با جزاهای نقدی تعیین شده بر اساس قوانین
جریمه میشوند.
قوانین تبهکاران: قوانین تبهکاران برای تنبیه کردن کسانی به کار برده
میشود که از قوانین تبیین شده تبعیت نکردهاند. تنبیه در اینگونه قوانین
میتواند جزای نقدی یا حبس و یا هر دوی این موارد باشد.
قوانین مدیریتی: استانداردهای قوانین مدیریتی بر اساس اطلاعاتی که از
کارایی و ارزشهایی که به وسیله آژانسهای دولتی از طریق صنایع، سازمانها،
مراجع عالی رتبه و ماموران دریافت میشود وضع میشوند. اشخاص و
سازمانهایی که از این قوانین تخلف کنند، بر طبق قانون توسط جزای نقدی و یا
حبس تنبیه خواهند شد. اینگونه قوانین معمولا به سازمانهایی همچون تامین
اجتماعی، بیمهها و شرکتهای دارو سازی اعمال میشوند.
انواع شواهد و مدارک Evidence Types
بدست آوردن، کنترل کردن، ذخیره سازی و نگهداری شواهد و مدارک برای انجام
تحقیقات قانونی بسیار مهم و حیاتی است. شواهد و مدارک میتواند بصورت
کامپیوتری، شفاهی و یا مکتوب باشند. به دلیل اینکه شواهد و مدارک کامپیوتری
به راحتی قابل تغییر و دستکاری هستند، به هنگام انجام بررسیها و
بازرسیها بایستی تمهیدات نگهداری ویژهای برای آنها در نظر گرفته شود. هر
یک از انواع شواهد و مدارک برای ارائه شدن در دادگاه جرائم رایانهای
دارای سطح و کیفیت خاص خود هستند. شواهد و مدارکی که برای ارائه در دادگاه
جرائم رایانهای آماده میشوند بایستی از استانداردهای زیر پیروی کنند:
با موضوع مطابق و مربوط باشد
بصورت قانونی مجاز باشد
معتبر و قابل اعتماد باشد
قابل شناسایی باشد
بصورت مناسبی مستند سازی و نگهداری شده باشد
با توجه به اینکه شواهد و مدارک متوع و مختلفی در کامپیوتر وجود دارد، روشهای متنوع و مختلفی نیز برای دست آوردن شواهد و مدارک وجود دارد که همین روشها میتواند قانونی یا غیر قانونی نیز باشند و بر طبق این کسانی که در این مرحله قانون را زیر پا بگذارند تحت تعقیب قانونی قرار خواهند گرفت، استناد قانونی به شواهد و مدارک میتواند بر اساس معیارهایی که در زیر ذکر میشود تعیین شود:
مدارک و مستندات اولیه (بهترین و معتبرترین مدرک): بهترین و معتبرترین
مدرک در حقیقت آن سندی است که میتوان به آن بیشترین اعتماد را داشت و
بیشترین اتکا نیز در دادگاه بر این نوع مدرک استوار است. مستندات اصلی بدیت
آمده میتواند نمونهای از اینگونه مدارک باشند.
مدارک و مستندات ثانویه: اینگونه شواهد و مدارک به قدرت مدارک و مستندات
اولیه نیستند اما برای ارائه در دادگاه همچنان میتوان به آنها اتکا کرد.
یک کپی از مدرک به همراه محتویات به علاوه توضیحات شفاهی برای توجیح و
تشریح آن میتواند نمونهای از یک مدرک ثانویه باشد.
شنیدهها و شایعات: این نوع از مستندات و مدارک به دلیل اینکه اطلاعات دست
دوم و غیر قابل استناد محسوب میشوند در دادگاه قابل اثبات و ارائه نیستند.
برخی از رکوردهایی که در کامپیوتر وجود دارد و همچنین یادداشتهای تجاری
و امثال اینها میتواند نمونهای از شنیدهها و شایعات باشد.
شواهد و مستندات مستقیم: اینگونه مدارک معمولا بر طبق اظهارات و شواهدی است
که توسط حواس پنج گانه بدست میآید، شنیداری، بینایی…. معمولا برای اثبات
در دادگاه قابل استناد نیستند اما میتواند در حل موضوع کمک کنند.
بدام انداختن و تله گذاری: به دام انداختن روشی است که از طریق مجوز مراجع
قانونی وضعیتی مانند طعمه گذاری انجام میشود تا بتوان فعالیتهای موجود را
تجزیه و تحلیل و فعالیتهای مشکوک را بررسی کرد. پیاده سازی ساختار هانی
پات یا ظرف عسل میتواند بسیار در بررسی و تجزیه و تحیلی حملات هکری که بر
روی شبکه و سیستمهای شما و مطالعه بر روی هکرها کمک کند. تله گذاری به
این روش انجام میشود که برای شخصی که مظنون است طعمهای آماده میشود که
وی را تحریک به انجام عملیات غیر قانونی خود کند و در نتیجه شخص دستگیر و
مدارک بررسی میشود.
محاکمه یا Trial
معمولا دو نوع محاکمه انجام میشود، اولین محاکمه توسط قاضی دادگاه و دومین
محاکمه توسط هیئت منصفه یا اعضای هیئت ژوری انجام میشود. بیشتر اعضای
هیئت ژوری معمولا از اعضای مورد اعتماد و رسمی بومی همان منطقه جغرافیایی
دادگاه هستند. جرائم رایانهای برای تعقیب و پیگیری نسبت سایر جرائم بسیار
سختتر هستند، دلایل اصلی این امر پیشرفت همه روزه فناوریها و همچنین
کندی اعمال تغییرات در دستگاههای قانونی است. حتی زمانی که اینکار با
موفقیت انجام شود و جرم این افراد اثبات شود، روشی که با اینگونه افراد
برخورد میشود با سایر تبهکاران متفاوت است زیرا اینگونه جرائم به نوعی
جرائم به اصطلاح White Color یا سفید رنگ هستند و از اینگونه مجرمین
میتوان در جهت منافع سازمانها استفاده و بهره برداری کرد.
منبع :انجمن حرفهایهای فناوری اطلاعات ایران – محمد نصیری