متدولوژی کشف جرائم رایانه‌ای

متدولوژی کشف جرائم رایانه‌ای

متدولوژی کشف جرائم رایانه‌ای یا Computer Crime Investigation

(توجه: این مقاله با ذکر منبع و رعایت کپی رایت آورده شده است.)

کشف جرائم رایانه‌ای یک متدولوژی کاملا تعریف شده و واضح برای حفظ و نگهداری، شناسایی، بازگردانی و مستند سازی داده‌های الکترونیکی و کامپیوتری است. کشف جرائم رایانه‌ای به تازگی بصورت حقوقی در مجامع قانونی مطرح شده است و اولین باری که علم اینگونه کشف جرم مطرح شده و بکارگیری شد در دهه ۱۹۸۰ میلادی بود. پیشرفت این علم کاملا منطبق و وابسته به پیشرفت صنایع الکترونیک و کامپیو‌تر است.

آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات): کامپیوتر‌ها یکی از مواردی هستند که بیشترین هدف برای انجام آزمایشهای کشف جرم هستند اما تجزیه و تحلیل‌های مربوط به کشف جرائم صرفا به کامپیوتر‌ها ختم نمی‌شود. گوشی‌های تلفن همراه، PDA‌ها، دوربین‌های عکاسی و پیجر‌ها و هر چیزی که مربوط به تجهیرات الکترونیکی باشد می‌تواند مورد تجزیه و تحلیل قرار بگیرد. حملات هکری انجام شده و سوء استفاده کارکنان از کامپیوتر‌ها نیز به نیاز‌های سازمان مبنی بر آزمایش تجهیزات الکترونیکی اضافه شده است. شیوه نامناسب اداره کردن نقاط مهم یک سازمان می‌تواند میلیون‌ها تومان برای سازمان هزینه در بر داشته باشد. شرکت‌ها و سازمان‌ها باید این تجهیزات و داده‌ها را به خوبی نگهداری کنند. به دلیل اینکه اطلاعات الکترونیکی به راحتی قابل تغییر هستند، آزمون کشف جرم معمولا به سه مرحله تقسیم می‌شود:

پیدا کردن و ذخیره سازی: معمولا در اولین مرحله از این آزمون شما بایستی تا می‌توانید اطلاعات جمع آوری کنید. معمولا به این فرآیند bit level copy نیز گفته می‌شود. Bit Level Copy به این معناست که از هر اطلاعاتی که در حال حاضر به عنوان اطلاعات اصلی موجود است یک کپی گرفته شود بطوریکه کسانی که مشغول آزمایش اطلاعات و داده‌های موجود جهت بررسی اسناد جرم هستند بتوانند با خیال راحت یک کپی برای انجام بررسی‌ها از داده‌ها برداشته و بر روی آن آزمایش‌های خود را انجام دهند. این عمل باعث می‌شود اطلاعات و داده‌های اصلی بدون تغییر و قابل استناد باقی بمانند.

سندیت و تصدیق: این فرآیند به کار‌شناس جرم این امکان را می‌دهد که ثابت کند اطلاعاتی که بر روی آن‌ها بررسی‌ها و کار‌شناسی‌ها انجام شده است صحیح و درست و بدون تغییر هستند و می‌توان به عنوان سند جرم از آن‌ها استفاده کرد. اینکار بصورت عمده به وسیله استفاده از الگوریتم‌های Hash و دریافت Hash هر یک از اطلاعات موجود در قسمت اول توسط الگوریتم‌های Hashing مانند MD5 و یا SHA انجام می‌شود. الگوریتم‌های Hashing مانند MD5 و SHA توانایی این را دارند که صحت اطلاعات را تایید کنند و ثابت کنند که اطلاعات در بین راه دستکاری و تغییر نکرده است و به همین دلیل نیز قابل استناد هستند.

تجزیه و تحلیل: کار‌شناس جرائم رایانه‌ای بایستی بسیار با دقت اطلاعات و داده‌های موجود را تجزیه و تحلیل و آزمایش کند و مراحل کار را بصورت کامل مستند سازی کند. معمولا یک کار‌شناس جرائم رایانه‌ای با استفاده از بازگردانی اطلاعات از فضای پرت درایو‌ها، فضای پرت فایل‌ها، فایل‌های مخفی، اطلاعات جابجا شده، کش اینترنت و سایر فضاهای کامپیو‌تر مانند سطل زباله داده‌ها و اطلاعات مورد نیاز خود را تامین می‌کند. تمامی این اطلاعات طبق مراحل ذکر شده در مرحله دوم بوسیله الگوریتم‌ها و روش‌های ذکر شده کپی برداری می‌شوند و اطلاعات اصلی در یک جا بدون تغییر باقی می‌ماند.

بررسی مدارک و شواهد یا Handling Evidence
در فرآیند کشف جرائم رایانه‌ای بررسی شواهد و مدارک مهم‌ترین قسمت فرآیند محسوب می‌شود. این فرآیند توسط روشی به نام Chain Of Custody انجام می‌شود. Chain Of Custody در حقیقت خود یک فرآیند است که به وسیله آن کلیه آزمایش‌هایی که بر روی مستندات و مدارک و شواهد موجود انجام می‌شود بصورت کامل مستند سازی شده و در هر بار دسترسی به این شواهد و مدارک از این دسترسی و بررسی‌های log برداری می‌شود به گونه‌ای که این بررسی‌ها برای ارائه در دادگاه جرائم رایانه‌ای قابل استناد باشد. یک Chain Of Custody کامل شامل گزارشی است که در آن دقیقا به دستورالعمل‌ها و فعالیت‌هایی که بر روی مدارک و شواهد و اسناد موجود انجام شده است اشاره شده است. همیشه به خاطر داشته باشید که تغییرات و بررسی‌ها بر روی یک کپی از اطلاعات اصلی انجام می‌شود و اطلاعات اصلی بدون تغییر در مکانی امن نگهداری می‌شوند.

آزمایش مدارک و شواهد یا Trace Evidence
یا قانون همیشگی برای انجام آزمایش مدارک و شواهد وجود دارد، هرگاه دو شیء به همدیگر تماس داشته باشند، قطعا انتقال صورت خواهد گرفت. نتیجه آزمایش این مدارک و شواهد و انتقال اطلاعاتی که انجام شده است برای تعیین مکان، اشیاء و اشخاصی که در این جرم نقش داشته‌اند موثر است. همیشه به خاطر داشته باشید که هر اندازه هم که مجرم دانش داشته باشد در ‌‌نهایت قطعا اثری از خود باقی خواهد گذاشت. هرچند که مجرمین معمولا آثاری را که از جرمشان باقی مانده است را حذف و حتی کش‌های موجود را پاک می‌کنند اما همیشه و همیشه نقطه‌ای برای انجام آزمایش‌ها باقی می‌ماند هر چند که این نکته بسیار ریز باشد.

پاک کردن درایو یا Drive Wiping
پاک کردن درایو یا Disk Wiping فرآیندی است که بر روی تمامی مکانهای قابل آدرس دهی دیسک‌ها اطلاعات را بازنویسی می‌کنیم. استاندارد پاک کردن درایو یا Drive Wiping وزارت دفاع ایالات متحده به شماره #۵۲۲۲۰-۲۲M اینطور اعلام می‌کند: برای پاک کردن درایو‌ها بایستی کلیه مکان‌های قابل آدرسی دهی ابتدا یکبار با یک کاراکتر آدرس دهی شوند، سپس مکمل آن کاراکتر بایستی مجددا در‌‌ همان مکان آدرس دهی شود و در ‌‌نهایت یک کاراکتر تصادفی در آن آدرس قرار گرفته و مجددا آزمایش شود. با استفاده از بازنویسی چند باره اطلاعات بر روی رسانه‌های اطلاعاتی یک سازمان می‌تواند احتمال بازگردانی اطلاعات را تا حد زیادی کاهش دهد. همیشه سازمان‌های مختلف در خصوص از بین بردن اطلاعات موجود بر روی رسانه‌های دخیره سازی دچار مشکل بوده‌اند و این نگرانی که ممکن است اطلاعات از روی اینگونه رسانه‌های بازیابی شود همیشه دغدغه اصلی سازمان‌ها بوده است. استفاده از روش‌های پاکسازی درایو با استفاده از روشی که ذکر شد یکی از روش‌هایی است که سازمان‌ها از آن استفاده می‌کنند اما توجه داشته باشید که همین روش نیز می‌تواند ابزاری برای استفاده مجرمین برای از بین بردن آثار جرمشان یا به اصطلاح Covering Tracks باشد.

استاندارد سازی دستورالعمل‌های کشف جرائم رایانه‌ای
در مارچ ۱۹۹۸ سازمان بین المللی مدارک و شواهد رایانه‌ای (IOCE) تصمیم به ایجاد یک فرآیند و دستورالعمل استاندارد مرتبط با شواهد و مدارک دیجیتال گرفت. قبل از این زمان هر کشور برای خود روش و راهکاری متفاوت برای کشف و مستند سازی جرائم رایانه‌ای در اختیار داشت که شاید در دادگا‌های جرائم رایانه‌ای کشور‌ها و یا حتی شهر‌های مختلف آن کشور نیز قابل استناد نبودند. هدف این سازمان یکپارچه سازی روش‌ها و تمریناتی بود که ملل مختلف برای کشف و مدیریت شواهد و جرائم رایانه‌ای انجام می‌دادند، بطوریکه این مدارک را بتوان در دادگاه‌های مختلف دنیا نیز ارائه و از آن‌ها دفاع کرد. سازمان بین المللی مدارک و شواهد رایانه‌ای (www. ioce. org) شش اصل را برای دستیابی به این هدف و استاندارد تدوین و ارائه کرد که شرح ذیل می‌باشند:

زمانی که با شواهد و مدارک دیجیتال روبرو هستید، تمامی مراحل استاندارد و تایید شده در خصوص کشف جرائم رایانه‌ای بایستی اعمال شود.
به هنگام به دست آوردن اطلاعات و شواهد دیجیتال، عمل انجام شده به هیچ عنوان نبایستی اطلاعات دیجیتال اصلی را تحت تاثیر قرار دهد و اطلاعات اصلی بایستی دست نخورده باقی بمانند.
زمانی که قرار است شخصی به اطلاعات و شواهد و مدارک دیجیتال اصلی دسترسی پیدا کند، این شخص بایستی آموزش‌های لازم را دیده باشد، ضمن اینکه به مورد دوم نیز حتما توجه کند.
تمامی فعالیت‌های مربوط به بررسی شواهد و مدارک دیجیتال اعم از به دست آوردن، دسترسی، ذخیره سازی و انتقال بایستی بصورت تمام و کمال و در یک قالب استاندارد مستند سازی و نگهداری شوند به شکلی که در هر زمان که مورد نیاز بود قابل دسترس و نمایش باشند.
زمانی که شخصی به عنوان مسئول نگهداری و یا بررسی شواهد و مدارک دیجیتال معرفی می‌شود، این شخص مسئول تمامی اعمالی است که بر روی این شواهد و مدارک انجام می‌شود.
هر شرکت یا آژانسی که مسئولیت بدست آوردن، دسترسی، ذخیره سازی و انتقال شواهد و مدارک دیجیتال را بر عهده دارد، بایستی موارد فوق را کاملا درک و به آن عمل کند.

دستگاه‌های قانونی اصلی یا Major Legal Systems
دستگاه‌های قانونی متفاوتی در دنیا وجود دارد که هر کدام بر اساس قوانین خاص خود جرائم را بررسی می‌کنند، این تفاوت‌های می‌تواند در نوع حقوق متهم، نقش قاضی، ذات مدارک و شواهد و بسیاری دیگر از مسائل و موارد قانونی باشد. این دستگاه‌های قانونی مسائل را با روش‌های خاص خود بررسی و پیگیری می‌کنند، در زیر اسامی برخی از این نوع قوانین را مطرح می‌کنیم:

قوانین غیر نظامی: این نوع قوانین به قوانین ناپلئونی نیز معروف هستند. این نوع قوانین در اروپا تدوین شده‌اند و مورد استفاده قرار می‌گیرند، این نوع قوانین طیف وسیعی از قوانین را شامل می‌شوند و بصورت تدوینی نوشته شده و در دادگاه‌ها مورد استفاده قرار می‌گیرند.
قوانین عمومی: این نوع از قوانین در انگلستان تدوین شد و در حال حاضر در ایالات متحده آمریکا، کانادا، استرالیا و نیوزیلند استفاده می‌شود. در این نوع قانون متهم تا زمانی که جرمش ثابت نشده است بی‌گناه است.
قوانین مرسوم: اینگونه قوانین معمولا با یک سیستم یا دستگاه قانونی دیگر ترکیب می‌شوند. اینگونه قوانین بر پایه و اساس رسوم و شیوه اداره خاص یک ملت تدوین می‌شوند.
قوانین اسلامی: اینگوه قوانین که در کشورهای اسلامی رواج دارد بر اساس آیین‌ها و دستورالعمل‌های تدوین شده است که در کتاب مقدس قرآن کریم آمده است.
قوانین مدنی: در قوانین مدنی چیزی به نام زندان وجود ندارد. در اینگونه دستگاه‌های قانونی مجرمین معمولا با جزاهای نقدی تعیین شده بر اساس قوانین جریمه می‌شوند.
قوانین تبهکاران: قوانین تبهکاران برای تنبیه کردن کسانی به کار برده می‌شود که از قوانین تبیین شده تبعیت نکرده‌اند. تنبیه در اینگونه قوانین می‌تواند جزای نقدی یا حبس و یا هر دوی این موارد باشد.
قوانین مدیریتی: استانداردهای قوانین مدیریتی بر اساس اطلاعاتی که از کارایی و ارزش‌هایی که به وسیله آژانس‌های دولتی از طریق صنایع، سازمان‌ها، مراجع عالی رتبه و ماموران دریافت می‌شود وضع می‌شوند. اشخاص و سازمان‌هایی که از این قوانین تخلف کنند، بر طبق قانون توسط جزای نقدی و یا حبس تنبیه خواهند شد. اینگونه قوانین معمولا به سازمان‌هایی همچون تامین اجتماعی، بیمه‌ها و شرکت‌های دارو سازی اعمال می‌شوند.

انواع شواهد و مدارک Evidence Types
بدست آوردن، کنترل کردن، ذخیره سازی و نگهداری شواهد و مدارک برای انجام تحقیقات قانونی بسیار مهم و حیاتی است. شواهد و مدارک می‌تواند بصورت کامپیوتری، شفاهی و یا مکتوب باشند. به دلیل اینکه شواهد و مدارک کامپیوتری به راحتی قابل تغییر و دستکاری هستند، به هنگام انجام بررسی‌ها و بازرسی‌ها بایستی تمهیدات نگهداری ویژه‌ای برای آن‌ها در نظر گرفته شود. هر یک از انواع شواهد و مدارک برای ارائه شدن در دادگاه جرائم رایانه‌ای دارای سطح و کیفیت خاص خود هستند. شواهد و مدارکی که برای ارائه در دادگاه جرائم رایانه‌ای آماده می‌شوند بایستی از استانداردهای زیر پیروی کنند:

با موضوع مطابق و مربوط باشد
بصورت قانونی مجاز باشد
معتبر و قابل اعتماد باشد
قابل شناسایی باشد
بصورت مناسبی مستند سازی و نگهداری شده باشد

با توجه به اینکه شواهد و مدارک متوع و مختلفی در کامپیو‌تر وجود دارد، روش‌های متنوع و مختلفی نیز برای دست آوردن شواهد و مدارک وجود دارد که همین روش‌ها می‌تواند قانونی یا غیر قانونی نیز باشند و بر طبق این کسانی که در این مرحله قانون را زیر پا بگذارند تحت تعقیب قانونی قرار خواهند گرفت، استناد قانونی به شواهد و مدارک می‌تواند بر اساس معیارهایی که در زیر ذکر می‌شود تعیین شود:

مدارک و مستندات اولیه (بهترین و معتبر‌ترین مدرک): بهترین و معتبر‌ترین مدرک در حقیقت آن سندی است که می‌توان به آن بیشترین اعتماد را داشت و بیشترین اتکا نیز در دادگاه بر این نوع مدرک استوار است. مستندات اصلی بدیت آمده می‌تواند نمونه‌ای از اینگونه مدارک باشند.
مدارک و مستندات ثانویه: اینگونه شواهد و مدارک به قدرت مدارک و مستندات اولیه نیستند اما برای ارائه در دادگاه همچنان می‌توان به آن‌ها اتکا کرد. یک کپی از مدرک به همراه محتویات به علاوه توضیحات شفاهی برای توجیح و تشریح آن می‌تواند نمونه‌ای از یک مدرک ثانویه باشد.
شنیده‌ها و شایعات: این نوع از مستندات و مدارک به دلیل اینکه اطلاعات دست دوم و غیر قابل استناد محسوب می‌شوند در دادگاه قابل اثبات و ارائه نیستند. برخی از رکورد‌هایی که در کامپیو‌تر وجود دارد و همچنین یادداشت‌های تجاری و امثال این‌ها می‌تواند نمونه‌ای از شنیده‌ها و شایعات باشد.
شواهد و مستندات مستقیم: اینگونه مدارک معمولا بر طبق اظهارات و شواهدی است که توسط حواس پنج گانه بدست می‌آید، شنیداری، بینایی…. معمولا برای اثبات در دادگاه قابل استناد نیستند اما می‌تواند در حل موضوع کمک کنند.
بدام انداختن و تله گذاری: به دام انداختن روشی است که از طریق مجوز مراجع قانونی وضعیتی مانند طعمه گذاری انجام می‌شود تا بتوان فعالیت‌های موجود را تجزیه و تحلیل و فعالیت‌های مشکوک را بررسی کرد. پیاده سازی ساختار هانی پات یا ظرف عسل می‌تواند بسیار در بررسی و تجزیه و تحیلی حملات هکری که بر روی شبکه و سیستم‌های شما و مطالعه بر روی هکر‌ها کمک کند. تله گذاری به این روش انجام می‌شود که برای شخصی که مظنون است طعمه‌ای آماده می‌شود که وی را تحریک به انجام عملیات غیر قانونی خود کند و در نتیجه شخص دستگیر و مدارک بررسی می‌شود.

محاکمه یا Trial
معمولا دو نوع محاکمه انجام می‌شود، اولین محاکمه توسط قاضی دادگاه و دومین محاکمه توسط هیئت منصفه یا اعضای هیئت ژوری انجام می‌شود. بیشتر اعضای هیئت ژوری معمولا از اعضای مورد اعتماد و رسمی بومی‌‌ همان منطقه جغرافیایی دادگاه هستند. جرائم رایانه‌ای برای تعقیب و پیگیری نسبت سایر جرائم بسیار سخت‌تر هستند، دلایل اصلی این امر پیشرفت همه روزه فناوری‌ها و همچنین کندی اعمال تغییرات در دستگاه‌های قانونی است. حتی زمانی که اینکار با موفقیت انجام شود و جرم این افراد اثبات شود، روشی که با اینگونه افراد برخورد می‌شود با سایر تبهکاران متفاوت است زیرا اینگونه جرائم به نوعی جرائم به اصطلاح White Color یا سفید رنگ هستند و از اینگونه مجرمین می‌توان در جهت منافع سازمان‌ها استفاده و بهره برداری کرد.

منبع :انجمن حرفه‌ای‌های فناوری اطلاعات ایران – محمد نصیری