Предположим, женщина, давайте назовем ее Бет, пропадет. Ее дочь-подросток вспоминает, что Бет вышла в тот вечер за покупками в последнюю минуту. Тогда тело Бет найдено. Ее закололи до смерти. Ее дочь меняет свою историю. Теперь она говорит, что ее парень сделал это. Он рассердился, что Бет идет между ними. Боясь его, дочь помогла ему очистить и скрыть тело.
Но когда его спрашивают, парень говорит, что это не то, что произошло. Это была идея девушки . Она рассердилась на мать, и она убедила его помочь ей в убийстве. Он не хотел вообще участвовать, но он предложил поддержку, пока дочь выполнила это. Они купили вещи вместе, необходимые для ужасного дела.
Он сказал, что она сказала. Как бы власти разобрались?
В наши дни вполне вероятно, что есть цифровая трассировка. Почти каждое преступление имеет такие доказательства. Тексты сотовых телефонов, данные GPS, сообщения Facebook или Twitter, электронные письма и компьютерный поиск могут помочь полиции в решении таких загадок. (В этом случае текстовые сообщения на мобильных телефонах показали, что девушка была вдохновителем, уговором и давлением парня, чтобы делать то, что она хотела.)
Итак, как можно обучить полицейских надлежащему обращению с цифровыми доказательствами? Как они узнают, как и где его искать? Сотовый телефон или компьютер могут показаться очевидными, но процесс защиты и обработки цифровых данных может быть сложным. Делайте это неправильно, и его часто нельзя отменить.
Майкл К. Робинсон написал книгу «Цифровая судебная экспертиза», чтобы помочь исследователям изучить приемы торговли. Он аналитик кибер-угроз и старший цифровой судебный эксперт для международной корпорации. Он также координирует программу из Магистра наук Университета Стивенсона в Cyber Forensics. Его книга предлагает практические упражнения, используя программы, которые в основном представляют собой программное обеспечение с открытым исходным кодом, загружаемое из Интернета.
Робинсон справедливо отмечает, что цифровая судебная экспертиза постоянно развивается. Это не та область, в которой полицейские могут наблюдать и ждать; они должны инициировать. Это означает, что они должны знать о цифровых доказательствах и инструментах для сбора и анализа. Как утверждает Робинсон, им нужен «основной набор компетенций». Его текст позволяет исследователям практиковать, чтобы узнать что-то новое или повысить свои навыки.
(Я мог бы также добавить, что писатели современных полицейских процессуальных или преступных триллеров будут интересоваться техникой, описаниями программного обеспечения и жаргоном, найденными в книге).
Темы упорядочены в логическом порядке, чтобы следовать шаблону, который напоминает судебное расследование. На его веб-сайте доступно более 60 практических упражнений, в которых используется 40 различных инструментов, таких как Autopsy, FTK Imager, RegRipper и Wireshark.
Во-первых, очевидно, что человек учится получать цифровые доказательства. Далее следует, как восстановить файлы ключевых данных, а также захват и анализ артефактов. Затем вы узнаете о сетевом трафике, памяти и мобильных устройствах. Однако пользователи могут работать с главами в любом порядке.
В каждой главе краткое описание ориентирует пользователей на конкретную предметную область. Например, упражнение по анализу файлов, восстановленных из части медиа, фокусируется на метаданных, тщательно объясняя концепцию и перечисляя наиболее типичный тип анализируемых метаданных. «Важно понимать, – пишет Робинсон, – что существует множество метаданных, которые генерируются разными источниками и хранятся в разных местах».
Он даже описывает случай, когда метаданные содержат геокоординаты, которые облегчали захват преступника. Некоторые метаданные более надежны, чем другие, но даже модифицированные метаданные имеют значение, говорит Робинсон.
У каждого вида деятельности есть цель, список необходимых инструментов и инструкции о том, как их найти, а также инструкции о том, как завершить упражнение и список результатов для быстрого сравнения и самопроверки.
Книга для систем на базе Windows предлагает ценную ориентацию на виды деятельности, которые можно найти в цифровой криминалистике. Мне интересно, потому что, когда я пишу о преступлении, это поможет мне понять проблемы, возникающие при обработке цифровых доказательств. Однако эта книга является ценным дополнением к набору инструментов любого исследователя, которому необходимо приобрести базовые навыки обработки цифровых данных.