Gerdab.IR | گرداب

پرونده/ آشنایی با پزشکی قانونی سایبری

پرونده/ آشنایی با پزشکی قانونی سایبری
تاریخ انتشار : ۰۶ تير ۱۴۰۱

اگر به طور تخصصی در حیطه‌ی نرم‌افزار و فناوری پژوهش نکرده باشید، احتمالا آگاهی چندانی ندارید از این که پزشکی قانونی سایبری چیست و شامل چه حوزه‌های متفاوتی می‌شود؛ اما پزشکی قانونی سایبری (cyber forensics) یکی از مهم‌ترین حیطه‌های مربوط به فضای مجازی است.

به گزارش گرداب، این رشته شامل به کار بردن تحقیقات و روش‌های تحلیلی برای جمع‌آوری و حفظ شواهد از یک دستگاه پردازشگر و یا فرایند دیجیتالی است؛ به‌گونه‌ای که این شواهد و مدارک قابل ارائه به یک دادگاه باشد. هدف پزشکی قانونی سایبری اجرای یک تحقیق ساختارمند و حفظ زنجیره‌ی شواهد و اسناد است به طوری که مشخص شود دقیقا در یک فرایند دیجیتالی چه اتفاقی افتاده است و چه کسی مقصر یک حادثه‌ی سایبری بوده است.

به بیان ساده‌تر، پزشکی قانونی سایبری به معنی تحقیق، گردآوری و تحلیل اطلاعات از یک دستگاه است که بتواند نحوه‌ی وقوع جرم را نشان دهد. یک جنبه‌ی بسیار مهم این تحقیقات ایجاد یک نسخه‌ی دیجیتال از هارد یا انبار اطلاعات دستگاه برای انجام تحلیل و بررسی بیشتر است به نحوی که در طی فرایند این انبار اطلاعات صدمه‌ای نبیند.

هدف این فرایند پیدا کردن بدافزار و تمایز ایجاد کردن میان این بدافزار و اجزای دیگر دستگاه مورد نظر است. با بررسی ورودی‌ها و خروجی‌های انبار اطلاعات، می‌شود به سادگی و به شکلی کارآمد پی برد که چه افرادی به دستگاه دسترسی داشته‌اند و تحت چه شرایطی به این دستگاه وارد شده‌اند. این اطلاعات می‌تواند به شکلی واضح و شفاف به ما نشان دهد که در یک زمان مشخص بر روی این دستگاه چه اتفاقی افتاده است. با گسترش روزافزون فناوری، پزشکی قانونی سایبری در جهان امروز جزئی مهم و اجتناب‌ناپذیر است.

اهمیت پزشکی قانونی سایبری
در سیستم قضایی مدنی و جنایی، پزشکی قانونی سایبری به حفظ و ارائه‌ی مدرک دیجیتال در دادگاه‌ها کمک می‌کند. در حالی که استفاده از رایانه‌ها و سایر ابزار‌های گردآوری داده روز به‌روز بیشتر می‌شود و جنبه‌های بیشتری از زندگی ما را در بر می‌گیرد، شواهد دیجیتال نیز بیشتر شده است و فرایند پزشکی قانونی سایبری برای گردآوری، حفظ و تحقیق بر روی این شواهد دیجیتال، اهمیت بیشتری یافته است. امروز پزشکی قانونی سایبری در حل جرائم سایبری و سایر مشکلات حقوقی دیگر نقش اصلی را به عهده دارد.
یک فرد معمولی هیچ‌گاه متوجه حجم اطلاعاتی که یک دستگاه دیجیتال ذخیره می‌کند، نمی‌شود. به‌طور مثال رایانه‌هایی که در خودرو‌ها تعبیه شده‌اند، به‌طور مداوم هنگامی که راننده ترمز می‌کند، تغییر جهت می‌دهد و یا سرعتش را تغییر می‌دهد، بدون اینکه راننده متوجه شود در حال اندازه‌گیری هستند. به هرحال احتمالا این اطلاعات می‌تواند در حل یک پرونده‌ی حقوقی بسیار کارآمد باشد و متخصصان پزشکی قانونی سایبری اغلب نقش مهمی در پیدا کردن و حفظ این اطلاعات به عهده دارند.

شواهد دیجیتال فقط در حل جنایت دیجیتالی مانند سرقت اطلاعات، نفوذ به شبکه‌ها و تراکنش‌های آنلاین غیرقانونی کاربرد ندارد. از شواهد دیجیتال حتی برای حل جرائم جهان واقعی مانند سرقت، تجاوز و قتل نیز می‌توان استفاده کرد.

کسب و کار‌ها اغلب از یک سیستم مدیریت داده‎های چند لایه و راهبرد‌های امنیت شبکه برای ایمن نگه داشتن اطلاعات استفاده می‌کنند. داشتن اطلاعاتی که به خوبی مدیریت شود و ایمن نگه داشته شود، می‌تواند در صورت لزوم به فرایند پزشکی قانونی سایبری کند.

کسب و کار‌ها همچنین از پزشکی قانونی سایبری برای ردیابی نقاط آسیب‌پذیر یک سامانه یا شبکه استفاده می‌کنند تا مانع از سوءاستفاده‌ی مجرمان سایبری از این نقاط آسیب‌پذیر شوند. آن‌ها همچنین ر صورت وقوع یک قطعی که توسط عوامل طبیعی یا حمله‌ی سایبری رخ داده باشد، از متخصصان پزشکی قانونی سایبری برای بازیابی شبکه استفاده می‌کنند.

انواع پزشکی قانونی سایبری
انواع مختلفی از بررسی‌های پزشکی قانونی سایبری وجود دارد. در هر دسته متخصصان به یک جنبه‌ی خاص از فناوری اطلاعات می‌پردازند. بعضی از این انواع اصلی شامل موارد زیر است:
-پزشکی قانونی پایگاه داده: بررسی اطلاعاتی که در پایگاه داده گنجانده شده است؛ اعم از داده‌ها و متاداده‌های مرتبط با آنها.
-پزشکی قانونی ایمیل: بازیابی و تحلیل ایمیل‌ها و سایر اطلاعاتی که در پلتفرم‌های ایمیل وجود دارد؛ مانند مخاطبان و تقویم و برنامه‌ها.
-پزشکی قانونی بدافزار: تحلیل کد‌ها برای مشخص شدن برنامه‌های مخرب احتمالی و تحلیل نحوه‌ی اجرای آنها. این برنامه‌های مخرب شامل، تروجان‌ها، باج‌افزار‌ها و انواع ویروس‌هاست.
-پزشکی قانونی حافظه: جمع‌آوری اطلاعات ذخیره شده بر رم (RAM) و یا حافظه‌ی موقت (cache) یک دستگاه.
-پزشکی قانونی موبایل: بررسی دستگاه‌های موبایل برای بازیابی و تحلیل اطلاعاتی شامل مخاطبان، پیام‌های ورودی و خروجی، تصاویر و فایل‌های ویدئویی.
-پزشکی قانونی شبکه: جستجو برای شواهد از طریق نظارت بر ترافیک شبکه، با استفاده از ابزار‌هایی مانند دیوار آتش (firewall) و یا سامانه‌ی تشخیص نفوذ.

پزشکی قانونی سایبری چگونه عمل می‌کند؟
متخصصان پزشکی قانونی سایبری معمولا فرایند‌های استاندارد را دنبال می‌کنند. این فرایند‌ها مبتنی است بر زمینه‌ای که این تحقیقات در آن رخ می‌دهد، دستگاهی که مورد تحقیق قرار گرفته است و یا اطلاعاتی که به دنبال آن هستند. به‌طور کلی این فرایند‌ها شامل سه مرحله است:

جمع‌آوری داده: اطلاعاتی که به شکل الکترونیکی ذخیره شده‌اند، باید به شیوه‌ای جمع‌آوری شود که ارزش آن‌ها حفظ شود. این فرایند اغلب از طریق قرنطینه کردن دستگاه مورد بررسی انجام می‌گیرد تا مطمئن شوند به‌طور تصادفی یا عامدانه اطلاعات آن دستکاری نمی‌شود. متخصصان یک کپی دیجیتال از آن دستگاه می‌گیرندکه «تصویر پزشکی قانونی سایبری» نیز خوانده می‌شود و در آن وضعیت انبار اطلاعات رسانه‌ای دستگاه گنجانده شده است. سپس دستگاه اصلی را در جای امنی قرار می‌دهند تا وضعیت اولیه‌ی خود را حفظ کند. این تحقیقات معمولا تنها بر روی نسخه‌ی دیجیتالی انجام می‌گیرد. در موارد دیگر، اطلاعاتی که به‌طور عمومی در دسترس باشد، ممکن است برای انجام تحقیقات مورد استفاده قرار بگیرد؛ اطلاعاتی مانند مطالب فیسبوک و سایر شبکه‌های اجتماعی پیرامون خریداری سرویس‌ها و محصولات به شکل غیرقانونی.
- تحلیل: متخصصان در شرایطی استریل به تحلیل اطلاعات این نسخه‌های دیجیتال از شواهد می‌پردازند تا برای یک پرونده، اطلاعاتی به دست آورند. ابزار‌های مختلفی برای کمک به این فرایند وجود دارد؛ از جمله فناوری کالبدشکافی بیسیس (Basis) برای تحقیقات هارد درایو و وایرشارک (Wireshark) تحلیل‌گر پروتکل شبکه.
- ارائه: محققان پزشکی قانونی سایبری در نهایت باید بتوانند یافته‌ها نتایج تحلیل‌های خود را به گونه‌ای منظم و حساب‌شده در یک فرایند حقوقی عرضه کنند. به‌طور مثال، در یک دادگاه قاضی یا هیئت منصفه از این یافته‌ها برای مشخص شدن نتیجه‌ی پرونده‌ی حقوقی استفاده می‌کنند. در یک پرونده‌ی بازیابی اطلاعات، محققان پزشکی قانونی سایبری آنچه را که توانسته‌اند از یک سیستم بازیابی کنند، عرضه می‌کنند.
در تحقیقات پزشکی قانونی سایبری اغلب از روش‌های متفاوتی برای تایید نتایج به دست آمده استفاده می‌شود.

روش‌های مورد استفاده در پزشکی قانونی سایبری
متخصصان پزشکی قانونی سایبری از انواعی از روش‌ها و برنامه‌ها برای بررسی و ارزیابی نسخه‌ی دیجیتالی که از دستگاه مورد بررسی به دست آورده‌اند، استفاده می‌کنند. آن‌ها در پوشه‌های مخفی و فضای بی‌استفاده‌ی دیسک برای نسخه‌ای از فایل‌های آسیب‌دیده، رمزگذاری‌شده و یا حذف‌شده به جستجو می‌پردازند. هر شواهدی که بر روی نسخه‌ی دیجیتالی پیدا کنند، به شکل دقیقی در یک گزارش یافته‌ها مستند می‌شود و با دستگاه اصلی تایید می‌شود تا برای فرایند حقوقی قابل ارائه باشد.
متخصصان پزشکی قانونی سایبری از شیوه‌ها و روش‌‎های متفاوتی استفاده می‌کنند. تعدادی از این شیوه‌ها عبارت‌اند از:
- پنهان‌نگاری معکوس: پنهان‌نگاری (Steganography) یک تاکتیک رایج برای پنهان کردن داده‌های هر نوع فایل و پیام دیجیتال است. متخصصان پزشکی قانونی سایبری این فرایند پنهان‌نگاری را از طریق تحلیل هش داده‌هایی که در این فایل‌ها همچنان موجود است، معکوس می‌کنند. اگر یک مجرم سایبری، اطلاعات مهمی را در یک تصویر یا هر فایل دیجیتال دیگر پنهان کرده باشد، برای فرد غیرمتخصص این تصویر بیانگر چیزی نخواهد بود؛ اما هش زیربنایی یا زنجیره‌ی داده‌ای که نمایانگر این تصویر است، تغییر خواهد کرد.
- پزشکی قانونی استوکاستیک: در این روش، محققان فعالیت دیجیتال را بدون استفاده از مصنوعات دیجیتال تحلیل و بازسازی می‌کنند. مصنوعات دیجیتال تغییرات غیرعامدانه‌ی داده‌هایی هستند که در فرایند‌های دیجیتال شکل می‌گیرند. این مصنوعات شامل سرنخ‌هایی به جرائم سایبری هستند؛ مانند تغییراتی در خصیصه‌های یک فایل در طول سرقت داده. پزشکی قانونی استوکاستیک اغلب برای تحقیقات نفوذ به داده‌ها استفاده می‌شود در شرایطی که هکر یک فرد داخلی شبکه شناخته می‌شود و ممکن است مصنوعات دیجیتالی به جا نگذارد.
- تحلیل میان درایو: این تکنیک، اطلاعاتی را که از درایو‌های رایانه‌ای متفاوت یافته شده‌اند، باهم مرتبط و میان آن‌ها پیوند ایجاد می‌کند تا بتوان اطلاعات مرتبط با یک تحقیقات را جستجو، تحلیل و نگهداری کرد. رویداد‌هایی که باعث ایجاد شک شده‌اند با اطلاعات سایر درایو‌ها مقایسه می‌شوند تا شباهت‌ها و تفاوت‌های آن‌ها به دست بیاید. این فرایند همچنین با نام «تشخیص ناهنجاری» نیز شناخته می‌شود.
تحلیل زنده: در این تکنیک، رایانه‌ای از داخل سیستم‌عاملش با ابزار‌های سیستم‌عامل تحلیل می‌شود؛ در حالی که خود رایانه یا دستگاه در حال اجراست. این تحلیل به دنبال داده‌های بی‌ثبات می‌گردد که اغلب بر روی حافظه موقت یا رم نگهداری شده‌اند. بسیاری از ابزار‌ها برای استخراج داده‌های بی‌ثبات، نیاز دارند که رایانه در یک آزمایشگاه پزشکی قانونی سایبری باشد.
- بازیابی فایل‌های حذف‌شده: این تکنیک شامل جستجو در سیستم عامل یک رایانه و حافظه‌ی آن برای پیدا کردن قطعات فایل‌هایی است که قسمتی از آن‌ها حذف شده‌است، اما اثراتی از آن‌ها در جایی دیگر بر روی دستگاه باقی مانده است.

نمونه‌های استفاده از پزشکی قانونی سایبری در پرونده‌های حقوقی
همان طور که گفته شد، یافته‌های پزشکی قانونی سایبری یا مدارک دیجیتال می‌تواند توسط نهاد‌های قانونی مورد استفاده قرار بگیرد. قوانین مدنی و جزایی اکثر کشور‌ها استفاده از این مدارک دیجیتال را به ساختار حقوقی خود اضافه کرده‌اند. در ادامه چند نمونه از پرونده‌های برجسته را که در آن‌ها از مدارک دیجیتال برای تشخیص جرم استفاده شده است، ذکر می‌کنیم:
- سرقت اسناد تجاری مخفی اپل:
مهندسی با نام ژائولانگ ژانگ در بخش تولید خودروی خودران اپل، پس از اعلام بازنشستگی، گفت که به چین برمی‌گردد تا از مادر سالخورده‌ی خود مواظبت کند. او به مدیر خود گفته بود که برنامه دارد تا در یک تولیدکننده‌ی خودروی برقی در چین کار کند که این مسئله باعث ایجاد سوءظن شد. بنا بر گزارش اداره‌ی تحقیقات فدرال آمریکا، گروه حفاظت اپل فعالیت‌های ژانگ را بر روی شبکه‌ی این شرکت بررسی کردند و متوجه شدند که چند روز قبل از استعفای او، تعدادی اسناد مخفی تجاری از پایگاه داده‌ی محرمانه‌ی این شرکت که او به آن دسترسی داشته است، دانلود شده است. او در سال ۲۰۱۸ از سوی اف‌بی‌آی متهم شناخته شد.
- شرکت انرون
شرکت انرون یکی از شرکت‌های بزرگ آمریکایی در حوزه‌ی انرژی است که پیش از ورشکستگی در سال ۲۰۰۱، به غلط گزارش داد که میلیارد‌ها دلار سود داشته است و این مساله باعث خسارت مالی شدید به بسیاری از کارمندان و افرادی شد که بر روی این شرکت سرمایه‌گذاری کردند. تحلیلگران پزشکی قانونی سایبری، حجم وسیعی از اطلاعات این شرکت را بررسی کردند تا از نقشه‌ی کلاه‌برداری پیچیده‌ی آن‌ها با خبر شوند. این کلاه‌برداری بسیار در تدوین قانون‌های بعدی در این زمینه نقش داشت و الزامات قانونی جدیدی برای شرکت‌های عمومی وضع کرد.  
- سرقت اسناد تجاری گوگل:

آنتونی اسکات لواندوسکی، مدیر سابق اوبر و گوگل در سال ۲۰۱۹ متهم شد که ۳۳ سند تجاری را به سرقت برده است. از سال ۲۰۰۹ تا ۲۰۱۶ لواندوسکی در گوگل بر روی برنامه خودروی خودران فعالیت می‌کرد که در آنجا هزاران فایل مرتبط با این برنامه را از یک سرور شرکتی رمزگذاری‌شده دانلود کرد. او سپس از گوگل خارج شد و شرکت اوتو (Otto) در زمینه وانت خودران را ایجاد کرد که در سال ۲۰۱۶ اوبر این شرکت را خریداری کرد. لواندوسکی از سوی دادگاه به خاطر سرقت اسناد تجاری متهم شناخته شد و محکوم به ۱۸ ماه حبس در زندان و جریمه‌ی ۸۵۱ هزار دلاری شد. او در ژانویه‌ی ۲۰۲۱ با عفو ریاست‌جمهوری آزاد شد.

شناسایی قاتل:
لری توماس در یک حادثه‌ی جنایی ریتو یاماس-خوارز را در سال ۲۰۱۶ به قتل رساند و در نهایت با کمک صد‌ها مطلب فیسبوکی که او با نام مستعار گذاشته بود، محکوم شد. یکی از پست‌ها شامل تصویر او با دستبندی بود که در صحنه‌ی جرم یافته شده بود.

- مرگ مایکل جکسون
محققان پزشکی قانونی سایبری با استفاده از داده‌ها و اسناد پزشکی موبایل پزشک مایکل جکسون، ثابت کردند که این پزشک دوز مرگ‌آوری از دارو‌ها را برای جکسون تجویز کرده است.
- مادر گناهکار:
میکایلا مان، نوزاد خود را به قتل رسانده بود. محققان با استفاده از جستجو‌های گوگل بر روی رایانه‌اش که شامل «سقط در خانه» بود، توانستند به اثبات جرم او کمک کنند.

فرصت‌های شغلی و مدارک پزشکی قانونی سایبری:
پزشکی قانونی سایبری تبدیل به حوزه‌ی تخصصی علمی خاص خود شده است و دارای مدارک و دوره‌های آموزشی متعدد است. در کشور‌های غربی میانگین درآمد یک تحلیلگر پزشکی قانونی سایبری در سال ۶۵ هزار دلار است. نمونه‌هایی از فرصت‌های شغلی پزشکی قانونی سایبری عبارتند از:
- مهندس پزشکی قانونی سایبری: این افراد متخصصانی هستند که با جمع‌آوری اطلاعات از رایانه و فرایند‌های تحلیل سروکار دارند. آن‌ها کمک می‌کنند که مشخص شود یک دستگاه چگونه از کار افتاده است.
- حسابدار پزشکی قانونی سایبری: این افراد با جرائمی سروکار دارند که شامل پولشویی یا سایر انواع تراکنش‌ها که با هدف سرپوش گذاشتن بر فعالیت غیرقانونی است.
- تحلیلگر امنیت سایبری: این افراد وظیفه‌ی تحلیل داده را هنگامی که استخراج شده است به عهده دارند و تحلیل‌های آن‌ها بعد‌ها برای بهبود راهبرد امنیت سایبری یک سازمان می‌تواند مورد استفاده قرار گیرد.

مدرک لیسانس و گاهی اوقات کارشناسی ارشد در علوم رایانه‌ای، امنیت سایبری و یا حوزه‌های مرتبط برای متخصصان پزشکی قانونی سایبری ضروری است. در ادامه تعدادی مدارک بین‌المللی ذکر می‌شود که افراد می‌توانند برای ورود به این حوزه از طریق آن‌ها به تحصیل بپردازند:
- مدرک تحلیلگر «پزشکی قانونی سایبری امنیت سایبری» موسسه‌ی سایبر سکیوریتی (CyberSecurity): این مدرک برای متخصصان امنیتی با سابقه‌ی کار بیش از دو سال طراحی شده است. آزمایش‌ها و موارد آموزشی بر اساس پرونده‌های واقعی طراحی شده است.
- مدرک «ارزیابی پزشکی قانونی رایانه‌ای» از اتحادیه‌ی بین‌المللی متخصان تحقیقات رایانه‌ای: این برنامه بر روی تأیید مهارت‌های ضروری برای این که کسب‌وکار‌ها از خط مشی پزشکی قانونی سایبری پیروی می‌کنند، طراحی شده است.
- بازرس پزشکی قانونی هک رایانه‌ای در شورای ای‌سی: ای‌سی (EC-Council) شورای بین‌المللی مشاوران تجارت الکترونیکی سازمانی آمریکایی است که در زمینه‌ی مهارت‌های مختلف امنیت سایبری، گواهینامه، آموزش و خدمات امنیت سایبری را ارائه می‌دهد. در این دوره‌ی آموزشی توانایی‌های فرد برای تشخیص نفوذ و جمع‌آوری اطلاعات تقویت می‌شود تا بتواند در دادگاه مورد استفاده قرار بگیرد. این دوره‌ی آموزشی شامل جستجو و ذخیره‌ی سامانه‌های اطلاعاتی، استفاده از شواهد دیجیتالی و سایر مهارت‌های پزشکی قانونی سایبری نیز هست.
- انجمن بین‌المللی متخصصان پزشکی قانونی سایبری (ISFCE): این انجمن نیز مدرکی برای متخصص مورد تآیید ارائه می‌کند که نیاز به تمرین‌های ویژه دارد. فرد برای شرکت در این دوره باید دستورالعمل‌های اخلاقی و رفتاری این نهاد را نیز امضا کند.