پرونده/ آشنایی با جرم‌شناسی دیجیتال

پرونده/ آشنایی با جرم‌شناسی دیجیتال
تاریخ انتشار : ۰۶ تير ۱۴۰۱

اگر به طور تخصصی در حیطه‌ی نرم‌افزار و فناوری پژوهش نکرده باشید، احتمالا آگاهی چندانی ندارید از این که جرم‌شناسی دیجیتال چیست و شامل چه حوزه‌های متفاوتی می‌شود؛ اما جرم‌شناسی دیجیتال (Digital forensics) یکی از مهم‌ترین حیطه‌های مربوط به فضای مجازی است.

به گزارش گرداب، این رشته شامل به کار بردن تحقیقات و روش‌های تحلیلی برای جمع‌آوری و حفظ شواهد از یک دستگاه پردازشگر و یا فرایند دیجیتالی است؛ به‌گونه‌ای که این شواهد و مدارک قابل ارائه به یک دادگاه باشد. هدف جرم‌شناسی دیجیتال اجرای یک تحقیق ساختارمند و حفظ زنجیره‌ی شواهد و اسناد است به طوری که مشخص شود دقیقا در یک فرایند دیجیتالی چه اتفاقی افتاده است و چه کسی مقصر یک حادثه‌ی سایبری بوده است.

به بیان ساده‌تر، جرم‌شناسی دیجیتال به معنی تحقیق، گردآوری و تحلیل اطلاعات از یک دستگاه است که بتواند نحوه‌ی وقوع جرم را نشان دهد. یک جنبه‌ی بسیار مهم این تحقیقات ایجاد یک نسخه‌ی دیجیتال از هارد یا انبار اطلاعات دستگاه برای انجام تحلیل و بررسی بیشتر است به نحوی که در طی فرایند این انبار اطلاعات صدمه‌ای نبیند.

هدف این فرایند پیدا کردن بدافزار و تمایز ایجاد کردن میان این بدافزار و اجزای دیگر دستگاه مورد نظر است. با بررسی ورودی‌ها و خروجی‌های انبار اطلاعات، می‌شود به سادگی و به شکلی کارآمد پی برد که چه افرادی به دستگاه دسترسی داشته‌اند و تحت چه شرایطی به این دستگاه وارد شده‌اند. این اطلاعات می‌تواند به شکلی واضح و شفاف به ما نشان دهد که در یک زمان مشخص بر روی این دستگاه چه اتفاقی افتاده است. با گسترش روزافزون فناوری، جرم‌شناسی دیجیتال در جهان امروز جزئی مهم و اجتناب‌ناپذیر است.

اهمیت جرم‌شناسی دیجیتال

در سیستم قضایی مدنی و جنایی، جرم‌شناسی دیجیتال به حفظ و ارائه‌ی مدرک دیجیتال در دادگاه‌ها کمک می‌کند. در حالی که استفاده از رایانه‌ها و سایر ابزار‌های گردآوری داده روز به‌روز بیشتر می‌شود و جنبه‌های بیشتری از زندگی ما را در بر می‌گیرد، شواهد دیجیتال نیز بیشتر شده است و فرایند جرم‌شناسی دیجیتال برای گردآوری، حفظ و تحقیق بر روی این شواهد دیجیتال، اهمیت بیشتری یافته است. امروز جرم‌شناسی دیجیتال در حل جرائم سایبری و سایر مشکلات حقوقی دیگر نقش اصلی را به عهده دارد.
یک فرد معمولی هیچ‌گاه متوجه حجم اطلاعاتی که یک دستگاه دیجیتال ذخیره می‌کند، نمی‌شود. به‌طور مثال رایانه‌هایی که در خودرو‌ها تعبیه شده‌اند، به‌طور مداوم هنگامی که راننده ترمز می‌کند، تغییر جهت می‌دهد و یا سرعتش را تغییر می‌دهد، بدون اینکه راننده متوجه شود در حال اندازه‌گیری هستند. به هرحال احتمالا این اطلاعات می‌تواند در حل یک پرونده‌ی حقوقی بسیار کارآمد باشد و متخصصان جرم‌شناسی دیجیتال اغلب نقش مهمی در پیدا کردن و حفظ این اطلاعات به عهده دارند.

شواهد دیجیتال فقط در حل جنایت دیجیتالی مانند سرقت اطلاعات، نفوذ به شبکه‌ها و تراکنش‌های آنلاین غیرقانونی کاربرد ندارد. از شواهد دیجیتال حتی برای حل جرائم جهان واقعی مانند سرقت، تجاوز و قتل نیز می‌توان استفاده کرد.

کسب و کار‌ها اغلب از یک سیستم مدیریت داده‎های چند لایه و راهبرد‌های امنیت شبکه برای ایمن نگه داشتن اطلاعات استفاده می‌کنند. داشتن اطلاعاتی که به خوبی مدیریت شود و ایمن نگه داشته شود، می‌تواند در صورت لزوم به فرایند جرم‌شناسی دیجیتال کند.

کسب و کار‌ها همچنین از جرم‌شناسی دیجیتال برای ردیابی نقاط آسیب‌پذیر یک سامانه یا شبکه استفاده می‌کنند تا مانع از سوءاستفاده‌ی مجرمان سایبری از این نقاط آسیب‌پذیر شوند. آن‌ها همچنین ر صورت وقوع یک قطعی که توسط عوامل طبیعی یا حمله‌ی سایبری رخ داده باشد، از متخصصان جرم‌شناسی دیجیتال برای بازیابی شبکه استفاده می‌کنند.

انواع جرم‌شناسی دیجیتال

انواع مختلفی از بررسی‌های جرم‌شناسی دیجیتال وجود دارد. در هر دسته متخصصان به یک جنبه‌ی خاص از فناوری اطلاعات می‌پردازند. بعضی از این انواع اصلی شامل موارد زیر است:

-جرم‌شناسی پایگاه داده: بررسی اطلاعاتی که در پایگاه داده گنجانده شده است؛ اعم از داده‌ها و متاداده‌های مرتبط با آنها.

-جرم‌شناسی ایمیل: بازیابی و تحلیل ایمیل‌ها و سایر اطلاعاتی که در پلتفرم‌های ایمیل وجود دارد؛ مانند مخاطبان و تقویم و برنامه‌ها.

-جرم‌شناسی بدافزار: تحلیل کد‌ها برای مشخص شدن برنامه‌های مخرب احتمالی و تحلیل نحوه‌ی اجرای آنها. این برنامه‌های مخرب شامل، تروجان‌ها، باج‌افزار‌ها و انواع ویروس‌هاست.

-جرم‌شناسی حافظه: جمع‌آوری اطلاعات ذخیره شده بر رم (RAM) و یا حافظه‌ی موقت (cache) یک دستگاه.

-جرم‌شناسی موبایل: بررسی دستگاه‌های موبایل برای بازیابی و تحلیل اطلاعاتی شامل مخاطبان، پیام‌های ورودی و خروجی، تصاویر و فایل‌های ویدئویی.

-جرم‌شناسی شبکه: جستجو برای شواهد از طریق نظارت بر ترافیک شبکه، با استفاده از ابزار‌هایی مانند دیوار آتش (firewall) و یا سامانه‌ی تشخیص نفوذ.

جرم‌شناسی دیجیتال چگونه عمل می‌کند؟

متخصصان جرم‌شناسی دیجیتال معمولا فرایند‌های استاندارد را دنبال می‌کنند. این فرایند‌ها مبتنی است بر زمینه‌ای که این تحقیقات در آن رخ می‌دهد، دستگاهی که مورد تحقیق قرار گرفته است و یا اطلاعاتی که به دنبال آن هستند. به‌طور کلی این فرایند‌ها شامل سه مرحله است:

-جمع‌آوری داده: اطلاعاتی که به شکل الکترونیکی ذخیره شده‌اند، باید به شیوه‌ای جمع‌آوری شود که ارزش آن‌ها حفظ شود. این فرایند اغلب از طریق قرنطینه کردن دستگاه مورد بررسی انجام می‌گیرد تا مطمئن شوند به‌طور تصادفی یا عامدانه اطلاعات آن دستکاری نمی‌شود. متخصصان یک کپی دیجیتال از آن دستگاه می‌گیرندکه «تصویر جرم‌شناسی دیجیتال» نیز خوانده می‌شود و در آن وضعیت انبار اطلاعات رسانه‌ای دستگاه گنجانده شده است. سپس دستگاه اصلی را در جای امنی قرار می‌دهند تا وضعیت اولیه‌ی خود را حفظ کند. این تحقیقات معمولا تنها بر روی نسخه‌ی دیجیتالی انجام می‌گیرد. در موارد دیگر، اطلاعاتی که به‌طور عمومی در دسترس باشد، ممکن است برای انجام تحقیقات مورد استفاده قرار بگیرد؛ اطلاعاتی مانند مطالب فیسبوک و سایر شبکه‌های اجتماعی پیرامون خریداری سرویس‌ها و محصولات به شکل غیرقانونی.

تحلیل: متخصصان در شرایطی استریل به تحلیل اطلاعات این نسخه‌های دیجیتال از شواهد می‌پردازند تا برای یک پرونده، اطلاعاتی به دست آورند. ابزار‌های مختلفی برای کمک به این فرایند وجود دارد؛ از جمله فناوری کالبدشکافی بیسیس (Basis) برای تحقیقات هارد درایو و وایرشارک (Wireshark) تحلیل‌گر پروتکل شبکه.

- ارائه: محققان جرم‌شناسی دیجیتال در نهایت باید بتوانند یافته‌ها نتایج تحلیل‌های خود را به گونه‌ای منظم و حساب‌شده در یک فرایند حقوقی عرضه کنند. به‌طور مثال، در یک دادگاه قاضی یا هیئت منصفه از این یافته‌ها برای مشخص شدن نتیجه‌ی پرونده‌ی حقوقی استفاده می‌کنند. در یک پرونده‌ی بازیابی اطلاعات، محققان جرم‌شناسی دیجیتال آنچه را که توانسته‌اند از یک سیستم بازیابی کنند، عرضه می‌کنند.
در تحقیقات جرم‌شناسی دیجیتال اغلب از روش‌های متفاوتی برای تایید نتایج به دست آمده استفاده می‌شود.

روش‌های مورد استفاده در جرم‌شناسی دیجیتال

متخصصان جرم‌شناسی دیجیتال از انواعی از روش‌ها و برنامه‌ها برای بررسی و ارزیابی نسخه‌ی دیجیتالی که از دستگاه مورد بررسی به دست آورده‌اند، استفاده می‌کنند. آن‌ها در پوشه‌های مخفی و فضای بی‌استفاده‌ی دیسک برای نسخه‌ای از فایل‌های آسیب‌دیده، رمزگذاری‌شده و یا حذف‌شده به جستجو می‌پردازند. هر شواهدی که بر روی نسخه‌ی دیجیتالی پیدا کنند، به شکل دقیقی در یک گزارش یافته‌ها مستند می‌شود و با دستگاه اصلی تایید می‌شود تا برای فرایند حقوقی قابل ارائه باشد.

متخصصان جرم‌شناسی دیجیتال از شیوه‌ها و روش‌‎های متفاوتی استفاده می‌کنند. تعدادی از این شیوه‌ها عبارت‌اند از:

-پنهان‌نگاری معکوس: پنهان‌نگاری (Steganography) یک تاکتیک رایج برای پنهان کردن داده‌های هر نوع فایل و پیام دیجیتال است. متخصصان جرم‌شناسی دیجیتال این فرایند پنهان‌نگاری را از طریق تحلیل هش داده‌هایی که در این فایل‌ها همچنان موجود است، معکوس می‌کنند. اگر یک مجرم سایبری، اطلاعات مهمی را در یک تصویر یا هر فایل دیجیتال دیگر پنهان کرده باشد، برای فرد غیرمتخصص این تصویر بیانگر چیزی نخواهد بود؛ اما هش زیربنایی یا زنجیره‌ی داده‌ای که نمایانگر این تصویر است، تغییر خواهد کرد.

 

- جرم‌شناسی استوکاستیک: در این روش، محققان فعالیت دیجیتال را بدون استفاده از مصنوعات دیجیتال تحلیل و بازسازی می‌کنند. مصنوعات دیجیتال تغییرات غیرعامدانه‌ی داده‌هایی هستند که در فرایند‌های دیجیتال شکل می‌گیرند. این مصنوعات شامل سرنخ‌هایی به جرائم سایبری هستند؛ مانند تغییراتی در خصیصه‌های یک فایل در طول سرقت داده. جرم‌شناسی استوکاستیک اغلب برای تحقیقات نفوذ به داده‌ها استفاده می‌شود در شرایطی که هکر یک فرد داخلی شبکه شناخته می‌شود و ممکن است مصنوعات دیجیتالی به جا نگذارد.

 

-تحلیل میان درایو: این تکنیک، اطلاعاتی را که از درایو‌های رایانه‌ای متفاوت یافته شده‌اند، باهم مرتبط و میان آن‌ها پیوند ایجاد می‌کند تا بتوان اطلاعات مرتبط با یک تحقیقات را جستجو، تحلیل و نگهداری کرد. رویداد‌هایی که باعث ایجاد شک شده‌اند با اطلاعات سایر درایو‌ها مقایسه می‌شوند تا شباهت‌ها و تفاوت‌های آن‌ها به دست بیاید. این فرایند همچنین با نام «تشخیص ناهنجاری» نیز شناخته می‌شود.

-تحلیل زنده: در این تکنیک، رایانه‌ای از داخل سیستم‌عاملش با ابزار‌های سیستم‌عامل تحلیل می‌شود؛ در حالی که خود رایانه یا دستگاه در حال اجراست. این تحلیل به دنبال داده‌های بی‌ثبات می‌گردد که اغلب بر روی حافظه موقت یا رم نگهداری شده‌اند. بسیاری از ابزار‌ها برای استخراج داده‌های بی‌ثبات، نیاز دارند که رایانه در یک آزمایشگاه جرم‌شناسی دیجیتال باشد.

-بازیابی فایل‌های حذف‌شده: این تکنیک شامل جستجو در سیستم عامل یک رایانه و حافظه‌ی آن برای پیدا کردن قطعات فایل‌هایی است که قسمتی از آن‌ها حذف شده‌است، اما اثراتی از آن‌ها در جایی دیگر بر روی دستگاه باقی مانده است.


نمونه‌های استفاده از جرم‌شناسی دیجیتال در پرونده‌های حقوقی

همان طور که گفته شد، یافته‌های جرم‌شناسی دیجیتال یا مدارک دیجیتال می‌تواند توسط نهاد‌های قانونی مورد استفاده قرار بگیرد. قوانین مدنی و جزایی اکثر کشور‌ها استفاده از این مدارک دیجیتال را به ساختار حقوقی خود اضافه کرده‌اند. در ادامه چند نمونه از پرونده‌های برجسته را که در آن‌ها از مدارک دیجیتال برای تشخیص جرم استفاده شده است، ذکر می‌کنیم:

- سرقت اسناد تجاری مخفی اپل:
مهندسی با نام ژائولانگ ژانگ در بخش تولید خودروی خودران اپل، پس از اعلام بازنشستگی، گفت که به چین برمی‌گردد تا از مادر سالخورده‌ی خود مواظبت کند. او به مدیر خود گفته بود که برنامه دارد تا در یک تولیدکننده‌ی خودروی برقی در چین کار کند که این مسئله باعث ایجاد سوءظن شد. بنا بر گزارش اداره‌ی تحقیقات فدرال آمریکا، گروه حفاظت اپل فعالیت‌های ژانگ را بر روی شبکه‌ی این شرکت بررسی کردند و متوجه شدند که چند روز قبل از استعفای او، تعدادی اسناد مخفی تجاری از پایگاه داده‌ی محرمانه‌ی این شرکت که او به آن دسترسی داشته است، دانلود شده است. او در سال ۲۰۱۸ از سوی اف‌بی‌آی متهم شناخته شد.

- شرکت انرون
شرکت انرون یکی از شرکت‌های بزرگ آمریکایی در حوزه‌ی انرژی است که پیش از ورشکستگی در سال ۲۰۰۱، به غلط گزارش داد که میلیارد‌ها دلار سود داشته است و این مساله باعث خسارت مالی شدید به بسیاری از کارمندان و افرادی شد که بر روی این شرکت سرمایه‌گذاری کردند. تحلیلگران جرم‌شناسی دیجیتال، حجم وسیعی از اطلاعات این شرکت را بررسی کردند تا از نقشه‌ی کلاه‌برداری پیچیده‌ی آن‌ها با خبر شوند. این کلاه‌برداری بسیار در تدوین قانون‌های بعدی در این زمینه نقش داشت و الزامات قانونی جدیدی برای شرکت‌های عمومی وضع کرد.

- سرقت اسناد تجاری گوگل:
آنتونی اسکات لواندوسکی، مدیر سابق اوبر و گوگل در سال ۲۰۱۹ متهم شد که ۳۳ سند تجاری را به سرقت برده است. از سال ۲۰۰۹ تا ۲۰۱۶ لواندوسکی در گوگل بر روی برنامه خودروی خودران فعالیت می‌کرد که در آنجا هزاران فایل مرتبط با این برنامه را از یک سرور شرکتی رمزگذاری‌شده دانلود کرد. او سپس از گوگل خارج شد و شرکت اوتو (Otto) در زمینه وانت خودران را ایجاد کرد که در سال ۲۰۱۶ اوبر این شرکت را خریداری کرد. لواندوسکی از سوی دادگاه به خاطر سرقت اسناد تجاری متهم شناخته شد و محکوم به ۱۸ ماه حبس در زندان و جریمه‌ی ۸۵۱ هزار دلاری شد. او در ژانویه‌ی ۲۰۲۱ با عفو ریاست‌جمهوری آزاد شد.

شناسایی قاتل:
لری توماس در یک حادثه‌ی جنایی ریتو یاماس-خوارز را در سال ۲۰۱۶ به قتل رساند و در نهایت با کمک صد‌ها مطلب فیسبوکی که او با نام مستعار گذاشته بود، محکوم شد. یکی از پست‌ها شامل تصویر او با دستبندی بود که در صحنه‌ی جرم یافته شده بود.

- مرگ مایکل جکسون
محققان جرم‌شناسی دیجیتال با استفاده از داده‌ها و اسناد پزشکی موبایل پزشک مایکل جکسون، ثابت کردند که این پزشک دوز مرگ‌آوری از دارو‌ها را برای جکسون تجویز کرده است.
- مادر گناهکار:
میکایلا مان، نوزاد خود را به قتل رسانده بود. محققان با استفاده از جستجو‌های گوگل بر روی رایانه‌اش که شامل «سقط در خانه» بود، توانستند به اثبات جرم او کمک کنند.

فرصت‌های شغلی و مدارک جرم‌شناسی دیجیتال:
جرم‌شناسی دیجیتال تبدیل به حوزه‌ی تخصصی علمی خاص خود شده است و دارای مدارک و دوره‌های آموزشی متعدد است. در کشور‌های غربی میانگین درآمد یک تحلیلگر جرم‌شناسی دیجیتال در سال ۶۵ هزار دلار است. نمونه‌هایی از فرصت‌های شغلی جرم‌شناسی دیجیتال عبارتند از:

- مهندس جرم‌شناسی دیجیتال: این افراد متخصصانی هستند که با جمع‌آوری اطلاعات از رایانه و فرایند‌های تحلیل سروکار دارند. آن‌ها کمک می‌کنند که مشخص شود یک دستگاه چگونه از کار افتاده است.

- حسابدار جرم‌شناسی دیجیتال: این افراد با جرائمی سروکار دارند که شامل پولشویی یا سایر انواع تراکنش‌ها که با هدف سرپوش گذاشتن بر فعالیت غیرقانونی است.

- تحلیلگر امنیت سایبری: این افراد وظیفه‌ی تحلیل داده را هنگامی که استخراج شده است به عهده دارند و تحلیل‌های آن‌ها بعد‌ها برای بهبود راهبرد امنیت سایبری یک سازمان می‌تواند مورد استفاده قرار گیرد.

مدرک لیسانس و گاهی اوقات کارشناسی ارشد در علوم رایانه‌ای، امنیت سایبری و یا حوزه‌های مرتبط برای متخصصان جرم‌شناسی دیجیتال ضروری است. در ادامه تعدادی مدارک بین‌المللی ذکر می‌شود که افراد می‌توانند برای ورود به این حوزه از طریق آن‌ها به تحصیل بپردازند:

- مدرک تحلیلگر «جرم‌شناسی دیجیتال امنیت سایبری» موسسه‌ی سایبر سکیوریتی (CyberSecurity): این مدرک برای متخصصان امنیتی با سابقه‌ی کار بیش از دو سال طراحی شده است. آزمایش‌ها و موارد آموزشی بر اساس پرونده‌های واقعی طراحی شده است.

- مدرک «ارزیابی جرم‌شناسی رایانه‌ای» از اتحادیه‌ی بین‌المللی متخصان تحقیقات رایانه‌ای: این برنامه بر روی تأیید مهارت‌های ضروری برای این که کسب‌وکار‌ها از خط مشی جرم‌شناسی دیجیتال پیروی می‌کنند، طراحی شده است.

- بازرس جرم‌شناسی هک رایانه‌ای در شورای ای‌سی: ای‌سی (EC-Council) شورای بین‌المللی مشاوران تجارت الکترونیکی سازمانی آمریکایی است که در زمینه‌ی مهارت‌های مختلف امنیت سایبری، گواهینامه، آموزش و خدمات امنیت سایبری را ارائه می‌دهد. در این دوره‌ی آموزشی توانایی‌های فرد برای تشخیص نفوذ و جمع‌آوری اطلاعات تقویت می‌شود تا بتواند در دادگاه مورد استفاده قرار بگیرد. این دوره‌ی آموزشی شامل جستجو و ذخیره‌ی سامانه‌های اطلاعاتی، استفاده از شواهد دیجیتالی و سایر مهارت‌های جرم‌شناسی دیجیتال نیز هست.

- انجمن بین‌المللی متخصصان جرم‌شناسی دیجیتال (ISFCE): این انجمن نیز مدرکی برای متخصص مورد تآیید ارائه می‌کند که نیاز به تمرین‌های ویژه دارد. فرد برای شرکت در این دوره باید دستورالعمل‌های اخلاقی و رفتاری این نهاد را نیز امضا کند.