اگر به طور تخصصی در حیطهی نرمافزار و فناوری پژوهش نکرده باشید، احتمالا آگاهی چندانی ندارید از این که جرمشناسی دیجیتال چیست و شامل چه حوزههای متفاوتی میشود؛ اما جرمشناسی دیجیتال (Digital forensics) یکی از مهمترین حیطههای مربوط به فضای مجازی است.
به گزارش گرداب، این رشته شامل به کار بردن تحقیقات و روشهای تحلیلی برای جمعآوری و حفظ شواهد از یک دستگاه پردازشگر و یا فرایند دیجیتالی است؛ بهگونهای که این شواهد و مدارک قابل ارائه به یک دادگاه باشد. هدف جرمشناسی دیجیتال اجرای یک تحقیق ساختارمند و حفظ زنجیرهی شواهد و اسناد است به طوری که مشخص شود دقیقا در یک فرایند دیجیتالی چه اتفاقی افتاده است و چه کسی مقصر یک حادثهی سایبری بوده است.
به بیان سادهتر، جرمشناسی دیجیتال به معنی تحقیق، گردآوری و تحلیل اطلاعات از یک دستگاه است که بتواند نحوهی وقوع جرم را نشان دهد. یک جنبهی بسیار مهم این تحقیقات ایجاد یک نسخهی دیجیتال از هارد یا انبار اطلاعات دستگاه برای انجام تحلیل و بررسی بیشتر است به نحوی که در طی فرایند این انبار اطلاعات صدمهای نبیند.
هدف این فرایند پیدا کردن بدافزار و تمایز ایجاد کردن میان این بدافزار و اجزای دیگر دستگاه مورد نظر است. با بررسی ورودیها و خروجیهای انبار اطلاعات، میشود به سادگی و به شکلی کارآمد پی برد که چه افرادی به دستگاه دسترسی داشتهاند و تحت چه شرایطی به این دستگاه وارد شدهاند. این اطلاعات میتواند به شکلی واضح و شفاف به ما نشان دهد که در یک زمان مشخص بر روی این دستگاه چه اتفاقی افتاده است. با گسترش روزافزون فناوری، جرمشناسی دیجیتال در جهان امروز جزئی مهم و اجتنابناپذیر است.
اهمیت جرمشناسی دیجیتال
در سیستم قضایی مدنی و جنایی، جرمشناسی دیجیتال به حفظ و ارائهی مدرک دیجیتال در دادگاهها کمک میکند. در حالی که استفاده از رایانهها و سایر ابزارهای گردآوری داده روز بهروز بیشتر میشود و جنبههای بیشتری از زندگی ما را در بر میگیرد، شواهد دیجیتال نیز بیشتر شده است و فرایند جرمشناسی دیجیتال برای گردآوری، حفظ و تحقیق بر روی این شواهد دیجیتال، اهمیت بیشتری یافته است. امروز جرمشناسی دیجیتال در حل جرائم سایبری و سایر مشکلات حقوقی دیگر نقش اصلی را به عهده دارد.
یک فرد معمولی هیچگاه متوجه حجم اطلاعاتی که یک دستگاه دیجیتال ذخیره میکند، نمیشود. بهطور مثال رایانههایی که در خودروها تعبیه شدهاند، بهطور مداوم هنگامی که راننده ترمز میکند، تغییر جهت میدهد و یا سرعتش را تغییر میدهد، بدون اینکه راننده متوجه شود در حال اندازهگیری هستند. به هرحال احتمالا این اطلاعات میتواند در حل یک پروندهی حقوقی بسیار کارآمد باشد و متخصصان جرمشناسی دیجیتال اغلب نقش مهمی در پیدا کردن و حفظ این اطلاعات به عهده دارند.
شواهد دیجیتال فقط در حل جنایت دیجیتالی مانند سرقت اطلاعات، نفوذ به شبکهها و تراکنشهای آنلاین غیرقانونی کاربرد ندارد. از شواهد دیجیتال حتی برای حل جرائم جهان واقعی مانند سرقت، تجاوز و قتل نیز میتوان استفاده کرد.
کسب و کارها اغلب از یک سیستم مدیریت دادههای چند لایه و راهبردهای امنیت شبکه برای ایمن نگه داشتن اطلاعات استفاده میکنند. داشتن اطلاعاتی که به خوبی مدیریت شود و ایمن نگه داشته شود، میتواند در صورت لزوم به فرایند جرمشناسی دیجیتال کند.
کسب و کارها همچنین از جرمشناسی دیجیتال برای ردیابی نقاط آسیبپذیر یک سامانه یا شبکه استفاده میکنند تا مانع از سوءاستفادهی مجرمان سایبری از این نقاط آسیبپذیر شوند. آنها همچنین ر صورت وقوع یک قطعی که توسط عوامل طبیعی یا حملهی سایبری رخ داده باشد، از متخصصان جرمشناسی دیجیتال برای بازیابی شبکه استفاده میکنند.
انواع جرمشناسی دیجیتال
انواع مختلفی از بررسیهای جرمشناسی دیجیتال وجود دارد. در هر دسته متخصصان به یک جنبهی خاص از فناوری اطلاعات میپردازند. بعضی از این انواع اصلی شامل موارد زیر است:
-جرمشناسی پایگاه داده: بررسی اطلاعاتی که در پایگاه داده گنجانده شده است؛ اعم از دادهها و متادادههای مرتبط با آنها.
-جرمشناسی ایمیل: بازیابی و تحلیل ایمیلها و سایر اطلاعاتی که در پلتفرمهای ایمیل وجود دارد؛ مانند مخاطبان و تقویم و برنامهها.
-جرمشناسی بدافزار: تحلیل کدها برای مشخص شدن برنامههای مخرب احتمالی و تحلیل نحوهی اجرای آنها. این برنامههای مخرب شامل، تروجانها، باجافزارها و انواع ویروسهاست.
-جرمشناسی حافظه: جمعآوری اطلاعات ذخیره شده بر رم (RAM) و یا حافظهی موقت (cache) یک دستگاه.
-جرمشناسی موبایل: بررسی دستگاههای موبایل برای بازیابی و تحلیل اطلاعاتی شامل مخاطبان، پیامهای ورودی و خروجی، تصاویر و فایلهای ویدئویی.
-جرمشناسی شبکه: جستجو برای شواهد از طریق نظارت بر ترافیک شبکه، با استفاده از ابزارهایی مانند دیوار آتش (firewall) و یا سامانهی تشخیص نفوذ.
جرمشناسی دیجیتال چگونه عمل میکند؟
متخصصان جرمشناسی دیجیتال معمولا فرایندهای استاندارد را دنبال میکنند. این فرایندها مبتنی است بر زمینهای که این تحقیقات در آن رخ میدهد، دستگاهی که مورد تحقیق قرار گرفته است و یا اطلاعاتی که به دنبال آن هستند. بهطور کلی این فرایندها شامل سه مرحله است:
-جمعآوری داده: اطلاعاتی که به شکل الکترونیکی ذخیره شدهاند، باید به شیوهای جمعآوری شود که ارزش آنها حفظ شود. این فرایند اغلب از طریق قرنطینه کردن دستگاه مورد بررسی انجام میگیرد تا مطمئن شوند بهطور تصادفی یا عامدانه اطلاعات آن دستکاری نمیشود. متخصصان یک کپی دیجیتال از آن دستگاه میگیرندکه «تصویر جرمشناسی دیجیتال» نیز خوانده میشود و در آن وضعیت انبار اطلاعات رسانهای دستگاه گنجانده شده است. سپس دستگاه اصلی را در جای امنی قرار میدهند تا وضعیت اولیهی خود را حفظ کند. این تحقیقات معمولا تنها بر روی نسخهی دیجیتالی انجام میگیرد. در موارد دیگر، اطلاعاتی که بهطور عمومی در دسترس باشد، ممکن است برای انجام تحقیقات مورد استفاده قرار بگیرد؛ اطلاعاتی مانند مطالب فیسبوک و سایر شبکههای اجتماعی پیرامون خریداری سرویسها و محصولات به شکل غیرقانونی.
تحلیل: متخصصان در شرایطی استریل به تحلیل اطلاعات این نسخههای دیجیتال از شواهد میپردازند تا برای یک پرونده، اطلاعاتی به دست آورند. ابزارهای مختلفی برای کمک به این فرایند وجود دارد؛ از جمله فناوری کالبدشکافی بیسیس (Basis) برای تحقیقات هارد درایو و وایرشارک (Wireshark) تحلیلگر پروتکل شبکه.
- ارائه: محققان جرمشناسی دیجیتال در نهایت باید بتوانند یافتهها نتایج تحلیلهای خود را به گونهای منظم و حسابشده در یک فرایند حقوقی عرضه کنند. بهطور مثال، در یک دادگاه قاضی یا هیئت منصفه از این یافتهها برای مشخص شدن نتیجهی پروندهی حقوقی استفاده میکنند. در یک پروندهی بازیابی اطلاعات، محققان جرمشناسی دیجیتال آنچه را که توانستهاند از یک سیستم بازیابی کنند، عرضه میکنند.
در تحقیقات جرمشناسی دیجیتال اغلب از روشهای متفاوتی برای تایید نتایج به دست آمده استفاده میشود.
روشهای مورد استفاده در جرمشناسی دیجیتال
متخصصان جرمشناسی دیجیتال از انواعی از روشها و برنامهها برای بررسی و ارزیابی نسخهی دیجیتالی که از دستگاه مورد بررسی به دست آوردهاند، استفاده میکنند. آنها در پوشههای مخفی و فضای بیاستفادهی دیسک برای نسخهای از فایلهای آسیبدیده، رمزگذاریشده و یا حذفشده به جستجو میپردازند. هر شواهدی که بر روی نسخهی دیجیتالی پیدا کنند، به شکل دقیقی در یک گزارش یافتهها مستند میشود و با دستگاه اصلی تایید میشود تا برای فرایند حقوقی قابل ارائه باشد.
متخصصان جرمشناسی دیجیتال از شیوهها و روشهای متفاوتی استفاده میکنند. تعدادی از این شیوهها عبارتاند از:
-پنهاننگاری معکوس: پنهاننگاری (Steganography) یک تاکتیک رایج برای پنهان کردن دادههای هر نوع فایل و پیام دیجیتال است. متخصصان جرمشناسی دیجیتال این فرایند پنهاننگاری را از طریق تحلیل هش دادههایی که در این فایلها همچنان موجود است، معکوس میکنند. اگر یک مجرم سایبری، اطلاعات مهمی را در یک تصویر یا هر فایل دیجیتال دیگر پنهان کرده باشد، برای فرد غیرمتخصص این تصویر بیانگر چیزی نخواهد بود؛ اما هش زیربنایی یا زنجیرهی دادهای که نمایانگر این تصویر است، تغییر خواهد کرد.
- جرمشناسی استوکاستیک: در این روش، محققان فعالیت دیجیتال را بدون استفاده از مصنوعات دیجیتال تحلیل و بازسازی میکنند. مصنوعات دیجیتال تغییرات غیرعامدانهی دادههایی هستند که در فرایندهای دیجیتال شکل میگیرند. این مصنوعات شامل سرنخهایی به جرائم سایبری هستند؛ مانند تغییراتی در خصیصههای یک فایل در طول سرقت داده. جرمشناسی استوکاستیک اغلب برای تحقیقات نفوذ به دادهها استفاده میشود در شرایطی که هکر یک فرد داخلی شبکه شناخته میشود و ممکن است مصنوعات دیجیتالی به جا نگذارد.
-تحلیل میان درایو: این تکنیک، اطلاعاتی را که از درایوهای رایانهای متفاوت یافته شدهاند، باهم مرتبط و میان آنها پیوند ایجاد میکند تا بتوان اطلاعات مرتبط با یک تحقیقات را جستجو، تحلیل و نگهداری کرد. رویدادهایی که باعث ایجاد شک شدهاند با اطلاعات سایر درایوها مقایسه میشوند تا شباهتها و تفاوتهای آنها به دست بیاید. این فرایند همچنین با نام «تشخیص ناهنجاری» نیز شناخته میشود.
-تحلیل زنده: در این تکنیک، رایانهای از داخل سیستمعاملش با ابزارهای سیستمعامل تحلیل میشود؛ در حالی که خود رایانه یا دستگاه در حال اجراست. این تحلیل به دنبال دادههای بیثبات میگردد که اغلب بر روی حافظه موقت یا رم نگهداری شدهاند. بسیاری از ابزارها برای استخراج دادههای بیثبات، نیاز دارند که رایانه در یک آزمایشگاه جرمشناسی دیجیتال باشد.
-بازیابی فایلهای حذفشده: این تکنیک شامل جستجو در سیستم عامل یک رایانه و حافظهی آن برای پیدا کردن قطعات فایلهایی است که قسمتی از آنها حذف شدهاست، اما اثراتی از آنها در جایی دیگر بر روی دستگاه باقی مانده است.
نمونههای استفاده از جرمشناسی دیجیتال در پروندههای حقوقی
همان طور که گفته شد، یافتههای جرمشناسی دیجیتال یا مدارک دیجیتال میتواند توسط نهادهای قانونی مورد استفاده قرار بگیرد. قوانین مدنی و جزایی اکثر کشورها استفاده از این مدارک دیجیتال را به ساختار حقوقی خود اضافه کردهاند. در ادامه چند نمونه از پروندههای برجسته را که در آنها از مدارک دیجیتال برای تشخیص جرم استفاده شده است، ذکر میکنیم:
- سرقت اسناد تجاری مخفی اپل:
مهندسی با نام ژائولانگ ژانگ در بخش تولید خودروی خودران اپل، پس از اعلام بازنشستگی، گفت که به چین برمیگردد تا از مادر سالخوردهی خود مواظبت کند. او به مدیر خود گفته بود که برنامه دارد تا در یک تولیدکنندهی خودروی برقی در چین کار کند که این مسئله باعث ایجاد سوءظن شد. بنا بر گزارش ادارهی تحقیقات فدرال آمریکا، گروه حفاظت اپل فعالیتهای ژانگ را بر روی شبکهی این شرکت بررسی کردند و متوجه شدند که چند روز قبل از استعفای او، تعدادی اسناد مخفی تجاری از پایگاه دادهی محرمانهی این شرکت که او به آن دسترسی داشته است، دانلود شده است. او در سال ۲۰۱۸ از سوی افبیآی متهم شناخته شد.
- شرکت انرون
شرکت انرون یکی از شرکتهای بزرگ آمریکایی در حوزهی انرژی است که پیش از ورشکستگی در سال ۲۰۰۱، به غلط گزارش داد که میلیاردها دلار سود داشته است و این مساله باعث خسارت مالی شدید به بسیاری از کارمندان و افرادی شد که بر روی این شرکت سرمایهگذاری کردند. تحلیلگران جرمشناسی دیجیتال، حجم وسیعی از اطلاعات این شرکت را بررسی کردند تا از نقشهی کلاهبرداری پیچیدهی آنها با خبر شوند. این کلاهبرداری بسیار در تدوین قانونهای بعدی در این زمینه نقش داشت و الزامات قانونی جدیدی برای شرکتهای عمومی وضع کرد.
- سرقت اسناد تجاری گوگل:
آنتونی اسکات لواندوسکی، مدیر سابق اوبر و گوگل در سال ۲۰۱۹ متهم شد که ۳۳ سند تجاری را به سرقت برده است. از سال ۲۰۰۹ تا ۲۰۱۶ لواندوسکی در گوگل بر روی برنامه خودروی خودران فعالیت میکرد که در آنجا هزاران فایل مرتبط با این برنامه را از یک سرور شرکتی رمزگذاریشده دانلود کرد. او سپس از گوگل خارج شد و شرکت اوتو (Otto) در زمینه وانت خودران را ایجاد کرد که در سال ۲۰۱۶ اوبر این شرکت را خریداری کرد. لواندوسکی از سوی دادگاه به خاطر سرقت اسناد تجاری متهم شناخته شد و محکوم به ۱۸ ماه حبس در زندان و جریمهی ۸۵۱ هزار دلاری شد. او در ژانویهی ۲۰۲۱ با عفو ریاستجمهوری آزاد شد.
شناسایی قاتل:
لری توماس در یک حادثهی جنایی ریتو یاماس-خوارز را در سال ۲۰۱۶ به قتل رساند و در نهایت با کمک صدها مطلب فیسبوکی که او با نام مستعار گذاشته بود، محکوم شد. یکی از پستها شامل تصویر او با دستبندی بود که در صحنهی جرم یافته شده بود.
- مرگ مایکل جکسون
محققان جرمشناسی دیجیتال با استفاده از دادهها و اسناد پزشکی موبایل پزشک مایکل جکسون، ثابت کردند که این پزشک دوز مرگآوری از داروها را برای جکسون تجویز کرده است.
- مادر گناهکار:
میکایلا مان، نوزاد خود را به قتل رسانده بود. محققان با استفاده از جستجوهای گوگل بر روی رایانهاش که شامل «سقط در خانه» بود، توانستند به اثبات جرم او کمک کنند.
فرصتهای شغلی و مدارک جرمشناسی دیجیتال:
جرمشناسی دیجیتال تبدیل به حوزهی تخصصی علمی خاص خود شده است و دارای مدارک و دورههای آموزشی متعدد است. در کشورهای غربی میانگین درآمد یک تحلیلگر جرمشناسی دیجیتال در سال ۶۵ هزار دلار است. نمونههایی از فرصتهای شغلی جرمشناسی دیجیتال عبارتند از:
- مهندس جرمشناسی دیجیتال: این افراد متخصصانی هستند که با جمعآوری اطلاعات از رایانه و فرایندهای تحلیل سروکار دارند. آنها کمک میکنند که مشخص شود یک دستگاه چگونه از کار افتاده است.
- حسابدار جرمشناسی دیجیتال: این افراد با جرائمی سروکار دارند که شامل پولشویی یا سایر انواع تراکنشها که با هدف سرپوش گذاشتن بر فعالیت غیرقانونی است.
- تحلیلگر امنیت سایبری: این افراد وظیفهی تحلیل داده را هنگامی که استخراج شده است به عهده دارند و تحلیلهای آنها بعدها برای بهبود راهبرد امنیت سایبری یک سازمان میتواند مورد استفاده قرار گیرد.
مدرک لیسانس و گاهی اوقات کارشناسی ارشد در علوم رایانهای، امنیت سایبری و یا حوزههای مرتبط برای متخصصان جرمشناسی دیجیتال ضروری است. در ادامه تعدادی مدارک بینالمللی ذکر میشود که افراد میتوانند برای ورود به این حوزه از طریق آنها به تحصیل بپردازند:
- مدرک تحلیلگر «جرمشناسی دیجیتال امنیت سایبری» موسسهی سایبر سکیوریتی (CyberSecurity): این مدرک برای متخصصان امنیتی با سابقهی کار بیش از دو سال طراحی شده است. آزمایشها و موارد آموزشی بر اساس پروندههای واقعی طراحی شده است.
- مدرک «ارزیابی جرمشناسی رایانهای» از اتحادیهی بینالمللی متخصان تحقیقات رایانهای: این برنامه بر روی تأیید مهارتهای ضروری برای این که کسبوکارها از خط مشی جرمشناسی دیجیتال پیروی میکنند، طراحی شده است.
- بازرس جرمشناسی هک رایانهای در شورای ایسی: ایسی (EC-Council) شورای بینالمللی مشاوران تجارت الکترونیکی سازمانی آمریکایی است که در زمینهی مهارتهای مختلف امنیت سایبری، گواهینامه، آموزش و خدمات امنیت سایبری را ارائه میدهد. در این دورهی آموزشی تواناییهای فرد برای تشخیص نفوذ و جمعآوری اطلاعات تقویت میشود تا بتواند در دادگاه مورد استفاده قرار بگیرد. این دورهی آموزشی شامل جستجو و ذخیرهی سامانههای اطلاعاتی، استفاده از شواهد دیجیتالی و سایر مهارتهای جرمشناسی دیجیتال نیز هست.
- انجمن بینالمللی متخصصان جرمشناسی دیجیتال (ISFCE): این انجمن نیز مدرکی برای متخصص مورد تآیید ارائه میکند که نیاز به تمرینهای ویژه دارد. فرد برای شرکت در این دوره باید دستورالعملهای اخلاقی و رفتاری این نهاد را نیز امضا کند.