بخش هفتاد و چهارم
آموزش رایگان سکیوریتی پلاس: واکنش به حوادث و جرم شناسایی کامپیوتری چیست؟
یکی از موضوعات جذاب دنیای امنیت سایبری، جرم‌شناسی کامپیوتری است. جرم‌شناسی کامپیوتری، به جمع‌آوری و تجزیه‌و‌تحلیل شواهد به‌دست آمده از رایانه‌ها، سرورها یا دستگاه‌های تلفن همراه اشاره دارد. به‌طور کلی مبحث جرم‌شناسی کامپیوتری به دو گروه اصلی تحقیقات شرکتی (Corporate Investigations) و تحقیقات عمومی (Public Investigations) اشاره دارد. تحقیقات شرکتی به این دلیل انجام می‌شود که گاهی اوقات کارمندی مشکوک به نقض خط‌مشی شرکت یا سوء‌استفاده از دارایی شرکت مانند ایمیل یا اینترنت است. تحقیقات عمومی به دلیل سوء‌ظن به نقض قانون انجام می‌شود. کارشناسان امنیت سایبری در هر دو مورد، باید قبل از آغاز تحقیقات باید با مشاوران حقوقی در این زمینه رایزنی کنند تا اطمینان حاصل کنند شواهد و مدارکی که جمع‌آوری خواهند کرد در صورت ارجاع پرونده به دادگاه مورد پذیرش قرار خواهند گرفت.

shabake-mag.jpg

برای مطالعه بخش قبل روی این آدرس کلیک کنید. 

به‌طور کلی، فردی که به‌عنوان بازرس جرایم سایبری شناخته می‌شود این است که اطمینان حاصل کند که مدارک دیجیتالی مورد نیاز برای اثبات یا رد این موضوع که شخصی قانون را زیر پا گذاشته است یا کارمندی خط‌مشی شرکت را نقض کرده جمع آوری کرده باشد.

قابل پذیرش بودن

یک کارشناس امنیت سایبری باید اطلاعات کافی درباره نحوه به‌دست آوردن و تجزیه و تحلیل شواهد دیجیتالی هنگام انجام تحقیقات سایبری را داشته باشد و بتواند انواع مختلفی اطلاعات را از منابع مختلف جمع‌آوری کرده و آن‌ا را مدیریت کند.

شواهد برای این‌که در دادگاه قابل پذیرش باشند، باید سه شرط زیر را داشته باشند:

  • وجاهت قانونی داشته باشند و بر مبنای حدس و گمان جمع‌آوری نشده باشند. علاوه بر این، باید به‌طور قانونی به‌دست آمده باشند. اگر مدارک به‌طور غیرقانونی به‌دست آمده باشد، در دادگاه غیرقابل قبول خواهند بود.
  • ارزشمند باشند و بتوان بر مبنای آن‌ها توضیحات فنی دقیقی ارائه کرد. علاوه بر این باید توانایی اثبات یک اتفاق را داشته باشند.
  • مرتبط با حادثه‌ای باشند که به وقوع پیوسته است، به این معنی که باید با پرونده مرتبط باشند.

شواهد به چند گروه تقسیم می‌شوند؟

هنگام جمع‌آوری شواهد، باید به‌دنبال اطلاعات و مدارک مختلفی باشید تا دلایل بروز یک حمله سایبری را به دقت شرح دهید. بر همین اساس باید با انواع عمده شواهد که عبارتند از شواهد واقعی، شواهد مستقیم، شواهد مستند و شواهد اثباتی آشنا باشید.

  • شواهد واقعی (Real Evidence): به‌عنوان شواهد فیزیکی نیز شناخته می‌شوند. این گروه از شواهد عمدتا یک شیء قابل لمس هستند. به‌طور مثال، اگر آتش‌سوزی عمدی در اتاق سرور یا مرکز داده به‌وقوع پیوسته و علت بروز این اتفاق سامانه‌های تهویه مطبوعی بوده‌اند که پیکربندی آن‌ها به عمد دستکاری شده و باعث بروز آتش‌سوزی شده‌اند در گروه شواهد واقعی قرار می‌گیرند.
  • شواهد مستقیم (Direct Evidence): اشاره به افرادی دارد که اتفاق را از نزدیک دیده یا تجربه کرده‌اند. به‌عنوان مثال، فردی که آتش‌سوزی را مشاهده کرده و قادر است به‌طور دقیق شرح دهد که چگونه اتفاق افتاده است.
  • شواهد مستند (Documentary Evidence): نوع بعدی شواهد، اسناد ایمیلی یا چاپی هستند. نمونه‌هایی از شواهد مستند عبارتند از قراردادها، فاکتوری برای نوعی خدمات یا محصول یا یک ایمیلی که  از طریق پست الکترونیک ارسال شده و یک نسخه کاغذی از آن تهیه شده است. علاوه بر این، صدا، ویدئو یا عکس‌های ضبط شده نیز در گروه اسناد مستند قرار می‌گیرند.
  • شواهد اثباتی (Demonstrative evidence): به نوع خاصی از اطلاعات اشاره دارند که نشان‌دهنده شواهدی است که شامل ارائه یک شی فیزیکی است که نتایج نوعی رویداد را نشان می‌دهد.

جمع‌آوری شواهد

شواهد جنبه مهمی از هر پرونده قضایی یا تحقیقات شرکتی است و در نتیجه باید با دقت زیادی به آن رسیدگی شود. مهم است که نرخ تغییر صحنه جرم و هرگونه شواهد دیجیتالی را محدود کنید. اصلاح صحنه یا شواهد به عنوان آلودگی شناخته می‌شود و ممکن است منجر به عدم پذیرش شواهد در دادگاه شود.

قبل از رسیدن به مکانی که قرار است مدارک را در آن نقطه جمع‌آوری کنید، مهم است اطلاعاتی در ارتباط با محیط به دست آورید تا بتوانید شواهد را به شکل بهتری شناسایی کرده و برنامه‌ریزی دقیقی در ارتباط با جمع‌آوری شواهد انجام دهید. به عنوان مثال، شما باید بدانید که آیا به دنبال یک کامپیوتر، یک لپ تاپ یا یک تلفن هوشمند هستید که می‌توانند شواهد بالقوه‌ای باشند. به بیان دقیق‌تر، آماده بودن کلید اصلی است موفقیت است.

زنجیره مالکیت

هنگام جمع‌آوری شواهد، بسیار مهم است که هر مدرک را مستندسازی کرده و برچسب‌گذاری کنید و آن را در کیسه‌های مخصوص مدارک نگه‌داری کنید. هنگام مستندسازی شواهد، باید شماره شناسه برچسب، تاریخ و ساعت جمع‌آوری شواهد و این‌که چه کسی شواهد را جمع‌آوری کرده است درج شده باشد.

بسیار مهم است که برای هر مدرک یک کارتابل مشخص ایجاد کنید تا بتوانید محل قرار گرفتن شواهد را ثبت کنید. همچنین، اگر بازپرس تحقیقات شواهد را از محل مربوطه خارج کرد، باید دومرتبه در جای خود قرار دهد تا افراد مجاز بتوانند به شواهد دسترسی داشته باشند.

برای آزمون سکیوریتی پلاس، باید بدانید که زنجیره مالیکت یا به عبارت دقیق‌تر زنجیره حضانت (chain of custody) سندی است که همیشه محل وجود شواهد را نشان می‌دهد.

حفظ شواهد

هنگام جمع‌آوری شواهد، نه تنها باید هر یک از شواهد را مستندسازی کرده و زنجیره‌ای از حضانت ایجاد کنید، بلکه باید اطمینان حاصل کنید که اقداماتی را برای محافظت از شواهد انجام داده‌اید. شواهد باید در محفظه‌های امن قرار داده شوند و در کوتاه‌ترین زمان به محل نگهداری امن منتقل شوند.

در ارتباط با شواهد دیجیتال، باید اطمینان حاصل کنید که شواهد در برابر آسیب‌های مرتبط با میدان‌های مغناطیسی و تخلیه الکترواستاتیک (ESD) ایمن هستند. ESD یک روش متداول برای از بین بردن تراشه‌های رایانه‌ها است. اطمینان حاصل کنید که شواهد در یک کابینت امن ذخیره شده‌اند و کابینت در یک منطقه امن با دسترسی محدود قرار گرفته است. مدارک باید مستند شده و در مکانی امن با پرسنل محدودی که به شواهد دسترسی دارند، ذخیره شود.

مستندسازی مراحل

بسیار مهم است که تمام مراحل خود را پس از رسیدن به صحنه مستندسازی کنید. حتما از منطقه‌ای که شواهد در آن قرار دارد، عکس بگیرید. به عنوان مثال، اگر شما مسئول توقیف رایانه از خانه یک مجرم مشکوک هستید، قبل از این‌که به چیزی دست بزنید، حتما از محلی که رایانه در آن قرار دارد عکس بگیرید. همچنین می‌توانید از مراحل تحقیق خود با دوربین فیلمبرداری یا نرم‌افزار تصویربرداری از صفحه‌نمایش فیلم تهیه کنید. اگر نرم‌افزاری برای فیلم‌برداری از مراحل ندارید، حتما از صفحه‌های حساس اسکرین شات بگیرید.

همچنین، از هر چیزی که به رایانه متصل است، عکس بگیرید. به عنوان مثال، ممکن است متوجه شوید که یک درایو خارجی به سیستم متصل است. حتما نه تنها از درایو خارجی، بلکه از کانکتورهای پشت رایانه که نشان می‌دهد درایو به رایانه متصل است، عکس بگیرید.

هنگام انجام تجزیه و تحلیل بر روی شواهد، مطمئن شوید که اقدام به مستندسازی هر مرحله‌ای کرده‌اید که به اتمام رسانده‌اید. اگر شواهد مرتبطی پیدا کردید، بسیار مهم است که بتوانید مراحلی را که برای یافتن شواهد انجام دادید توضیح دهید و بتوانید نتایج را بارها و بارها بازتولید کنید.

 هنگام انجام تحقیقات جرم‌شناسای دیجیتالی، باید تمام مراحل خود را مستند کنید تا بتوانید نحوه یافتن شواهد را توضیح دهید و بتوانید نتایج را بازتولید کنید.

  • جدول زمانی رویدادها (Timeline of Events): هنگام گردآوری شواهد، هدف شما مستند کردن جدول زمانی رویدادهایی است که روی داده‌اند. شما می‌توانید این کار را با استفاده از مُهرهای زمانی روی مصنوعات یافت شده در هنگام انجام تحلیل خود انجام دهید. هنگام تجزیه و تحلیل شواهد، مانند تهیه ایمیج از یک درایو، مطمئن شوید که نرم‌افزار جرم‌شناسایی دیجیتالی شما دارای قابلیت‌هایی برای گنجاندن افست زمان است - به این دلیل که ممکن است شما در منطقه زمانی متفاوتی نسبت به داده‌های مشکوک قرار داشته باشید. از آن‌جایی که رویکرد فوق می‌تواند زمان را کاهش دهد، بیشتر ابزارهای جرم‌شناسی دیجیتالی راهی برای پیکربندی منطقه زمانی در هنگام انجام تجزیه و تحلیل دارند تا بتوانید منطقه زمانی مرتبط با شواهد را تطابق دهید.

یک روش عالی برای کمک به حفظ گزارش مراحل انجام تحقیقات، ایجاد یک فایل متنی با Notepad است. هر بار که فایل را باز می‌کنید، سیستم تاریخ و زمان را ثبت می‌کند، در این حالت تنها باید مراحل کار خود را ثبت کنید. همچنین می‌توانید از واژه .LOG قبل از درج مطالب جدید در فایل متنی استفاده کنید تا همه چیز به شکل دقیق ثبت شود. دقت کنید که باید از ".LOG" با حروف بزرگ استفاده کنید.

به عنوان یک بازپرس جرم‌شناسی دیجیتالی، ممکن است در دادگاه از شما خواسته شود تا در مورد یافته‌های تحقیقات خود گزارش دهید. در طول تحقیق یادداشت‌های واضحی بردارید تا بتوانید در دادگاه به شکل دقیق‌تری به پرسش‌ها پاسخ دهید.

اسنادی که آماده می‌کنید به شما کمک می‌کنند به بهترین شکل مدت زمانی که صرف تحقیقات کرده‌اید را ثبت کنید. اگر خدمات جرم‌شناسی دیجیتالی به مشتریان ارائه می‌کنید، باید ساعات کاری خود را یادداشت کنید تا بتوانید هزینه‌ای که مشتری پرداخت کند را به خوبی برای او شرح دهید.

ویدیو و اسکرین شات به عنوان بخشی از مستندات باید حتما در ارتباط با صحنه جرم و کامپیوتر مظنون گرفته شده باشند. همچنین از مراحلی که هنگام تجزیه و تحلیل شواهد انجام می‌دهید، ویدئو و اسکرین‌شات بگیرید، زیرا در صورت تبدیل شدن به یک موضوع قانونی، باید مراحلی را که برای یافتن شواهد طی کرده‌اید را به مقام مسئول نشان دهید.

رمزهای عبور

هنگام تجزیه و تحلیل شواهد، ممکن است متوجه شوید که اطلاعات با رمز عبور محافظت شده‌اند. به طور مثال، ممکن است متوجه شوید که فایلی که می‌خواهید باز کنید رمزگذاری شده است و برای رمزگشایی اطلاعات به رمز عبور نیاز دارد. اکثر نرم‌افزارهای جرم‌شناسای دیجیتالی، روشی را برای بازیابی کلمات کلیدی از رجیستری و سپس تولید یک فایل فهرست فرهنگ لغت در اختیارتان قرار می‌دهند که می‌توان از آن برای شکستن رمز عبور استفاده کرد.

روش دیگری که می‌توانید از آن استفاده کنید، این است که از یک ابزار شکستن رمز عبور مانند Cain & Abel یا SnadBoy’s Revelation استفاده کنید تا رمز عبور ایمیل کاربر را شناسایی کنید و ببینید آیا مظنون از همان رمز عبور برای رمزگذاری فایل‌های خود استفاده کرده است یا خیر. حتی مجرمان عادات بدی مانند استفاده مجدد از رمز عبور مشابه دارند!

کشف الکترونیکی (E-Discovery)

اصطلاح رایجی که امروزه در جرم شناسی دیجیتالی و تحقیقات رایانه‌ای از آن استفاده می‌شود، کشف الکترونیکی است که اشاره به کشف اطلاعات الکترونیکی در پرونده‌های حقوقی یا تحقیقات دولتی دارد که شامل جستجو در پرونده‌های الکترونیکی برای یافتن شواهد مربوطه است. امروزه، بسیاری از محصولات، مانند Microsoft Exchange Server، دارای ویژگی‌های کشف الکترونیکی هستند که به شما امکان می‌دهد در صندوق پستی کارمندان جستجو کنید و پیام‌های ایمیل مرتبط را که می‌توانند مدرک باشند، نگه دارید. اصل مهمی که باید به آن دقت کنید این است که از داده‌های الکترونیکی در برابر حذف محافظت کنید. بد نیست بدانید که می‌توانید از ویژگی کشف الکترونیکی Microsoft Exchange برای استخراج پیام‌های مربوط به یک مورد خاص استفاده کنید.

بازیابی اطلاعات

بسیاری از افراد از متخصصان و ابزارهای جرم‌شناسی کامپیوتری برای بازیابی اطلاعات استفاده می‌کنند، زیرا این ابزارها امکان مکان‌یابی و بازیابی اطلاعات حذف شده را می‌دهند.

عدم انکار

ضروری است که یک محقق بتواند صحت شواهدی را که پیدا کرده، ثابت کند. به همین دلیل است که بسیار مهم است که درایو مظنون از طریق یک فرآیند هش بررسی شود تا مقادیر هش برای درایو و فایل‌ها تولید شود تا بازپرس بتواند به طور مشخص بگوید: «هنگامی که ما آن را ضبط کردم، درایو مظنون به این شکل بود. در اینجا شواهدی است که ما در آن درایو یافتیم. اگر تیم دفاعی ادعا کند که شواهد پس از توقیف روی درایو کار گذاشته شده است، بازپرس می‌تواند مقادیر هش درایو را با شواهد موجود در درایو نشان دهد و آن را با مقادیر هش اصلی در حین توقیف مقایسه کند.

اطلاعات راهبردی / ضد جاسوسی

پزشکی قانونی کامپیوتری می تواند در ارتباط با اطلاعات استراتژیک یا ضد جاسوسی نیز استفاده شود، جایی که اطلاعات جمع‌آوری و تجزیه و تحلیل شده ممکن است مانع انجام اقداماتی مانند تروریسم، جاسوسی و خرابکاری شوند.

جمع‌آوری شواهد دیجیتال

اکنون که مفاهیم موجود در پس زمینه شواهد و انواع مختلف شواهد را درک کردید، بیایید به نحوه جمع‌آوری و تجزیه و تحلیل شواهد دیجیتالی بپردازیم.

درک فرآیند

هنگام انجام تحقیقاتی که شما را ملزم به کار با شواهد دیجیتالی می‌کند، مطمئن شوید که فرآیندی را برای جمع‌آوری شواهد مربوطه بدون اعمال تغییر در آن‌ها دنبال می‌کنید. کار با شواهد دیجیتال به مهارت‌های خاصی نیاز دارد تا اطمینان حاصل شود که آن‌ها را آلوده نمی‌کنید. این بخش به تشریح مراحل اساسی برای یافتن شواهد دیجیتالی می‌پردازد.

شواهد را به دست آورید

اولین گام برای کار با شواهد دیجیتالی، توقیف مدارک است. شواهد ممکن است در هارد دیسک رایانه رومیزی، سرور، لپ تاپ یا حتی یک دستگاه تلفن همراه وجود داشته باشد، بنابراین اگر مسئول جمع‌آوری شواهد از هر یک از این دستگاه‌های الکترونیکی هستید باید به توقیف آن‌ها بپردازید. توقیف مدارک به معنای رفتن به محلی است که دستگاه الکترونیکی مظنون که حاوی شواهد است در آن مکان قرار دارد. اولین کاری که باید انجام دهید قطع برق دستگاه الکترونیکی و ارسال دستگاه به آزمایشگاه پزشکی قانونی است. در یک مورد شرکتی، این فرآیند ممکن است کمی زمان‌بر باشد تا شرکت تعطیل شود و کارمندان در محل نباشند یا بسته به نوع تخلف، ممکن است بلافاصله دستگاه الکترونیکی توقیف شود. هنگام رسیدگی به تحقیقات عمومی، مهم است که مجریان قانون برای هر اقلامی که باید توقیف شوند، حکم بازرسی دریافت کنند. در هنگام ضبط شواهد بسیار مهم است که اقدام به مستندسازی صحنه کنید، یادداشت‌برداری کنید، به شواهد برچسب بزنید و عکس بگیرید.

به دست آوردن شواهد (تصاحب داده‌ها)

پس از ضبط شواهد، می‌توانید مدارکی را به دست آورید. به دست آوردن شواهد مستلزم گرفتن ایمیجی از شواهد است تا بتوانید تحقیقات خود را از روی کپی شواهد و نه از شواهد اصلی انجام دهید. بسیار مهم است که با استفاده از نرم‌افزار ایمیج‌برداری معتبر یک کپی سطح بیتی (کپی خام بخش به بخش) از هر درایو موجود در سیستم مظنون به دست آورید. دقت کنید نرم‌افزاری که برای جرم‌شناسی دیجیتالی مورد استفاده قرار می‌گیرد نباید هیچ تغییری در اطلاعات ایجاد کند.

مصنوعات اصطلاحی است که برای توصیف موارد موجود در محتوای دیجیتالی استفاده می شود که می تواند به عنوان مدرک استفاده شود. نمونه هایی از مصنوعات مواردی مانند جستجوهای اینترنتی، فایل های حذف شده، کلیدهای رجیستری و گزارش رویدادها هستند.

ایمیج‌های ایستا

هنگام به دست آوردن ایمیج، معمولا درایو را از سیستم مظنون خارج کنید و درایو را در محیط آزمایشگاهی به ایستگاه کاری ایمن متصل کنید. ایستگاه کاری پزشکی قانونی سیستمی است که شما با نرم‌افزار جرم شناسی دیجیتالی خود و بدون اتصال به شبکه یا اینترنت از آن استفاده می‌کنید.

روش مناسب برای اتصال درایو مظنون به ایستگاه کاری پزشکی قانونی این است که یک مسدود کننده نوشتن را به ایستگاه کاری خود (معمولاً از طریق USB) وصل کنید. مسدودکننده نوشتن دارای رابط‌هایی برای درایوهای IDE (Integrated Drive Electronics)، SATA (پیوست فناوری پیشرفته سریال) و SCSI (رابط سیستم کامپیوتری کوچک) است که مانع از نوشتن اطلاعات روی دیسک می‌شود. 

ایمیج زنده (Live Images): اگرچه اغلب اوقات با ایمیج‌های ثابت در ارتباط هستیم، اما ممکن است گاهی لازم باشد یک ارزیابی زنده انجام دهید. با ایمیج‌های ایستا، نمی‌توانید محتویات حافظه را ضبط کنید، زیرا هنگام برق سیستم قطع شده است. قبل از به دست آوردن شواهد، برنامه‌ریزی کنید که آیا نیازی به جمع‌آوری مدارک به شکل زنده دارید یا خیر. مزیت جمع‌آوری شواهد لایو این است که می‌توانید با اجرای نرم‌افزار ایمیج‌برداری خود بر روی یک سیستم لایو و ریختن محتویات حافظه روی یک ایمیج در یک دیسک، به اطلاعات مهم درون حافظه اصلی دسترسی داشته باشید. با این حال، عیبی که ایمیج لایو دارد، این است که هنگام اجرای نرم‌افزار تغییراتی در سیستم اعمال می‌شود. به طور کلی، جمع‌آوری مدارک به صورت لایو به شما امکان می‌دهد دو کار بسیار مهم را انجام دهید:

  •  دریافت محتویات حافظه: همان‌طور که گفته شد، با یک ایمیج لایو، می‌توانید محتویات حافظه را قبل از خاموش شدن سیستم مظنون ضبط کنید. Forensic Toolkit یک ابزار تجزیه و تحلیل لایو محبوب است که به شما امکان می‌دهد محتویات حافظه را در یک مکان از راه دور ضبط کنید.
  •  گرفتن محتویات یک درایو رمزگذاری‌شده: امروزه رمزگذاری کامل درایو نزد کاربران رایج‌تر شده است، به طوری که وقتی سیستم خاموش می‌شود، درایو به‌طور خودکار رمزگذاری می‌شود. هنگامی که سیستم بوت می‌شود، در صورت ارائه کلید صحیح، درایو رمزگشایی می‌شود و دسترسی به فایل‌ها فراهم می‌شود. از نقطه نظر جرم‌شناسی دیجیتالی، رمزگذاری درایو یک مشکل بزرگ است. بنابراین اگر شک دارید که درایو رمزگذاری شده است، باید قبل از کشیدن برق، یک ایمیج لایو تهیه کنید.

به طور معمول، کارشناسان حرفه‌ای امنیت اقدام به تهیه چند ایمیچ از درایوها می‌کنند و برای این منظور از ابزارهای مختلف ایمیج‌برداری استفاده می‌کنند تا اگر با یکی از ایمیج‌ها به مشکل برخورد کردند، گزینه‌های دیگری در دسترس داشته باشند.

 

برای مطالعه بخش بعد اینجا کلیک کنید

برای مطالعه تمام قسمت‌های آموزش سکیوریتی پلاس اینجا کلیک کنید.


تبلیغات لینکی: 

سایت استخدام

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟