رهیافتهای این فصل:
- تکامل قانون رایانهای
- مراحل قانون دیجیتال
- خلاصه
- مرور فشردهی رهیافتها
- پرسشهای متداول
مقدمه
احتمالاً پیچیدهترین بخش از فرآیند بازپرسی جرایم سایبری، قانون دیجیتال است. اینجا اغلب همان جایی است که قویترین مدرک بهدست میآید. قانون دیجیتال یعنی کشف، آنالیز، و صیانت علمی از دادههای موجود در رسانهی الکترونیکی که این اطلاعات را میتوان بهعنوان مدرک در دادگاهی قانونی بهکار برد. رویّهی قانون دیجیتال بهخودیِ خود میتواند یک شغل محسوب شود واغلب اینطور نیز هست. در سایر مواقع، زیرمجموعهای از مهارتهایی است که در حالت کلیتر، برای یک رویّهکار امنیتی لازم است. اگرچه رویّهکار شرکتیِ قانون دیجیتال، مأمور اجرای قانون نیست، با این حال، رویّهی عاقلانه آن است که از همان شیوههایی پیروی کند که اجرای قانون در انجام قانون دیجیتال از آنها پیروی میکند. حتی در محیط شرکتی، کاری که فرد انجام میدهد میتواند بهسرعت منجر به دادگاهی شدنِ او گردد. صرفنظر از اینکه مورد مربوطه مدنی یا جزایی است، مدرک مربوطه به یک نحو ارائه خواهد شد.
تکامل قانون رایانهای
قانون دیجیتال سنتی با توقیف رایانه یا رسانهای دیگر آغاز میشد. درایوها و رسانهها به روشی قانونی، بیتبهبیت کپی میشدند. راه برگشت- اگر چنین چیزی در فنآوری رایانه وجود داشته باشد- کپیِ قانونیِ مربوطه را میشد با استفاده از برنامهی ویراستارِ دیسک یا شانزدهشانزدهی جستوجو کرد. بعدها برنامهها و مجموعهبرنامههای قانونی تکامل یافتند و برخی از این فرآیندها را خودکار یا بسیار ساده کردند. رویّهکار قانونی فایلهای حذفشده را بازیابی میکرد، فایلهای موقت را جستوجو میکرد، ایمیل را بازیابی میکرد، و کارهای دیگری انجام میداد تا مدرک موجود در رسانههای مربوطه را کشف کند.
امروزه برنامههای کاربرپسند بیشتری وجود دارند که دادهها را در قالب GUI ارائه میدهند، و بسیاری از کارهای کاملاً فنی را خودکار کردهاند، کارهایی که پیش از آن برای انجام آنها باید دانش عمیق و تخصصی در زمینهی ویراستار شانزدهشانزدهی میداشتید. همچنین، سختافزارهای فراوانی وجود دارند که این رویّه را کارآتر ساختهاند، اما واقعیت این است که فرآیندها تاکنون به آن اندازه تغییر نکردهاند.
از زمانِ آن توقیفهای نخستین تا به امروز، مجموعهای از بِهرویّهها پدید آمدهاند؛ مقصود از این کار، این بوده است که شالودهای ایجاد شود برای کارهایی که تحت عنوان قانون دیجیتال انجام میشوند:
- به هیچ وجه تغییری در رسانهی اصلی ایجاد نکنید.
- همیشه روی نسخهی کپی کار کنید، نه نسخهی اصلی.
- رسانهی در حالِ بازرسی باید استریل باشد تا مطمئن باشیم که هیچ دادهی پسماندی با دادههای در حالِ بازپرسی تداخل نخواهد داشت.
- بازپرس باید بیطرف بماند و بودهها را گزارش کند.
اغلب، بِهرویّهها و روششناسیها از همان زمانِ آغاز قانون دیجیتال، دستنخورده و بیتغییر باقی ماندهاند. سیستم موردنظر مستندسازی میشود؛ سختدرایوها جدا میشوند و متصل به افزارهی مسدودکنندهی نویسش میشوند. با استفاده از برنامهی تصویربرداریِ منتخب، تصویری قانونی ایجاد میشد، و با استفاده از برنامهی قانونی منتخب، بازرسی انجام میشد. بِهرویّهها تنها بهعنوان رهنمود دیده نمیشدند؛ بلکه بهعنوان دستورالعملی قطعی و مطلق به آنها نگاه میکردند. این شیوه تاکنون خوب عمل کرده است، اما کمکم تاریخ انقضای برخی از عناصر رسیده است. اگرچه این بِهرویّهها پایه و اساسِ شیوههای کنونی بودهاند، بسیاری از عناصر این بِهرویّهها کمکم در حالِ عقب ماندن از موج فنآوری هستند و نیاز به تغییر یا تعدیل دارند.
برخلاف دیگر علوم قانونی، موضوعاتِ قانون دیجیتال، و همچنین روشهای آن، همچنان در حالِ تکامل هستند. ممکن است اثر انگشت انسان در طول زمان تغییر و تکامل یابد، اما این تغییر، در طول عمر افراد، به چشم نمیآید و برای کارشناسان اثر انگشت قابلملاحظه نخواهد بود. ممکن است مواد شیمیاییِ روی یک رشته مو تغییر کنند، اما خودِ مو تقریباً همیشه همانگونه باقی میماند. ممکن است روشها تکامل یابند، اما موضوعات چندان تغییری نمییابند. از سوی دیگر، همگام با تغییر فنآوری، مدرک دیجیتال نیز همچنان تغییر میکند. سیستمعاملها و سیستم فایلها پیشرفت و تغییر پیدا خواهند کرد. در واقع، سیستمعاملها تقریباً از هر پنج سال تغییر مییابند. همگام با بهبود فنآوری، افزایش چگالی دادههای مغناطیسی، و کاهش قیمتها، حجمِ آرایههای ذخیرهسازی بزرگ و بزرگتر شده است. رسانهدرایوهای فلش همچنان بهلحاظ ظرفیت، بزرگتر و بهلحاظ اندازهی فیزیکی، کوچکتر میشوند. حجم افزارهها که بهطور بالقوه میتوانند مدرکی را ذخیره کنند، بهطور نمایی رشد کردهاند و همچنان رشد خواهند کرد. سیستمهای بازی، پخشکنندههای صوتی دیجیتال، سیستمهای رسانهای، ضبطکنندههای ویدئویی دیجیتال- این فهرست همچنان رشد خواهد کرد. جهش عظیم در بازار دوربین دیجیتال، موجب ایجاد حجم عظیمی از افزارهها و نیاز به آنالیزهایی شد که این آنالیزها بهطور سنتی در حدود اختیاراتِ بازرسان عکس بود، و نه خورههای رایانه. همگام با اینکه مجموعهی منابعِ مدرک رشد میکنند، روششناسیها نیز باید تا حدّ زیادی توسعه یابند.
برای مثال، بهطور معمول، تلفنهمراه باید به منبع تغذیه وصل باشد تا بتواند تمام دادهها را حفظ کند. اگر این افزاره روشن بماند، میتواند به شبکهای بیسیم متصل شود. برای اطمینان از اینکه این افزاره از شبکه مجزّا است، بازپرس باید از افزارهی فارادِی استفاده کند- اما در حقیقت ما با جدا کردنِ افزاره از شبکه، دادههای روی افزاره را تغییر میدهیم. این افزاره جزئیاتِ خروج از شبکه را برای خود ثبت خواهد کرد.
هشدار اصطلاح فنی…
افزارهی فارادی
افزارهی فارادی یا قفس فارادی، افزارهای است که برای جلوگیری از ورود و خروجِ سیگنالهای رادیویی به منطقهی حفاظتشده ساخته شده است، و مانند یک محافظ الکترومغناطیسی عمل میکند. این افزاره شاملِ رسانایی فلزی یا حلقهای مشبّک است که جلوی ورود و خروج سیگنالهای الکترومغناطیس را میگیرد.
در صفحههای پیش رو، به برخی از مشکلاتی که رخ میدهند و اینکه چگونه برخی از فنآوریها و بِهرویّهها از موج فنآوری عقب میافتند، خواهم پرداخت. این مباحث، نه تنها شاملِ چالشهای فنی، بلکه شامل چالشهای رویّهای نیز خواهند بود.
مراحل قانون دیجیتال
قانون دیجیتال سنتی را میتوان به چهار مرحله تقسیم کرد. برخی از کارهایی که در هر یک از مراحل انجام میشوند، ممکن است با مراحل دیگر همپوشانی داشته باشند، اما در کلّ، تفاوت بسیاری بین آنها وجود دارد:
- جمعآوری
- بازرسی
- آنالیز
- گزارش
جمعآوری، حفظ و نگهداری از مدرک بهمنظور آنالیز است. بِهرویّههای کنونی بیان میدارند که مدرک دیجیتال باید کپی دقیقی- معمولاً کپی رشتهبیتی یا کپی بیتبهبیت- از رسانهی اصلی باشند. سپس، کپیِ رشتهبیتی از طریق الگوریتمِ آمیختهسازیِ رمزنویسیشده اجرا میشود تا این اطمینان ایجاد شود که این کپی، کپیِ تغییرنایافتهای است. در قانون دیجیتال نوین، اغلب، این کار با جداسازیِ فیزیکیِ سختدرایو از افزارهی مربوطه، اتصال آن به دستگاه مسدودکنندهی نویسش، و استفاده از نرمافزاری قانونی برای ساخت کپیهایی قانونی انجام میشود. بازرسی، جستوجوی روشمندِ دادهها برای کشف مدرک است. این مرحله شاملِ کارهایی مانند استخراج سند و ایمیل، جستوجوی فایلهای دودوییِ مشکوک، و دادهکاوی است. آنالیز، فرآیندِ استفاده از مدرکِ بازیابیشده برای حلّ جرم است. آنالیز، کنار هم چیدنِ تمام بیتها و تکهها و کشف رمز نهفته در آنها است تا بتوان فهمید که چه اتفاقی رخ داده است. گزارش مرحلهای است که در آن، تمام مراحل دیگر مستند و تشریح میشوند. گزارش باید حاویِ مستندسازیِ سختافزار، ابزارهای بهکاررفته، روشهای بهکاررفته، و کشفیات باشد. هر کدام از این مراحل، مشکلات و چالشهای خاص خود را دارند.
نکته
در اینجا برخی از منابع مهم در بارهی ادارهی رویداد رایانهای و قانون دیجیتال را معرفی میکنیم:
NIST «راهنمای ادارهی رویداد امنیتی رایانهای» SP800-61
http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
NIST «راهنمای یکپارچهسازیِ روشهای قانونی با پاسخگویی رویداد» SP800-96
http://csrc.nist.gov/publications/nistpubs/800-96/sp800-96.pdf
مؤسسهی ملّی دادگستری- بازرسی قانونیِ مدرک دیجیتال: راهنمایی برای اجرای قانون
www.ojp.usdoj.gov/nij/pubs-sum/199408.htm
راهبردهای RFC برای جمعآوری و بایگانیِ مدرک
www.faqs.org/rfcs/rfc3227.html
جمعآوری
بِهرویّههای قانون دیجیتال سنتی بیان میدارند که باید کپیِ رشتهبیتِ کاملی از حجمِ فیزیکیِ مربوطه ایجاد گردد. بالتبع، این کار مستلزمِ جداسازیِ فیزیکیِ سختدرایوها از سیستم مظنون، و اتصال درایو مربوطه به سیستمی دیگر برای انجامِ کپیِ قانونی است. تصویر قانونی، کپیِ بیتبهبیت از رسانهی اصلی است. این کار تمام دادهها را روی افزارهای ذخیرهسازی کپی میکند، از جمله بخشهای استفادهنشده، فایلهای حذفشده، و هر چیز دیگری که ممکن است روی افزارهی مربوطه باشد. سختدرایوِ مظنون باید بهوسیلهی رهیافتی سختافزاری، رهیافتی نرمافزاری، یا هر دو، در برابر هر نوع تغییری محافظت گردد (روش آن را به یاد دارید؟). معمولاً رهیافت سختافزاری، افزارهی مسدودکنندهی نویسش یا تصویربرداری سختافزاری است. مسدودکنندهی نویسش، جلوی فرمانهای نویسش را در سیستم بازرسی میگیرد، فرمانهایی که برخی از سیستمعاملها بهطور عادی انجام میدهند. رهیافتهای نرمافزاری مستلزم این هستند که درایو یا افزارهی مظنون بهصورتِ فقط-خوانشی در سیستمعامل نصب شوند.
دادهها باید تغییرنایافته بمانند و زنجیرهی حفاظت باید حفظ گردد. تا جایی که امکان دارد، تمام کارها باید روی نسخهی کپی انجام شوند؛ نسخههای اصلی باید حفظ و بایگانی شوند. برای اطمینان از اینکه دادهها تغییرنایافته ماندهاند، درایو اصلی و درایو تصویربرداریشده آمیخته میشوند و آمیختهها با هم مقایسه میگردند تا این اطمینان ایجاد شود که کپیِ بیتبهبیتِ دقیقی بهدست آمده است.
هشدار اصطلاح فنی…
آمیختهها
آمیختهها از الگوریتمهای رمزنویسیشده استفاده میکنند تا چکیدهپیامی از دادهها ایجاد کنند و آن را بهعنوان تکهی نسبتاً کوچکی از دادهها ارائه دهند. این آمیخته را میتوان برای مقایسهی آمیختهی دادههای اصلی با کپی قانونی بهکار برد. در صورتی که این آمیختهها بر هم منطبق باشند، اثبات میشود که این دادهها همان کپی دقیق هستند. با اینکه هنوز چالشی در این باره ایجاد نشده است، منتها آمیختههای سنتیِ CRC، MD5، و SHA1 شکسته شدهاند. همچنین، در حجمِ خالصِ الگوریتمهای آمیختهسازیِ ۱۲۸ بیتیای مانند MD5 محدودیتهایی وجود دارند. تنها امکانِ ۲۱۲۸ آمیخته وجود دارد. اگر فایلسرورِ چند ترابایتیِ بزرگی که در حالِ آنالیز است، حاویِ ۲۱۲۸ + ۱ فایل باشد، قطعاً دو فایل متفاوت با دادههایی منحصربهفرد وجود خواهند داشت که دارای آمیختهی یکسان خواهند بود. بدیهی است که ۲۱۲۸ حدود ۳۴۰ میلیارد میلیارد میلیارد میلیارد است، و میتواند آرایهی ذخیرهسازیِ بینهایت بزرگی از فایلهای بسیار کوچک باشد، اما این بوده نیز تردیدبرانگیز است و میتواند موجب تباهیِ پیگرد جزایی گردد. اگرچه ۲۱۲۸ هنوز هم عدد هنگفتی است، با رشد و توسعهی ذخیرهسازی، چندان هم بیراه نخواهد بود اگر اینگونه فکر کنیم که آمیختههای ۱۲۸ بیتی تبدیل به مشکلی روزافزون خواهند شد. احتمالاً بسیار پیش از آنکه مشکلی بزرگ در تکایستگاههای کاری ایجاد کنند، برای سیستمهای ذخیرهسازیِ بزرگ مشکل ایجاد خواهند کرد. بهنظر میرسد که آینده از آنِ الگوریتم SHA-256 و دیگر آمیختههای ۲۵۶ بیتی خواهد بود. هماکنون، آمیختههای کتابخانهایِ مرجعِ نرمافزار ملّی از الگوریتمهای SHA-1 و MD5 استفاده میکنند.
مدرک دیجیتال باید ویژگیهای زیر را داشته باشد:
- قابلپذیرش مدرک دیجیتال پیش از آنکه تقدیم دادگاه گردد، باید مطابق با قواعد قانونی معینی باشد.
- اصیل باید اثبات شود که دادهها مرتبط با رویداد هستند. این همان جایی است که مستندسازیِ تکمیلی اهمیت مییابد.
- کامل باید بیطرف باشد و تمام داستان را بگوید.
- قابلاطمینان نباید هیچ چیزِ تردیدبرانگیزی در ارتباط با جمعآوری و انجام امور مرتبط با مدرک در میان باشد. روندهای زنجیرهی حفاظت در اینجا نقشی حیاتی مییابند.
- قابلباور گزارشها و مستندسازی باید همهچیز را بیان کنند تا برای قاضی یا هیئت منصفه قابلباور و قابلفهم باشند.
هر مدرک دیجیتالی که جمعآوری میشود باید این الزامات را برآورده سازد. چالشی که پدیدار میشود قابلیتِ پذیرش است. بِهرویّهها و قواعدی سنتی وجود دارند که تمرکز آنها بر دادههای بهدستآمده از سیستمهای ایستا یا خاموش است. همانطور که خواهیم دید، مسائلی وجود دارد که این روش را دشوار، یا غیرممکن میسازند، یا اینکه ممکن است در این روش، حجم عظیمی از دادهها از قلم بیفتند. یکی از چالشهای پیشِ روی جمعآوریِ دادهها برای آنالیز، میتواند بیرون کشیدن و خارج کردنِ فایلها از سیستمها، و نیز زمانی که آنها خارج از سیستم هستند، باشد. آیا سیستم مربوطه راهی برای اتصالِ حافظهی خارجی دارد یا آیا اصلاً دسترسی فیزیکی برای انجام چنین کاری وجود دارد؟ اگر هیچ دسترسی فیزیکیای وجود نداشته باشد، چه مدت زمانی طول میکشد که دادهها را به خارج از سیستم انتقال داد تا با آنها کار کرد؟ یکی از گزینهها این است که روی سیستم با دادهها کار کرد، اما آیا روی سیستم بهاندازهی کافی حافظه در اختیار قرار دارد تا بتوان آنها را کپی و آنالیز کرد؟ اگر سیستم مربوطه در معرض خطر باشد و احتمال کشف رمز آن برود، آیا استفاده از برنامهها و فایلهای دودویی روی آن، میتواند کار قابلاطمینانی باشد؟ به احتمالِ قریب به یقین نه.
گزینهی دیگر، انتقال دادهها به خارج از سیستم از طریق اتصال شبکه است. حجمِ پیوندِ شبکه برای انتقال دادهها به خارج از سیستم چقدر است؟ اگر نتوان در-محل با دادهها کار کرد، آیا حافظهی لازم برای انتقال آن را دارید؟ آیا حافظهی لازم را دارید تا بتوانید بعداً با آن کار کنید؟ آیا سیستمهایی دارید که بهاندازهی کافی قدرتمند باشند تا بتوانند تمام دادهها را کندوکاو و پرسمان کنند؟ آیا تمام سیستمها در یک مرکز دادهی یکسان هستند، یا اینکه لازم است از جایی به جای دیگر سفر کنید یا چندین گروه داشته باشید که بهطور همزمان کار کنند؟ پرسشهای بسیاری در این زمینه مطرح هستند، و برخی از پیشبرنامهریزیها در این زمینه ضروری هستند.
رویدادهایی که در بنگاههای تجاری بزرگ یا دیگر شبکههای بزرگ رخ میدهند، میتوانند مشکلات بیشتری ایجاد کنند، و ممکن است بینهایت پیچیده باشند. پاسخگوی جرایم سایبری، به احتمال قریب به یقین، با سیستمهای گوناگونی روبهرو خواهد شد که در حالِ اجرای سیستمعاملهای بسیاری هستند. افزارههای مربوطه دربرگیرندهی تقریباً همهچیز و هرچیزی خواهند بود. مهمترین گام بههنگامِ پاسخگویی به رویداد جرم سایبریِ بزرگ این است که چند دقیقهای درنگ کنید و ابتدا مشخص سازید که با چه نوع سیستمهایی سروکار دارید. بهترین زمان است که هر نوع اسناد موجود، مثلاً نمودارهای شبکه و پیکربندیهای سیستم، را گردآوری کنید.
نکتهی کلیدی در این است که از دید کانونی پرهیز کنید. ممکن است سیستمهای بسیاری وجود داشته باشند که لازم است دادههای آنها بازیابی شوند، و احتمالاً نیاز به راههای بسیاری برای دسترسی به دادهها خواهد بود. ممکن است بهراحتی در دام بیفتید و تمرکز خود را روی اولین سیستمی قرار دهید که آن را در معرض خطر یا دخیل در ماجرا یافتهاید، و حال آنکه ممکن است آن سیستم فقط قلّهی نمایانِ کوه یخی باشد که قسمت اعظم آن در زیر آب پنهان است. اگر تمام تمرکزِ بازپرسی روی اولین سیستم قرار گیرد، در آن صورت ممکن است تمام مدارک دیگر از همان ابتدا از دست بروند. یا اگر مدت زمانِ نگاهداریِ ثبت وقایع یا دادههای فرّار، بسیار کوتاه باشد، در آن صورت ممکن است دادهها برای همیشه از دست بروند. درست مانند پیادهگردی که گم شده است و بهدنبالِ راه خود میگردد، تمام حلقههای اطرافِ آن نقطهی کشف اولیه را بررسی نمایید. از همان دستگاه موردنظر اولیه، شروع به بررسیِ اطراف و جوانب نمایید، و روی راههای دسترسیای که به آن ختم میشوند، تمرکز کنید. راههای فیزیکی به سیستم را از یاد نبرید- کنترل دسترسیها و نظارت ویدئویی در اغلبِ مراکز داده یا دفاتر وجود دارند، و قطعاً ثبت وقایعِ دسترسیِ فیزیکی باید مورد بازبینی قرار گیرند.
آمادهسازی
مجموعهای از ابزارها، هم سختافزاری و هم نرمافزاری، مورد نیاز است. اگر فرصت دارید، پیش از آنکه سراغ دستگاهها بروید، تا میتوانید اطلاعات جمعآوری کنید. اگر در محیط محلی شما است، آنچه برای حالت کار عادی و برای پیشآمدهای احتمالی لازم است، پیشبینی نمایید. چند تماس تلفنی اضافه و چند دقیقه وقت بیشتر گذاردن برای گردآوری ابزارهای اضافی میتواند بعداً چند ساعت از وقت شما را صرفهجویی کند، ساعاتی که صرف این خواهد شد که روشهای کشفوکسب دیگری را امتحان کنید یا با ابزارهای دستیِ ناکافی سر و کلّه بزنید. همچنین، این کار میتواند به شما کمک کند تا تصمیم بگیرید که آیا به منابع دیگری احتیاج دارید یا نه، یا اینکه آیا پیچیده و غیرقابلفهم است یا نه. اگر در محیط شرکتی هستید باید مشخصههای سیستمهای حیاتیِ موجود را داشته باشید تا به اجرای قانون در کار با سسیستمهایتان کمک نمایید، البته اگر قصد ندارید که این کشفوکسبها را بهصورتِ درونسازمانی انجام دهید. به احتمال قریب به یقین، این اطلاعات باید برای بازیابیِ حوادث غیرمترقبه یا مشکلات مرتبط با خرابیِ سختافزار در دسترس باشند.
اطمینان یابید که بهاندازهی کافی درایو یا حافظهی ذخیرهسازی در اختیار دارید تا تمام تصاویر قانونیای را که جمعآوری خواهند شد، نگاه دارید. این درایوها باید پیشاپیش آماده شده باشند. این آمادهسازی باید شاملِ دادهزداییِ درایو باشد، بهطوریکه هیچ دادهای باقی نماند که بتواند دادههای جمعآوریشده را آلوده سازد. این کار، جایی نیز برای این ادعا باقی نمیگذارد که ممکن است دادهها در آنجا قرار داده شده باشند یا اینکه مدرک جمعآوریشده آلوده و معیوب بوده است. باید گزارشی برای ثبت این وقایع نگهداری شود که آمادهسازیِ این رسانهی ذخیرهسازی را مستند سازد.
یک مأمور اجرای قانون فدرال در مرکز دادهای حاضر میشود تا در بازپرسی جرم سایبریای همکاری نماید. او به شخص قانونیِ شرکت که انجام این مورد را برعهده دارد، بیان میدارد که «من آمدهام اینجا تا سرور را ببرم.» شخص قانونی شرکت مستقیماً به او خیره میشود، و سپس میپرسد، «آیا با خود کامیون و چند نفر آدم اضافی و شاید چند نفر کمکدست آوردهاید؟» مأمور میپرسد «برای چه؟» «زیرا سرور با احتسابِ آرایهی ذخیرهسازی، هفت قفسه میشود!»
امروزه بسیاری از رایانههای شخصیِ متوسط با درایوهایی ۴۰۰ GB عرضه میشوند، تصویربرداری یا کپیِ رشتهبیتیِ کامل مستلزمِ صرف زمان و سختافزار است. نکتهای که باید درنظر گرفت: رهیافتهای تصویربرداریِ مبتنی بر سختافزار مانند Logicube MD5 نیازمندِ درایوِ هدفی بزرگتر از درایو مدرک است. در حال حاضر، گزینهی انتخابی میتواند درایو ۵۰۰ GB یا ۷۵۰ GB باشد. از درایو ۷۵۰ GB استفاده کنید، جمعآوری باید با رهیافتی انجام شود که به تصویرِ گرفتهشده امکان میدهد تا روی رسانه گسترش یابد و باز شود. درایوهای یک ترابایتی در سال ۲۰۰۷ واردِ بازارِ مصرفکننده خواهند شد. نکته در اینجا است که همیشه باید نقشهی دوّمی در نظر یا آماده داشته باشید تا در صورتی که روش اصلی کار نکرد، از آن استفاده کنید. روند جالبی که قابلمشاهده است، رشد رسانههای ذخیرهسازی است. مفهوم قانون مور که در ارتباط با توان پردازشی است، کاملاً شناختهشده است. از زمانِ ابداع سختدرایوها تا زمانی که حجم آنها به ۱ گیگابایت رسید، ۳۵ سال طول کشید. امروزه ۱ گیگابایت بهطور معمول در دوربینهای دیجیتال و تلفنهمراهها بهکار برده میشود. ۱۴ سالِ دیگر طول کشید تا درایوی ۵۰۰ گیگابایتی یا نیم ترابایتی واردِ بازارِ مصرفکننده شد. تنها دو سال بعد، این مقدار دو برابر شد و به یک ترابایت رسید [PC World]. همگام با ادامهی این روند، حجم دادههایی که نیاز به بازرسی دارند، نیز بهشدّت گسترش خواهد یافت.
در خصوص آمادگی برای پاسخگویی، داشتنِ یک دستگاه لینوکس ضروری است. برخی از افراد مکینتاش را بیشتر دوست دارند، و در این وضعیت نیز بهخوبی کار میکنند. سیستمی که بتواند تنظیمات SMB و NFS را انجام دهد، netcat، ftp، و scp را اجرا کند، میتواند بسیار ارزشمند باشد.سیستم مبتنی بر ویندوز نیز میتواند این کارها را انجام دهد ، منتها نیاز به نرمافزارهای ثالث بیشتری برای انجام این کارها دارد. سیستمِ مبتنی بر *نیکس این توانایی را نیز دارد تا گسترهی وسیعتری از سیستمهای فایل را نصب کند. وقتی که دادهها بازیابی میشوند، تمام ابزارهای *نیکسِ بومی برای جستوجو و دستکاریِ دادهها در دسترس خواهند بود.
نکات پنهان…
محتویات پیشنهادیِ جعبهابزار
جعبهابزار شما باید حاویِ اجزاء زیر باشد:
سختافزار سختدرایوهای هدف، مسدودکنندهی نویسش، و کابلها (شبکه، IDE، و SCSI)
نرمافزار دیسکهای راهانداز و درایورها هم برای سیستم قانونی شما و هم هر سیستمی که ممکن است با آن روبهرو شوید، بهویژه برای کارتهای شبکه
ابزارها کلیدهای آلِن، آچار پیچگوشتیهای بزرگ و کوچک (استاندارد، فیلیپس، و تورکس)
دیگر محتویات برچسبها، کیسههای ضدّ الکتریسیتهی ساکن، خودکارها و نشانهگذارها، رسانههای خام: (سیدیها، دیویدیها)، و دوربین
آخرین چیزی که باید در نظر گرفت این است که ممکن است دادهها به دلیلِ فرّار بودن، نیاز به حفظ و صیانت داشته باشند. فرّارترین داده باید پیش از همه حفظ شود. این موضوع اغلب در مورد سیستمهای در حالِ اجرا صادق است، اما روشی که در موردِ سیستمهای زنده بهکار میبریم در آیندهی نزدیک اهمیت بیشتری خواهد یافت. مثالی از ترتیبِ بازیابیِ دادههای سیستمی بر اساس فرّار بودن آنها ارائه میکنیم:
- اطلاعات سیستم زنده این اطلاعات شاملِ حافظه، جدول مسیریابی، نهانحافظهی ARP، و فهرست پردازش میشود. دغدغهای که در ارتباط با اطلاعات سیستم زنده مطرح است، این است که تصویربرداری از حافظهی سیستم یا دادههای زندهی دیگر با تغییرِ دادههای اصلی، دشوار یا غیرممکن است.
- حافظهی مجازی فایلهای صفحهبندی و فضای پایاپای
- دیسکهای فیزیکی سختدرایوهای فیزیکیِ سیستم
- پشتیبانها رسانههای پشتیبان آفلاین مانند نوار مغناطیسی یا دیگر رسانهها: کاملاً این احتمال وجود دارد که دادههایی که شما به دنبالِ آنها میگردید امروز روی سیستم موجود نباشند، در حالی که دیروز آنجا بودند و در پشتیبانِ شبِ گذشتهی آنها نیز وجود دارند.
از آنجا که ممکن است طیّ انجام بازپرسی جرایم سایبری، با گسترهی وسیعی از سیستمها و افزارهها روبهرو شد، باید جعبهابزار بزرگ و قابلانعطافی ایجاد کرد. این جعبهابزار نه تنها باید شاملِ سختافزار و نرمافزار موردنیاز برای کار با افزارههای گوناگون باشد، بلکه باید حاویِ جعبهابزارِ مخصوص خود بازپرس، جعبهابزاری از فنون و روشهای گوناگون برای کار با آنها، نیز باشد. این جعبهابزار باید شاملِ منابعی باشد تا بتوان در زمانی که رویّهکارِ قانونی در موقعیتی قرار میگیرد که فراتر از مهارتهای او است، به آن منابع مراجعه کرد و از آنها کمک گرفت.
مشکلات در حین جمعآوریِ مدرک از افزارههای غیرسنتی
ما شاهدِ انقلابی در رشد رسانههای ذخیرهسازی بودهایم، منتها توسعهی پیوستهی رسانههای ذخیرهسازیِ جایگزین را نیز مشاهده کردهایم. تنوع افزارهها و قالبهای ذخیرهسازی همچنان چالشی مهم است. این افزارهها شامل موارد زیر هستند، هر چند محدود به اینها نمیشوند:
واسطهای سختدرایو
اولین نوع، گرچه در واقع چیز جدیدی نیست، با محبوبیّت ساتا و دیگر فنآوریها ایجاد شده است. معمولاً، سختدرایوها IDE یا اِسکازی بودند. IDE، ۳ ۱/۲ یا ۲ ۱/۲ بود. به مددِ رخدادهای شگفتانگیزی که در فنآوری روی داد، ما هماکنون سختدرایوهایی با واسط ۱.۸ اینچی داریم. ضمیمهی ساتا نیز در هر دو اندازهی ۳ ۱/۲ و لپتاپی وجود دارد که خوشبختانه هر دو از رابطهای یکسانی استفاده میکنند. پس از آن، تمام آداپتورهای اسکازی قرار دارند. کانال فیبر نیز هست که منتها بحث در بارهی آن را موکول به زمان دیگری میکنیم. در غیابِ آداپتور درایو، همیشه میتوان از کشفوکسبِ شبکهای استفاده کرد که بهای آن صرفِ زمان است. منتها، کارت شبکههای بیشماری وجود دارند که باید برای آنها دیسک راهانداز یا درایورهای موردنیاز را ساخت یا جمعآوری کرد.
بهترین راه برای اینکه همیشه آمادگی لازم را برای واسطهای درایو مختلف داشته باشیم، این است که گزیدهای از آداپتورهای درایو را دمِ دست داشته باشیم. قیمتِ اغلبِ آنها نسبتاً ارزان است. اغلبِ آداپتورها این امکان را دارند که بتوان از افزارهی مسدودکنندهی نویسشِ IDEِ استاندارد استفاده کرد، یا اینکه بهصورت فقط-خوانشی نصب میشوند. همیشه پیش از استفاده از پیکربندیِ مربوطه در کشفوکسب واقعی، آن را آزمایش و اعتبارسنجی کنید.
اگر درایوِ مربوطه با مسدودکنندهی نویسش سازگار نباشد، همیشه میتوان از گزینهی کشفوکسب از طریق شبکه یا USB استفاده کرد.
MP3 و سیستمهای سرگرمی دیجیتال
پخشکنندههای MP3 مانند آیپادها همچنان بهلحاظ ظرفیت ذخیرهسازی و تواناییها در حالِ رشد هستند. بسیاری از آنها میتوانند بهعنوان سامانهای شخصی عمل کنند. همچنین، بسیاری از افزارهها میتوانند بهعنوان حافظهی ذخیرهسازیِ قابلحمل عمل کنند. علاوه بر این، بدافزاری ایجاد شده است تا بتوان با استفاده از افزارههایی مانند آیپادها دادههای سیستمها را به سرقت برد.
اغلبِ این افزارهها میتوانند مانند سختدرایوی خارجی رفتار کنند. اگرچه بسیاری از آنها سختدرایو کوچکی دارند که میتوان آن را جدا کرد و درایو مربوطه را برای کشفوکسب خارج کرد، این کار میتواند خستهکننده و دشوار باشد. یکی از راهبردهای قابلاطمینان این است که از طریق واسطِ خودِ آنها کشفوکسب کنند که معمولاً همان USB است. همچون درایو خارجی، آنها را نیز میتوان از طریق رهیافتهای سختافزاری یا نصب روی درایو در برابر نویسش مسدود کرد، و از طریق سیستمعامل بهصورتِ فقطخوانشی کرد.
نکات پنهان…
ذخیرهسازیِ دادهها روی رسانههای جایگزین
چرا باید حتی به دادههایی که روی رسانههای جایگزین هستند، نیز توجه کنیم؟ این افزارهها، علاوه بر پتانسیلی که برای ذخیرهسازی دارند، آنقدر توانمند شدهاند که به نرمافزار این امکان را میدهند که روی خودِ آنها اجرا شود. چند مثال:
پادخوری پادخوری به استفاده از آیپاد برای سرقت اطلاعات از یک سیستم میگویند. همینکه آیپاد متصل میشود، برنامهای اجرا میشود و تمام فایلهای مطابق با انواع مشخصشده را ظرف چند دقیقه در آیپاد کپی میکند. با توجه به افزایش ظرفیت ذخیرهسازیِ آیپاد، میتوان محتویات چند سیستم را روی فقط یک افزاره ریخت.
پخشکنندههای MP3 و دستگاههای خودپرداز (ATMها)
پخشکنندههای MP3 که توانایی ضبط صدا را دارند، با استفاده از ضبط صداها از طریق خطوط تلفن، توانستهاند که برخی از ATMها را در معرض خطر کشف قرار دهند. زمانی که تمام دادهها گرفته میشوند، میتوان آنها را برای سرقت از حسابهایی بهکار برد که از ATM استفاده کردهاند.
تلفنها و PDAها
امروزه تقریباً هر کسی حداقل یک یا چند تلفنهمراه در کنار خود دارد. مرز میان تلفنهمراه و PDA محو و نامشخص شده است. بهطور مشابه، مرز میان تلفنهمراه، PDA، یا رایانه نیز محو شده است. اینکه افزارهای بیش از ۱ گیگابایت حافظه داشته باشد، چیز غریب و نامتداولی نیست، و میتواند معدن طلای داده و مدرک محسوب شود. فقط این اطمینان را حاصل کنید که تشریفاتِ اداریِ فرآیندِ قانونی یا خطمشیهای حریم شخصی در طولِ عملِ توقیف مدّ نظر قرار گرفته باشند. دادههای موجود در افزارههایی که با استفاده از باتری کار میکنند، بینهایت فرّار هستند، و لازم است که بهسرعت پردازش شوند یا با استفاده از منبع تغذیهای نگهداری شوند. مراقبت ویژهای نیز باید در بارهی اجتناب از آلایش داده در افزارههای بیسیم صورت گیرد، بنابراین باید استفاده از افزارهی فارادی را مدّ نظر قرار داد.
احتمالاً تلفنهمراهها یکی از بغرنجترین مسائلِ قانون دیجیتال هستند. حجم وسیعِ تولیدکنندگان، تراشهها، و سیستمعاملها (که بسیاری از آنها اختصاصی هستند) موجب میشود که جمعآوری دادهها از تمام افزارهها با استفاده از فرآیندی یکسان ممکن نباشد. اغلب نمیتوان رونوشت فیزیکی کاملی از تمام حافظهی موجود در یک افزاره بهدست آورد. بسیاری از بستههای نرمافزاری میتوانند رونوشتی منطقی از اطلاعات ایجاد کنند. برخی از بستههای نرمافزاری نیاز به نصبِ اَپلِت یا درایوری دارند تا بتوانند امکانِ کشفوکسب را ایجاد کنند. با توجه به این بوده که برای اتصال به افزارهی مربوطه باید آن افزاره متصل به منبع تغذیه باشد، تقریباً تمام کشفوکسبها کشفوکسبهای زنده هستند. کشفوکسبِ افزاره دادهها را تغییر خواهد داد. فرّاریت دادهها در افزارههای همراه، در تناقض با حوزهی سنتیِ قانون دیجیتال است؛ از آنجا که این نوع کشفوکسب، تصویری آنی در لحظهی معینی از زمان است، مشابهِ ضبطِ قانونیِ شبکه است. به احتمال زیاد، اگر افزارهی مربوطه دوباره کشفوکسب گردد، دادههای آن متفاوت خواهد بود، و آمیختههای دادهها نیز به نوبهی خود متفاوت خواهند بود. البته، هر کدام از کارتهای حافظهی درونِ افزارهی مربوطه را میتوان با روش سنتی نیز کشفوکسب کرد.
تلفنهمراه یا PDAِ دارای بیسیم باید با استفاده از افزارهی فارادی ایزوله شوند. افزارهی بیسیم باید دارای منبع تغذیهی جانبی نیز باشد که اگر باتریها نتوانستند تا زمانی که دادههای آن پردازش شوند، از آن پشتیبانی کنند، از این منبع تغذیهی اضافی استفاده شود. این امر از این جهت دارای اهمیت ویژهای است که برخی از افزارهها زمانی که ایزوله میشوند، مدام اخطار میدهند و بهدنبالِ شبکه میگردند، که در این حالت، ذخیرهی توان خود را سریعتر از حالت عادی مصرف میکنند. با توجه به مشکلِ فرّاریت که ناشی از شبکههای بیسیم و توان است، افزارهی مربوطه باید هر چه سریعتر پردازش شود. همچنین، رویّهکاران خواهند فهمید که هیچ راهحلّ اعجازآمیزی برای تلفنها و PDAها وجود ندارد. جعبهابزار گستردهای از نرمافزارها و کابلها برای رویارویی با افزارههای گوناگون مورد نیاز است. در نهایت، اگر همهچیز با شکست روبهرو شود، میتوان دادههای موجود در افزارهها را با بازرسیِ دستیِ آنها و عکسبرداری از صفحهنمایشها، همگام با پیشبردِ بازرسی، مستند ساخت.
حافظههای فلَش
افزارههای بسیاری از حافظهی فلش استفاده میکنند. پخشکنندههای MP3، دوربینهای دیجیتال، تلفنهمراهها، درایوهای USB، و دستافزارها نمونهای از آنها هستند. هنگامِ جمعآوری و توقیف مدرک بهدقت بهدنبالِ تمام رسانهها بگردید. قالبهایی مانند Mini SD بینهایت کوچک هستند. همچنین، بهدنبالِ سختافزاری باشید که ممکن است در کنار رسانهی مربوطه باشد. برخی از قالبها مانند xD در تعداد محدودی از افزارهها بهکار میروند. از آنجا که قالبهای بسیاری در حال حاضر وجود دارند و بسیاری قالبهای دیگر هم در حال ایجاد هستند، حافظهی فلش میتواند چالشبرانگیز باشد. چگالی حافظهها همگام با حافظههای ذخیرهسازیِ دادهها، بهطور عام، بهبود مییابد، در نتیجه برخی از رسانههای فلش کاملاً در حالِ افزایش هستند.
کارتخوانهای حافظهی فلش برای گسترهی متنوعی از قالبها ضروی هستند. خوشبختانه این کارتخوانها ارزانقیمت هستند و داشتنِ آنها این امکان را به شما میدهد که اغلبِ قالبها را همیشه دمِ دست خود داشته باشید. برخی از نسخههای قانونی آنها وجود دارند که بهصورت فقطخوانشی ساخته میشوند، این امر موجبِ کاهش مشکلات احتمالی میگردد، اما کارتخوان عادی میتواند با هر کدام از روشهای دیگر بهکار گرفته شود تا از درستی و بینقصیِ دادهها محافظت نماید.
نکات پنهان…
درایوهای هوشمند U3
درایوهای هوشمند U3 جزء آخرین رهیافتهای فنآوریِ ذخیرهسازیِ قابلحمل هستند. اگرچه استفاده از آنها، به دلیل وجود خصیصههایی مانند نرمافزار قابلحمل، بسیار سودمند و ساده است، میتوانند برای رویّهکار قانونی چالشبرانگیز باشند. برخی از همان خصیصههایی که درایوهای U3 را آنقدر روان و کارآ میسازند، میتوانند مشکلساز باشند. درایوهای U3 بر اساس طراحیای که دارند، موقعِ پاک کردن، تمامِ دادههای شخصی را پاک میکنند، در نتیجه وقتی چیزی از سیستم پاک میشود مصنوعات بسیار کمی باقی میمانند تا بتوان آنها را آنالیز کرد. همچنین، درایوهای U3 مثلِ برخی از سیدیها خصیصهی خوداجرایی دارند. همانطور که در پروژههایی مانند U3 USB Hacksaw از HAK.5 نشان داده شده است، خصیصهی خوداجرایی میتواند مشکلی امنیتی باشد. زمانی که USB Hacksaw واردِ سیستمی گردد، بهطور خودکار نرمافزاری را اجرا میکند که اسناد موجود در دستگاه آلودهشده را مکانیابی و آنها را از طریق ایمیل رمزبندیشده به مهاجم موردنظر ارسال میکند (www.hak5.org/wiki/USB_Hacksaw).
درایوهای U3 معمولاً نرمافزاری امنیتی نیز دارند که میتواند نواحی حفاظتشدهای در درایو مربوطه ایجاد نماید تا از دادههای کاربر محافظت کند. این نواحیِ رمزبندیشده میتوانند برای رویّهکار قانونی چالشبرانگیز باشند و دسترسی او را با مشکل روبهرو سازند.
دستگاههای بازی
کنسولهای بازیِ بهبودیافته و بهروزی مانند ایکسباکس، ایکسباکس ۳۶۰، یا PS2 میتوانند منبع مدرک باشند. برای مثال: ایکسباکسی با تراشهای بهروز و مرکز رسانهایِ ایکسباکس میتواند سیستمی قدرتمند باشد که از آن برای ذخیرهی ویدئو، موسیقی، یا دادههای دیگر استفاده شود. این سیستم میتواند نقشِ سرور یا خدماتگیرنده را داشته باشد. سیستمهای بهبودنیافته از سیستم فایل اختصاصی استفاده میکنند که توسط بیشتر برنامههای قانونی پشتیبانی نمیشود. آنچه اوکدابِ این سیستم را پیچیده و دشوار میسازد این است که معمولاً کار سختی است که از ظاهر سیستم بتوان گفت که آیا دستگاه مربوطه بهبودیافته است یا نه. این نمونه مثالی است که نشان میدهد برخی از اطلاعات و اوکدابِ بازپرسانهی سنتی میتواند حجم کاریِ رویّهکار قانونی را کاهش دهد.
حتماً باید طی فرآیند توقیف مدرک، سیستم بازی را مدّنظر قرار داد. طی کشفوکسب و بازرسی، میتوان با این سیستم، در اساس، مثل هر رایانهی شخصی دیگری رفتار و عمل کرد چرا که از گذرگاههای سختدرایوِ بنیادینِ یکسانی استفاده میکنند.
GPS
استفاده از گیرندههای سیستم موقعیتیابیِ جهانی در بسیاری از وسایل نقلیه یا دستافزارها تقریباً رایج شده است. این گیرندهها میتوانند اطلاعات ارزشمندی در قالب راهنشانها یا مکانهای عبوری در اختیار ما قرار دهند. برخی از گیرندههای پیشرفتهتر، امواج رادیویی تلفنهمراه را نیز ترکیب میکنند تا امکانِ ردیابی یا دیگر کاربردهای دادهای را فراهم کنند. این گیرندههای دورگه، مانند بسیاری از افزارههای دیگر، همچنان مرزِ میان انواع دستهبندیهای درایوهای سنتی را محو میکنند. بنابراین، رویّهکار قانون دیجیتال باید از چه رویّهای استفاده کند؟ رویّهی GPS یا رویّهی تلفنهمراهِ دایرهی مربوطه؟
پیش از کار با GPS باید تمریناتی را انجام داد. برای ارتباط با واسطِ این افزاره، اغلب نیاز به درایورها یا نرمافزاری است که تولیدکنندهی مربوطه آنها را معین کرده است. اگر هیچ راهی برای استخراج دادهها از این افزاره نباشد، مثل تلفنهمراه، ممکن است لازم باشد که بازرسی دستی بههمراهِ عکسبرداری صورت گیرد.
ضبطکنندههای ویدئویی دیجیتال
ضبطکنندههای ویدئویی دیجیتال (DVR)، از سیستم TiVo یا MythTV گرفته تا سیستم دوربین تجاری، کمکم جای خود را در منازل بهعنوان بخشی از سیستمهای سرگرمی یا در بنگاههای تجاری بهعنوان بخشی از سیستم امنیتی باز کردهاند. بسیاری از DVRهای تجاری از سیستم فایل یا قالبهای دادهای اختصاصی استفاده میکنند. ممکن است این سیستمها نیاز به فایلکاوی یا آنالیز دستی داشته باشند. TiVo علاوه بر داشتنِ قابلیتِ شبکهی وایفای و انتقال داده به دیگر رایانههای شخصی، در حال حاضر امکان دسترسی به برخی از کارکردهای اینترنتی محدود را نیز میسر میسازد. همچنین، ممکن است ضبطکنندههای ویدئویی دیجیتالِ تجاری از کدگذار/گشاهای ویژهای برای بازپخش استفاده کنند؛ افزارههای خود را پیش از یورش به آنها بررسی کنید.
DVRها نیز باید طی فرآیند توقیف مدرک مدّنظر قرار گیرند. طی کشفوکسب و بازرسی، میتوان با این سیستمها، در اساس، مثل هر رایانهی شخصی دیگری رفتار و عمل کرد چرا که از گذرگاههای سختدرایوِ بنیادینِ یکسانی استفاده میکنند. مشکل متداولی که در بازرسیِ DVRهای تجاری وجود دارد، تعیین قالب فایلهای ویدئوییِ آنها است. بهمحضِ روبهرو شدن با DVR باید بیدرنگ به بررسیِ افزارهی مربوطه و کدگذار/گشاهای بهکار رفته در آن پرداخت.
سیستمهای PBX و VoIP
مرز میان PBXِ سنتی و ITِ روزمره بهلحاظ مجازی محو و ناپدید شده است. تکاملِ پروتکل صوت از طریق اینترنت (VOIP)، با بهرهگیری از کارتهای واسطِ مبتنی بر PCI و نرمافزاری که بهمنظور کار بر روی سیستمعاملهای غیراختصاصی طراحی شده است، PBX را تبدیل به تنها یکی از خدماتدهندههای موجود کرده است. خدماتدهندهی Asterisk که روی سیستم لینوکس اجرا میشود یا YATE که روی سیستم ویندوز اجرا میشود، نمونههایی از این حوزه هستند. خدماتدهندههای ایمیل صوتی و سیستمهای پاسخگوییِ صوتیِ تعاملی نمونههای دیگری از این سیستمها هستند. با توجه به روند گسترش خدمات VOIP در سختافزار مصرفی و گسترش تجسسِ امنیتیِ پروتکلهای VOIP، تجهیزات تلفنی بیش از پیش هدفِ جرایم سایبری قرار خواهند گرفت. رشد و تکامل VOIP و اینکه توجه پژوهشگران امنیتی به آن جلب شده است، به این معنا است که توجه کلاهمشکیها و شِکنگرها نیز به آن جلب خواهد شد. هنگام برخورد با این سیستمها، به یاد داشته باشید که واسطهای بسیاری، فراتر از اترنت مانند PSTN و ISDN، برای این شبکههای ارتباطاتی وجود دارند.
مستندسازیِ اتصالات همیشه از اهمیّت بسیاری برخوردار است، اما هنگام روبهرو شدن با افزارههای ارتباطاتی، این کار نسبت به حالت معمول اهمیت بیشتری مییابد. PBX، مثل بسیاری از سیستمهای دیگر در عرصهی افزارههای غیرسنتی، برای پشتیبانی از اخذِ تصمیمات صوتی در بارهی نحوهی برخورد با آن، نیاز به تحقیق و بررسی دارد. با PBXِ مبتنی بر سرور سنتی میتوان مانند هر سرور دیگری رفتار کرد، منتها PBXِ تجاریِ قدیمی، جزء تجهیزات کاملاً تخصصی است که نیاز به مهارتهای ویژهای دارد.
نکته
منابعی برای قانون رسانههای جایگزین:
Phone Forensics Yahoo Group
مشکلات مستندسازی سختافزار
مستندسازیِ پیکربندی سختافزار، بخش خستهکننده اما ضروریِ فرآیند قانونی است. دامنهی مستندسازی رابطهی مستقیمی با تعداد و نوع افزارههایی دارد که کشفوکسب میشوند. آنچه ما، بهعنوان بازرسان، نباید به خود اجازه دهیم که فراموش کنیم، جوانب مختلفی است که در مستندسازی سختافزار مطرح هستند.
در خودِ فرآیند مستندسازی، تمام پیکربندیهای سیستم، از جمله سختافزار نصبشده و تنظیمات بایاس مانند افزارهی راهاندازی، باید مستند شوند. از دیگر جوانب ضروریِ مستندسازی سختافزار، تنظیمات زمانی سیستم و ساعت سیستمِ هر کدام از افزارهها است. زمان سیستم باید مستند و با زمان واقعی مقایسه گردد. بههنگامِ ایجاد خطّ سیر زمانی یا دیگر آنالیزها، تنظیمات منطقهی زمانی نیز تعیینکننده است. در صورت وجود سرور زمانیِ NTP باید به آن اشاره کرد. توجه داشته باشید که سیستم روی دامنهی مایکروسافت ویندوز، زمان خود را با کنترلکنندهی دامنه هماهنگ خواهد کرد، اما بهطور پیشفرض، زمان میتواند حدود ۲۰ ثانیه از دست برود و بهخوبی کار کند.
قانون سنتی الزام میکند که تمام اعداد و برچسبهای شناسایی مستند شوند. اغلب بهعنوان بخشی از فرآیند مستندسازی، عکس تمام لبهها و برچسبها گرفته میشود. انجام این کار در سیستمهای بزرگ، بینهایت دشوار خواهد بود. ممکن است حدود یک روز طول بکشد تا همهچیز را جدا کرد و از همهی سیستمهای موجود در یک قفسه عکس گرفت. بسته به روشی که برای کشفوکسب دادهها از سیستم در پیش گرفته شده است، باید پس از انجام کشفوکسب، مستندسازیِ سختافزاریِ کاملاً دقیقی صورت گیرد. اگر سیستم مربوطه زنده باشد، به احتمال زیاد خاموش کردنِ سیستمی پیچیده بهمنظور مستندسازی آن، و سپس راهاندازی مجدد آن بهمنظور انجام کشفوکسب، مطلوب نخواهد بود. اگر فرصت داشته باشید، محفظهی سرور تیغهای و سرورهای موجود در مرکز داده را ظرف یک روز ملاحظه کنید. همانگونه که رایانهی شخصی معمولیای را مستند میکنید، این کار را در بارهی هر کدام از این تیغهها نیز مدّنظر قرار دهید. در آن هنگام این بوده را در نظر داشته باشید که یک قفسهی معمولی، اغلب حاویِ شش محفظه است که هر محفظه حاویِ ۱۶ سرور تیغهای است. امیدارم پرسنلِ IT مستندسازیِ مناسبی در این زمینه داشته باشند تا از روی آن بتوانند کار کنند. اگر به جای اینکه خودتان تمام کار را از صفر انجام دهید، بتوانید از روی مستندات موجود موارد مربوطه را بررسی نمایید، میتوانید مقدار زیادی در زمان صرفهجویی کنید.
سیستم ذخیرهسازی بزرگ میتواند مثال دیگری باشد از مواردی که افزارههای مربوطه باید پس از کشفوکسب مستند گردند، مگر اینکه از گزینهی فیزیکی استفاده شده باشد. دلیل این امر این است که بهلحاظ عملی ممکن نیست که بتوان هر درایو را بهطور مجزا تصویربرداری کرد. وقتی که تصویربرداریِ منطقیِ سیستم ذخیرهسازی کامل شد، میتوان درایوهای مربوطه را از محفظه خارج و مستند کرد. مستندسازیِ قفسهبهقفسهی سختدرایوها حتی از مستندسازیِ سرورهای تیغهای نیز کار دشوارتر و وحشتناکتری است.
جانماییِ شبکه و تمام سیستمهایی که بهطور مستقیم، مثلاً از طریق NFS یا SMB، با سیستم مربوطه تعامل دارند، نیز باید مستند گردند. اگر بازپرسی گسترش یابد، شاید لازم باشد که مستندسازیِ شبکهی پیرامونی نیز افزایش یابد، بهگونهای که شاملِ کلیدها، مسیریابها، و هر کدام از تجهیزات دیگر شبکه نیز بشود. در مواردی مانند نفوذ، هر کدام از این مسیرها میتوانند منبعِ در خطر افتادن سیستم بوده باشند.
آخرین فقرهای که باید مستند گردد، مکان کنسول است، البته اگر چنین چیزی وجود داشته باشد. حتی امروزه، تمام دسترسیهای غیرمجاز از طریق اتصال شبکه رخ نمیدهند.
کلید بازپرسی موفقیتآمیز، در مستندسازیِ کامل و شفاف نهفته است. اگر رویداد مربوطه منجر به دادرسی گردد، گزارش ایجادشده از روی مستندسازی، مرجع ارزشمندی در اختیار بازرس قرار خواهد داد. مستندسازی کامل کمک میکند تا هر شک و شبههای که وکیلمدافع یا هر شخص ثالث دیگری در قضیهای مدنی ایجاد میکند، رفع شود.
مشکلات در حین جمعآوریِ دادهها از افزارههای سان، ناس، و آرایههای Raid
اگر وارد عرصهی شرکتی یا دولتی شوید، مشاهده میکنید که سختدرایو ۵۰۰ گیگابایتی تبدیل به سیستمهای ذخیرهسازی چند ترابایتی یا پِتابایتی شده است. هنگام روبهرویی با یک سانِ ۲۰ ترابایتی، گرفتن تصویر قانونی از درایوهای فیزیکی و بازهمگذاریِ آن حجم منطقی، پیچیدگی بسیاری دارد. این مشکل را نیز به مسئلهی قبلی بیفزایید که تدارک و پشتیبانی از نگهداریِ تصاویر قانونی یا تهیهی سختافزار ذخیرهسازیای که «متناسب با مورد مربوطه باشد»، همیشه عملی نخواهد بود.
فرض کنیم که شما توانستید آرایهی سانِ ۲۰ ترابایتی را تصویربرداری و نگهداری کنید، و احتمالاً آن را در قالب حجمی منطقی بازهمگذاری نمایید؛ چه میزان توان رایانهای و زمان باید صرف شود تا بتوان آن حجم از دادهها را تفتیش کرد؟
این عرصه به جایی رسیده است که باید فرآیند اوکداب بهتری صورت بگیرد تا مدرکی که مناسب و مرتبط با بازپرسی است، اول از همه جمعآوری گردد. باید عملیات موازی بیشتری اتخاذ گردد. مراحل بازرسی و آنالیز باید بهمحضِ اینکه سیستم مربوطه اوکداب شد، آغاز گردند و در عین حال، کشفوکسب و تصویربرداری از مواردی که اهمیت کمتری دارند، همچنان ادامه یابد. این امر موجب بازدهی بیشتر فرآیندهای بازرسی و آنالیز خواهد شد، و این امکان را میدهد تا بازپرسیها بهموقع تکمیل گردند.
بسته به اهداف بازپرسی، اغلب نیازی به تمام سیستم نیست. اگر فقط یک شخص بهخاطر کلاهبرداری مالی تحت بازپرسی باشد، در آن صورت احتمالاً چندان ارزش یا ضرورتی ندارد که از تمام ۲۰ ترابایت حافظهی موجود در سرورِ فایل تصویربرداری شود، کاری که ۲۰۰ کارمند دیگر را نیز تحت تأثیر قرار خواهد داد. بهتر است منطقهای را که آن شخص دسترسی داشته، اوکداب کرد، و سپس شروع به کار با آن دادهها کرد.
RAID
آرایهی افزونهایِ دیسکهای مستقل و ذخیرهسازهای یورشی شبکه برای نگهداری حجم انبوهی از دادهها بهکار میروند و معمولاً سطحی از افزونگی را ارائه میدهند. RAID از چند دیسک استفاده میکند تا افزونگی یا افزایش کارآیی را روی یک دیسک ایجاد کند. از دید قانونی، RAID بهصورت یک دیسک منطقی بهنظر میرسد، اما چندین دیسک فیزیکی را تحت پوشش قرار میدهد. در صورتی که دیسکهای فیزیکی بهطور مجزا از هم برداشته و جداگانه تصویربرداری شوند، باید بعداً با استفاده از نرمافزار قانونی، RAIDِ مربوطه بازهمگذاری شود تا دادههای مناسب را بهدست آورد. معمولاً انجامِ کشفوکسبِ درایو منطقی مربوطه آسانتر است. اگر خطمشیهای سازمان شما چنین الزامی دارد، پس از کشفوکسب منطقی میتوان کشفوکسب فیزیکیِ تمام درایوها را انجام داد. نکتهای در بارهی بازهمگذاریِ آرایهی RAID: مطمئن شوید که پیکربندی کنترلکنندهی RAID را بهدست آورید. در صورتی که همگذاریِ تصاویر فیزیکی انجام شود، داشتنِ این پیکربندی میتواند مقدار زیادی در زمان شما صرفهجویی کند.
سان
شبکههای ناحیهی ذخیرهسازی (سان) مانند ناس، نه تنها به دلیل اندازهی آنها، بلکه به دلیل فنآوریِ بهکار رفته در آنها چالشبرانگیز هستند. دو نوع برجستهی سان، کانال فیبر و آیاسکازی هستند. نکتهی مثبت در بارهی سانها این است که آنها در قالبِ اعداد واحد منطقی (LUN) از هم متمایز میشوند. اگر دادههای مرتبط با بازپرسی فقط محدود به یک سیستم باشند، احتمالاً LUNِ اختصاصدادهشده به آن سیستم، تنها بخشی از سان خواهد بود که باید کشفوکسب گردد. انتخاب منطقیای که میتوان برای سکّوی تصویربرداری انجام داد، لینوکس است، چرا که مسدودکنندههای نویسشِ کانال فیبر زیادی در زمان این نویسش وجود ندارد. نکتهی مهم این است که باید مطمئن شد که از آداپتور گذرگاه میزبان (HBA) پشتیبانی میشود. سانهای آیاسکازی معمولاً میتوانند از طریق آداپتور شبکه متصل شوند. اگر زمان برای ما از اهمیت بیشتری نسبت به بودجه برخوردار است، HBAهای آیاسکازیای با پشتیبانیِ لینوکس موجود هستند که میتوانند مقداری از بار پردازشیِ CPU را کم کنند. HBAها مدار مجتمعِ ویژهبرنامهی اسکازیِ بر-صفحهای دارند، که بهرهی کارآییِ قابلملاحظهای ایجاد میکنند.
بزرگترین چالش هنگام کار با سان، حافظهی ذخیرهسازیای است که دادهها باید به آن کپی شوند. تولیدکنندگان در حالِ ساختِ رهیافتهایی فوقالعاده مانند محفظههای RAIDِ قابلحملِ چندترابایتی هستند تا به حلّ این موضوع کمک نمایند. گزینهی دیگر استفاده از نرمافزاری است که امکان گسترش رسانهی هدف را طی کشفوکسب مهیا میسازد.
ممکن است سختافزار موردنیاز برای کار با سیستمهای ذخیرهسازی بزرگ گرانقیمت باشد. RAIDِ قابلحملِ چندترابایتی و مسدودکنندهی نویسشِ کانال فیبر میتوانند حدود ۱۰ هزار دلار هزینه بردارند.
ناس
افزارههای ذخیرهسازی وابستهی شبکه (NAS) اسبابی هستند که تنها هدف آنها تأمین ذخیرهسازی دادهها است. ناس از آن جهت میتواند بههنگامِ تصویربرداریِ قانونی چالشبرانگیز باشد که خدمات و پروتکلهای محدودی را اجرا میکند. اگر بتوان آنها را از طریق سیستمی وابسته کشفوکسبِ قانونی کرد، چنین گزینهای ترجیح داده میشود. در غیر این صورت، احتمالاً باید ناس را همبرداری کرد و درایوبهدرایو تصویربرداری کرد. افزارههای ناس بسیاری وجود دارند که برای کاربران خانگی یا تجاری کوچک طراحی و بازاریابی شدهاند. آنها دیگر فقط مختصِّ بنگاههای تجاری بزرگ نیستند. جای خوشبختی برای بازپرس جرایم سایبری دارد، که ظرفیتهای ذخیرهسازی هنوز خیلی بزرگ نیستند- اما با گذشت زمان این قضیه تغییر خواهد کرد.
بنابراین، ما چگونه میتوانیم باز هم از بِهرویّههای سنتی استفاده کنیم، در حالی که هیچ راه عملیای برای دسترسی مستقیم به درایوها و تصویربرداری فیزیکی وجود ندارد؟ مسئلهی کاملاً واقعی دیگری که باید در بارهی سیستمهای ذخیرهسازی بزرگ مدّنظر قرار گیرد، این است که سرمایهگذاری بزرگی روی سختافزار صورت گرفته است. از آنجا که سرمایهگذاری بزرگی صورت گرفته است، بهلحاظ منطقی میتوان اینگونه فرض کرد که سیستم مربوطه وابسته به سیستمی است که حداقل بهلحاظِ سودِ حاشیهای اهمیت است. بنگاهی تجاری که باید سیستمهایاش در حالِ کار باشند تا بتواند کسب درآمد داشته باشد، باید تصمیمی تجاری در این باره بگیرد که آیا گسترهی کار را محدود سازد تا زمان خاموشی را کم کند یا نه.
مشکلات در حین جمعآوریِ دادهها از دستگاههای مجازی
دستگاههای مجازیای که روی یک سیستم میزبان ساکن میشوند، به دلایل گوناگونی رواج یافتهاند، از سرورهای مجازی تجاری گرفته تا اهداف خلافکارانهای روی دستگاه یک کلاهمشکی. برنامههای مجازیسازی تا حدی رشد و تکامل یافتهاند که میتوان سیستمهای قابلاطمینانی برای دستگاههای تولیدی ساخت و نه اینکه همچون گذشته، فقط کار توسعهای و آزمایشی انجام داد. آنچه دستگاههای مجازی را جالب توجه میسازد، این است که آنها میتوانند میزبانِ یک سیستمعامل باشند که آن سیستمعامل، میزبانیِ چندین سکوی مجازیسازی را برعهده داشته باشد، و هر کدام از این سکوها دارای چندین دستگاه مجازی از سیستمعاملهای مختلف باشند. رویّهکار قانونی با شبحی از چندین سیستمعامل، و پیچیدگیِ هر کدام از برنامههای مجازیسازیِ موجود در یک سیستم مواجه است. کافی است RAID یا حافظهی ذخیرهسازی خارجیای به آن اضافه کنید تا فرد آرزو کند که ای کاش شغل خود را تغییر دهد.
خوشبختانه اغلبِ مجموعهبرنامههای قانونی اصلی، از عمدهی قالبهای متداول دیسک مجازی پشتیبانی میکنند، که کشفوکسب را کمی آسانتر میسازد. در صورت روبهرویی با سیستمی زنده، دستگاههای مجازی نیز میتوانند درست مانند سیستمی فیزیکی بهطور زنده تصویربرداری شوند.
کشفوکسب ایستا یا مرده بستگی به انتخاب ابزار دارد. یکی از گزینهها این است که فایل دیسک مجازی را از تصویرِ دستگاه میزبان استخراج کنیم و فایل دیسک مجازی را بهعنوان یک درایو نصب کنیم. گزینهی دیگر، استفاده از ابزاری مانند برنامهی VMware Disk است. این برنامه این امکان را میدهد که دیسک مجازی مربوطه بهعنوان درایوی وابسته به سیستم ظاهر شود. در نتیجه، در صورتی که از ابزار انتخابی بهطور طبیعی پشتیبانی نشود، با این روش میتوان با استفاده از آن ابزار از دیسک مجازی موردنظر تصویربرداری کرد. در واقع، دیسک مجازی بسیار شبیه به تصویری dd بههمراهِ دیگر دادههای اضافی است.
مشکلات در حین انجامِ کشفوکسب و آنالیز حافظه
روزبهروز نیاز به آنالیز حافظه افزایش مییابد و انجام این کار روی سیستمهای در-حالِ-اجرا رایج میشود. بهویژه نظر به اینکه سیستمها میتوانند حتی بدون دسترسی به دیسک، در معرض خطر قرار گیرند و تنها ممکن است مصنوعاتی در حافظه باقی بمانند. محصولاتی تجاری مانند Core Impact چنین کاری را انجام میدهند، بنابراین دور از ذهن نیست که این محصول یا فنآوری آن برای اهداف خلافکارانه بهکار گرفته شود.
نمونههای گوناگونی از بدافزارهایی مانند Witty Worm وجود دارند که فقط حافظهمقیم هستند. این دادهها و دیگر دادههای بازپرسی که بهطور بالقوه ارزشمند هستند، از دست خواهند رفت اگر ما همچنان فقط سیستمهایی را بازرسی کنیم که خاموش شدهاند. حجم دادههایی که امروزه حافظهمقیم هستند، بیش از صد برابر بزرگتر از کلّ سختدرایو در دههی ۱۹۸۰ است. این مثال دیگری است از اینکه روشها و بِهرویّههای پذیرفتهشده، از موج فنآوری عقب افتادهاند.
نکته
ماریوس بورداچ (Mariusz Budrach) مقالهی فوقالعادهای در بارهی کشفوکسب و آنالیز حافظه، روی وبگاه خود قرار داده است:
http://forensic.seccure.net/pdf/mburdach_digital_forensics_of_physical_memory.pdf
از «تصویر» نامیدنِ کشفوکسب حافظه اجتناب کنید. این کار، از دید قانون سنتی، تصویری حقیقی نیست. دلیل آن این است که بدون در اختیار داشتنِ سختافزار تخصصی، واقعاً امکان ندارد که بتوان تصویری بیتی از حافظهی سیستم ایجاد کرد، بدون اینکه بخشی از آن را تحت تأثیر قرار داد. از یک منظر، این موضوع بهلحاظ مفهومی شبیه به اصل عدم قطعیت هایزنبرگ است: زمانی که مکان الکترون مشخص میشود، دیگر آنجا نیست و حرکت کرده است. زمانی که حافظه کشفوکسب میگردد، معمولاً تغییر یافته است.
اغلبِ *نیکسها امکان کشفوکسب حافظه را بهآسانی فراهم میسازند، زیرا این سیستم، حافظه را بهصورتِ فایلی مانند هر فایل دیگر میبیند. dd یا هر کدام از گونههای قانونی آن مانند dcfldd میتوانند برای ایجاد کشفوکسب حافظه بهکار روند. مایکروسافت ویندوز امکان دسترسی به شیء حافظهی فیزیکی را میدهد اما برای دسترسی به آن، نیاز به امتیازات ویژهی مدیریتی است. ابزارهایی وجود دارد که امکان کشفوکسب حافظه را میدهند؛ نسخههای dd که برای ویندوز ترجمه شدهاند، از همه رایجتر هستند. ابزارها و اسکریپتهایی نیز وجود دارند که به آنالیز رونوشت مربوطه کمک مینمایند.
یک نکته: در ویندوز ایکسپی ۶۴ بیتی، ویندوز ۲۰۰۳ سرور SP1، و ویندوز ویستا بحث امنیت توسعه یافته است. این نسخه از سیستمعاملها تمام دسترسیها به حافظهی فیزیکی در حالت کاربری را مسدود کردهاند.
بهنظر میرسد در آینده افزارههایی سختافزاری مانند کارت PCIِ اختصاصی [hwmem] یا از طریق واسط فایروایرِ IEEE 1394 [fwmem] بهوجود خواهند آمد، منتها با اینکه مفاهیم و نمونههای اولیهی آنها چندین سال است که وجود دارند، هیچ محصول تجاریای بهطور آماده موجود نیست. مزیت آشکارِ رهیافتهای سختافزاری این است که تأثیر کمتری روی سیستمِ در-حالِ-اجرا دارند. به این دلیل، به احتمال قریب به یقین، رهیافتهای سختافزاری بهعنوان روش موردتوجه ظاهر خواهند شد. هماکنون بر سرِ رویّهی کشفوکسب حافظه بحثهایی وجود دارد و این بحثها همچنان نیز ادامه خواهند داشت. دیدِ بسیاری از افراد به IT بهعنوان چیزی است که موجب آلودگی مدرک میشود. دیگرانی نیز به IT به این عنوان نگاه میکنند که میتواند تمام دادهها و مدارک موجود را کسب کند. مثالی که اغلب برای دفاع از این ادعا مطرح میشود، صحنهی جرم فیزیکی است که واحد صحنهی جرم به ناحیهی موردنظر وارد میشود تا سرنخها و اثر انگشتها رابازیابی نماید. اعمال و حرکات آنها کاملاً مستند میشوند تا بتوان اثبات کرد که تا حدّ امکان کمترین آلودگی را ایجاد کردهاند. در حوزهی دیجیتال، بسیاری تصور میکنند اگر همان توجه و مراقبت را در مستندسازیِ تمام اعمال رعایت کنند، در آن صورت آلودگی کنترل و مستند میشود.
نظر شخصی من این است که من ترجیح میدهم دادهها را بهدست آورم و بعداً بر سرِ قابلیت پذیرش آن مبارزه کنم، تا اینکه بخواهم دادههای کلیدی و اطلاعات بازپرسانهی بالقوه را از دست دهم.
بازرسی
بازرسی شاملِ وارسی و کاوش روشمندِ دادهها است. این کار میتواند شاملِ بازرسیِ تاریخها، فرادادهها، تصاویر، محتوای سند، یا هر چیز دیگری باشد. بسیاری از رویّهکاران قانونی از فرآیندی گامبهگام برای بازرسی خود استفاده میکنند؛ جستوجوی کلیدواژه، کسب پیشینهی وب، جستوجوی فضای اختصاصنایافته، جستوجوی فضای شناور فایل. همهی این چیزها بستگی به هدف بازپرسیِ شما دارند. به خاطر داشته باشید که این رویّهی قانونی فقط بخشی از بازپرسیِ وسیعتری است. از آنجا که ممکن است نیازهای بازرسی در طول بازپرسی تغییر یابند، به اعتقاد من فهرست انتخابِ قانون سنتی که بسیاری از افراد از آن استفاده میکنند، کمکم غیرکاربردی میشوند. رویّهی قانونِ نینتِندو که شاملِ اجرای برخی جستوجوهای کلیدواژهای و برخی از اسکریپتهای نوشتهشده توسط دیگران است، احتمالاً بسیاری از مدارک کلیدی را از دست میدهد.
هر چه حجم دادهها بزرگتر باشد، نیاز به روشهای اوکداب بهتری بههنگامِ ساماندهی فرآیند است تا بازرسی دقیقتری از نواحی کلیدی مانند رجیستری ویندوز صورت گیرد. استفادهی افزایشیافته از ابزارهایی مانند آمیختهها برای فیلترِ فایلهای شناختهشده، در کنار ابزارهای دیگر برای دستهبندی فایلها بهمنظورِ بازرسی متمرکز، میتواند بههنگامِ روبهرویی با حجم عظیمی از دادهها به افزایش سرعت فرآیند بازرسی کمک نماید.
نکات پنهان…
ابزارهای قانونی
ابزارهای بسیاری وجود دارند که میتوانند به بازرسی قانونی کمک نمایند. انتخاب ابزار میتواند بر اساس ترجیحات شخصی، یا قدرت برنامههای اختصاصی، یا گاهی بر اساس بودجه باشد. بستههایی قانونی وجود دارند که میتوانند هزاران دلار هزینه بردارند یا اینکه رایگانافزار باشند. صرف نظر از ابزارهای انتخابی، بهترین رویّه این است که در صورت امکان، از چندین ابزار استفاده شود تا به دلیل مشکلی مرتبط با ابزار، پارهای از مدارک از دست نروند- زمانی که چندین ابزار، کشفیات بهدستآمده را تایید و بر سر آن توافق نمایند، هر گونه شک و تردیدی در بارهی قابلیت اطمینان ابزار مربوطه از بین میرود.
برنامهی سودمندِ مجموعههای آمیخته
مجموعههای آمیخته فهرستهای پیشترجمهشده یا پایگاهدادههایی از فایلآمیختههای شناختهشده هستند. برای نمونه، تمام فایلهای مرتبط با نصب یک برنامه یا دنبالهای از تصاویر غیرقانونی با استفاده از الگوریتم رمزنویسیای آمیخته میشوند و آمیختههای بهدستآمده در گردآوردی نمایهشده قرار داده میشوند. در طول بازرسی، آمیختههای مجموعهبرنامهها با تمام آمیختههای فایلهای کشفشده روی سیستم مقایسه میشوند. اگر آمیختهها با هم منطبق باشند، بهلحاظ ریاضیاتی تقریباً این اطمینان ایجاد میشود که فایل مربوطه، صرفنظر از نام آن، همان فایلِ مرتبط با برنامهی موردنظر است. بهطور سنتی، از آمیختهها برای کشف فایلهای مشکوکِ شناختهشدهای مانند بدافزار، ابزارهای شکنگر، یا تصاویر غیرقانونی استفاده شده است.
درست همانطور که میتوان از مجموعههای آمیخته برای جستوجوی چیزهای بدِ شناختهشده استفاده کرد، از طریق همین فرآیند میتوان از آنها برای مکانیابیِ فایلهای خوب یا بیخطر شناختهشده استفاده کرد. با استفاده از مجموعههای آمیخته برای مکانیابیِ فایلهایی که مرتبط با بازپرسی نیستند یا فایلهای تغییرنایافتهی سیستمعامل هستند، برای مثال، میتوانند نویز را فیلتر کنند. بسته به اوکدابِ مورد مربوطه، مجموعهی آمیختهی فایلهای شناختهشدهی سیستمعامل میتوانند بهسرعت مقداری از فایلها را فیلتر کنند که این فایلها، در حالت کلی، نیازی به بازرسی ندارند. برای نمونه، رویدادی که در آن، احتمالاً سیستم در معرض خطر قرار نگرفته است، لازم نیست که از همان ابتدا تمام فایلهای درایور را جستوجو یا بازرسی کرد. استفاده از آمیختهها برای فیلترِ فایلهای شناختهشده، شناختهشده به اینکه از سوی فروشندهی سختافزار تغییر نیافتهاند، میتواند حجم اطلاعاتی را که نیاز به بازرسی دارند تا حدّ زیادی کاهش دهد و این کار به نوبهی خود موجب میشود که زمان بازرسی سیستم نیز بسیار کاهش یابد. فایلهای باقیمانده یا تغییر یافتهاند یا فایلهایی در فضای کاربر هستند که احتمالاً در جایی قرار دارند که مدرک یا اطلاعات واقعی نیز در آنجا قرار گرفتهاند.
نکته
ایجاد مجموعههای آمیختهی شخصی، بهعنوان بخشی از عملیات آمادهسازی، میتواند بعدها موجب صرفهجویی در زمان شود. ایجاد مجموعههای آمیخته از تمام تصاویر طلایی یا استانداردِ ایستگاههای کاری و سرورهای بهکاررفته برای برنامههای نصبشدهی جدید، موجب میشود که فقط فایلهای تغییریافته یا اضافهشده موردِ آنالیز قرار گیرند. فایلهای برنامههای داخلی نیز میتوانند آمیخته گردند و مجموعههایی ایجاد شوند که کمک میکنند تا فایلهایی نیز فیلتر شوند که در اغلبِ مجموعههای آمیختهی رایج وجود ندارند.
مشکلات مرتبط با بازرسیِ سیستم دارای رمزبندی تمامدیسک
یکی از مشکلاتی که روزبهروز رایجتر میشود، رمزبندی تمامدیسک است. این امر نحوهی کشفوکسب سختدرایوها را تغییر خواهد داد. از آنجا که مسئلهی گم شدن یا دزدیده شدنِ لپتاپها همچنان روی سازمانها اثرگذار است، بسیاری از ادارات IT رو به رمزبندی تمامدیسک یا پارهدیسک آوردهاند تا از دادهها محافظت کنند. تعبیر این قضیه برای رویّهکار قانونی این است که معمولاً دادههای مدّنظر در بخشهای رمزبندیشدهی درایو مربوطه قرار دارند.
اگر تمام دادههای مدّنظر رمزبندی شده باشند، رویّههای قانونی سنتی بیفایده خواهند بود. گزینههایی که در اختیار داریم، یکی، در صورت امکان، انجام تصویربرداری زنده از سیستم در حالی است که حافظهی رمزبندیشده نصب است، و دیگری کشف رمزِ درایو مربوطه پس از کشفوکسب آن است.
در حالی که مشکلات بسیار دیگری نیز در قانون دیجیتال معاصر وجود دارد، این، یکی دیگر از جاهایی است که بِهرویّهها و روشها از فنآوری عقب میافتند. هر رهیافتی که شما بهکار میبندید، باید ارزیابی گردد و روشهای مخصوصِ خودِ شما ایجاد شوند. برای پردازش حجم انبوهی از دادهها، تقریباً همواره تصویربرداریِ سیستم زنده سریعتر انجام خواهد گرفت.
ماژول سکّوی قابلاعتماد (TPM)
ماژول سکّوی قابلاعتماد، فنآوری نوظهور دیگری است که موجب توسعهی طرحهای رمزبندی کنونی خواهد شد. TPM تراشهای است که در دستگاههای جدیدتر نصب میشود و کلیدها، گذرواژهها، و گواهینامهها را ذخیره میکند. این تراشه امکانِ رمزبندیِ سختافزاری را فراهم میسازد که میتواند چالشبرانگیز باشد.
روششناسیِ پیشنهادی برای نحوهی رفتار با درایوهایی که بهصورتِ تمامدیسک رمزبندیشدهاند، چنین است:
- بهطور سنتی تصویربرداری کنید
- تصویر کشفوکسبشده را روی دیسک هدفِ زدودهشدهای ذخیره کنید
- دیسک هدف را کشفِرمز کنید
- دیسک هدفِ کشفِرمزشده را کشفوکسب کنید
- دیسک کشفِرمزشده را مثل حالت عادی آنالیز کنید
این روششناسی، اگرچه زمان موردنیاز را بهطور قابلتوجهی افزایش میدهد و حافظهی موردنیاز را دو برابر میکند، موجب میشود که نسخهی اصلی بدون تغییر باقی بماند و تصویر قانونیِ نسخهی اصلی را نگهداری میکند. این روش ساده بهنظر میرسد، اما چالش اصلی در گام سوم است. اگر رمزبندی قوی باشد و کلید آن در دسترس نباشد، برای کشفِرمز درایو مربوطه احتمالاً نیاز به چند ابررایانهی کِرِی و کدشکنهای NSA خواهد بود. به جای آن منابع، میتوان از فوتوفنهای گذرواژهشکنی استفاده کرد. به دلیل پیچیدگیِ گذرواژهها و حجم گذرواژههایی که کاربر متوسط باید به خاطر بسپارد، گرایش به گذرواژههای ثبتشده دوباره ایجاد شده است. هنگامِ جستوجوی گذرواژهها، جاهای پنهانی را از سر تا پا بگردید. به یاد داشته باشید که در طول پاسخگوییِ رویداد و مراحل توقیف، گذرواژهها را بررسی کنید. فوتوفنّ دیگر این است که از مدرکِ کشفشدهی دیگر استفاده کرد تا واژهنامهای ایجاد کرد و با استفاده از آن، حملهی عملیاتی بیرحمانهای را اجرا کرد. به خاطر داشته باشید که آمیختهی درایو رمزبندیشدهی اصلی با درایو کشفِرمزشده مطابق نخواهد بود. آنها مجموعههای دادهایِ متفاوتی هستند و باید به همان صورت مستند گردند.
فرآیندهای قانونی جایگزین
مفهوم جدیدتری که میتوان مطرح کرد یا لااقل عنوان آن جدید است، قانون سریع است. قانون سریع اینگونه تعریف میشود: «آن فرآیندهای بازپرسانهای که در چند ساعت ابتداییِ بازپرسی انجام میشوند، که اطلاعاتی را در اختیار قرار میدهد تا طی مرحلهی بازجویی از مظنون بهکار روند. با توجه به اینکه لازم است تا اطلاعات در چارچوب زمانی نسبتاً کوتاهی کسب شوند، قانون سریع معمولاً همراه با آنالیز در-محل/میدانیِ سیستم رایانهای موردنظر است.» [nw3c] برای پیادهسازیِ قانون سریع، نیاز به برخی از منابع و روشهای اضافهی دیگری است تا بتوان برخی از بازرسیها و آنالیزهای ابتدایی را بیرون از آزمایشگاه انجام داد. تمرکز اصلی در این کار، روی تهیهی برخی از اطلاعات مهم است تا مدارک یا سرنخهای کلیدی در اختیار بازپرسان قرار گیرد تا از آنها در بازجوییها یا دیگر تفتیشهای خود استفاده کنند.
برخی از روشهای قانون سریع از لینوکس یا دیگر دیسکهای راهاندازی قانونی استفاده میکنند تا تفتیشهای سرِصحنه یا مستندسازیِ موارد استخراجی را انجام دهند. دیسکهای راهاندازی فقط در حافظه اجرا میشوند و سختدرایوها را بهصورتِ فقطخوانشی نصب میکنند تا مدرک مربوطه معیوب یا خراب نگردد.
آنالیز
هر رویداد جرم سایبری، حداقل با سطحی از آنالیز دادهها همراه خواهد بود، دادههایی که از سیستمها بازیابی شدهاند. برخی شاملِ فقط چند فایل کوچک از یک یا دو سیستم هستند، یا ممکن است شاملِ چندین ترابایت از دستگاههای بسیاری باشند. هستهی بازپرسی میتواند شاملِ فقط یک رسانه یا شاملِ هزاران سختدرایو باشد. فوتوفن این کار در آنالیزی است که تمام تکههای جورچین را در کنار هم قرار میدهد. آنالیز کلّ جرم سایبری میتواند بسیار پیچیدهتر از آنالیز تکتکِ سیستمهای مربوطه باشد؛ جمعآوری و کنار هم گذاشتنِ بخشهای مختلف، بهراستی عظیمتر از تمام کار است. میتوان این کار را به یک همنوایی تشبیه کرد. نواختنِ هر کدام از آن آلات موسیقی کار دشواری است، اما کنار هم قرار دادن و هماهنگ کردنِ همهی آنها با هم کار بسیار پیچیدهتری است. بازپرس جرایم سایبری باید جعبهابزاری از برنامههای سودمند بسازد تا بتواند دادههای بهدستآمده از هزاران سیستم را آنالیز نماید و تکهدادههای مختلف را به هم ربط دهد تا بتواند تصویر کاملی و مرتبطی از این جورچین بهدست آورد.
مرحلهی آنالیز از فرآیند قانون دیجیتال، مرحلهای است که ما نگاه دقیقتری به دادهها میاندازیم. آنالیز، نتیجهگیری از تمام دادهها برای حلّوفصل رویداد است.
نمونهای از آنالیز در سطرهای زیر آمده است.
موردی در بارهی سرقت مالکیت فکری چندان نتیجهای نمیداد تا اینکه دادههای موجود در دستهای از سیستمها روی هم گذاشته شدند. فایلهای ثبت وقایعِ حسابرسیِ فایلسرور بازبینی شدند و فهرستِ کاربری که از آن بهدست آمد، برای پرسمانِ ثبت وقایعِ پراکسیسرور استفاده شد. زمانی که فایلهای ثبت وقایع برای آن کاربردها بازبینی شدند، با تمرکز بر ترافیکِ وبمیل و تالار گفتوگو فهرست کوتاهی ایجاد شد. از آن فهرست کوتاه برای اوکداب و اولویتبندیِ بازرسیهای ایستگاههای کاریِ کاربری استفاده شد. با بازرسی ایستگاههای کاری و بیرون کشیدنِ پیامهای وبمیل از نهانحافظهی اینترنت و بازسازی آنها، خیلی زود فرد موردنظر مشخص شد.
در طول مرحلهی آنالیز، حتماً باید تمام اطلاعات بازپرسیای که جمعآوری شدهاند، به هم ارتباط داده شوند. در این مرحله است که دادههای بهدستآمده از چندین سیستم یا منبع روی هم گذاشته میشوند که تا حد امکان تصویری کامل و بازسازی مناسبی از رویداد مربوطه ایجاد شود. بین مدرکی که به دادگاه ارائه میگردد و مدرکی که برای کشف تکهی بعدی برای بازپرسی بهکار میرود، تفاوت است. ممکن است تکهمدرکی که کشف میشود، به اندازهی کافی محکم نباشد که بتواند قائم به ذات باشد، اما شاید چیزی باشد که سرنخ بعدی را به دست ما بدهد.
عامل چالشبرانگیز بعدی این است که آنالیز مقادیر انبوهی از دادهها زمان میبرد. تحت فشار ناشی از رویداد یا فشار افکار عمومی در بازپرسیای بزرگ، اغلب کار دشواری است که بتوان انتظارِ مدیریت را مدیریت کرد. وارد کردنِ فایلهای ثبت وقایع به درون برنامههای مختلف، زمان بسیار زیادی میبرد. ساعتها طول میکشد تا دادهها را بین سیستمهای ذخیرهسازی انتقال داد و کپی کرد. این آمادگی را داشته باشید که بتوانید توضیح دهید که چرا ارائهی برخی پاسخهای ابتدایی چندین روز طول میکشد. شاید هفتهها یا ماهها طول بکشد تا تمام دادهها کاویده شوند، و تمام چیزها ریزبهریز بررسی شوند، بهویژه در رویدادی که ممکن است دادههای مشتری را تحت تأثیر قرار داده و دارای الزامات گزارشی باشد.
نکات پنهان…
پادقانون
پادقانون حرکتی است که از ضعفهای موجود در فرآیند یا ابزارهای قانونی بهرهجویی میکند. همچنین، میتواند مجموعه از اعمال برای پنهانسازیِ دادهها در برابر بازرسی قانونی باشد. روشهای قدیمی بسیار ساده بودند، بهطوریکه در آنها اسکریپتی اجرا میشد که فرمان تاچ را روی هر فایلی اجرا میکرد تا تاریخ و زمان آن را تغییر دهد. از دیگر روشهای قدیمی، پاک کردنِ فایلهای موقت و فایلهای ثبت وقایع هستند. ابزارها و روشهای دیگری ظهور کردهاند که بسیار پیچیدهتر اند.
متااِسپلویت مجموعهی جامع و شناختهشدهای از ابزارهای آزمایش نفوذ، متااِسپلویت فریموُرک تبدیل به مجموعهای از ابزارهای پادقانون شده است.
تایماِستومپ ابزاری که این امکان را به شما میدهد تا هر چهار مشخصهی زمانیِ NTFS را اصلاح کنید: زمانِ اصلاح، دسترسی، ایجاد، و اصلاح مدخل.
اِسلَکِر ابزاری که این امکان را به شما میدهد تا فایلها را درون فضای شناورِ سیستمِ فایلِ NTFS پنهان کنید.
ترانسموگریفای ابزار نوظهوری برای غلبه بر قابلیتهای امضاءِ فایل در ابزارهای قانونی، که این کار را با پنهانسازی یا آشکارسازیِ فایلهای شما تحت پوششِ انواع مختلف فایل انجام میدهد.
و ابزاری که مثل بقیه دقیقاً ابزاری پادقانونی نیست،
سام جوسِر ماژول فرامُفسّری که از آمیختههای سام رونوشت برمیدارد، منتها این کار را بدون هیچگونه تماسی با دیسک انجام میدهد. ابزارهایی مانند pwdump به دیسک دسترسی پیدا میکنند و بهطور بالقوه ردّ پای زیادی از خود باقی میگذارند (www.metasploit.com/projects/antiforensics/).
دیفایلِر تولکیت دیفایلر تولکیت شاملِ دستهای از ابزارها است که امکان پاک کردنِ فایلها از سیستمهای یونیکس را بهگونهای ایمنتر فراهم میسازد. این جعبهابزار از نِکروفایل و کلیسمافایل تشکیل شده است. هر دو فایل تغییراتی در سیستمِ فایل ایجاد میکنند تا هرگونه مدارک مربوط به فایلهایی را که زمانی وجود داشتهاند، از بین ببرند. نکروفایل اینودها را بازنویسی میکند یا در اصل میزداید، البته اینودهایی را که دیگر هیچ نامِ فایلی در ارتباط با آنها وجود ندارد. کلیسمافایل همین کار را در بارهی جدولِ فهرستِ راهنما انجام میدهد. بهلحاظ نظری، با مشاهدهی فضای خالی در جدول فهرست راهنما میتوان فهمید که از کلیسمافایل استفاده شده است، اما چنین چیزی باید بهدقت جستوجو و بررسی گردد. اطلاعات بیشتری در بارهی دیفایلر تولکیت در آدرس www.phrack.org/archives/59/p59-0x06.txt قابلدسترس است.
ابزارهای تجاری ابزارهای پادقانون، دیگر فقط در انحصار اَبَرهکرها نیستند. با وجود ابزارهای تجاریِ قابلدسترسی که میتوانند بهطور ایمن پاکسازی کنند، حتی کاربران تازهکار رایانه نیز میتوانند ردّ پای الکترونیکی خود را پنهان سازند.
- اِویدِنس اِلیمینِیتور:
www.evidence-eliminator.com/ Robin Hood Software
- ویندو واشِر:
www.webroot.com/consumer/products/windowwasher/n-Webroot Software
اگرچه این ابزارها عاری از خطا و شکست نیستند، میتوانند عملیات قانونی را بینهایت دشوارتر سازند (www.phrack.org/archives/59/p59-0x06.txt).
همانطور که ممکن است هر نوع سیستم یا افزارهای از میان گونههای متنوع آنها در بازپرسی جرم سایبری دخیل باشند، ممکن است فقط یک دستگاه و یا هزاران دستگاه در این کار درگیر باشند. اضافه شدنِ چند سیستم، فرآیند آنالیز را پیچیده میسازد، چرا که دادههایی انبوهی که از بازرسیهای بسیاری بهدست آمدهاند، کنار هم گذاشته میشوند.
آنالیز یک رایانهی مجزا
اغلب بازپرسیهای جرایم سایبری با بازرسی سیستم یا افزارهای همراه است، و اغلب با بازرسیِ یک رایانه آغاز میشود. کانون بازرسی میتواند همانقدر متنوع باشد که وظایف و کاربردهای رایانه هستند.
فرادادهها
فرادادهها دادههایی در بارهی دادهها هستند. بهعنوان مثال، نویسندهی سندِ Word، یا تاریخ ایجادِ صفحهگسترده جزء فرادادهها هستند. منبعی که میتوان برای مرورِ فرادادههای مایکروسافت آفیس معرفی کرد، Microsoft KB223396 است. بسته به گستره یا نوع بازپرسی، از اهمیت فرادادهها غافل نشوید.
موردی که سرنخ بزرگ خود را از فرادادههای سند بهدست آورد، موردِ BTK بود. قاتلِ BTK نرمدیسکی بههمراهِ پیامی که در سندی قرار داشت، به ایستگاه تلویزیونی ویچیتا KSAS ارسال کرد. بازرسی قانونیِ آن نرمدیسک، وجودِ یک فایل و برخی از فایلهای پاکشده را آشکار ساخت. فرادادههای فایلِ Test Art.rtf نشان دادند که آن فایل آخرین بار توسط کاربری به نامِ دِنیس ذخیره شده است و نام کلیسایی را فهرست کرده بودند. با جستوجویی که برای وبگاه آن کلیسا انجام شد، مشخص شد که رهبرِ گروهِ آن کلیسا دنیس رادِر بود، که سرانجام محکوم به قتلهای BTK شد. [Stone]
قالبِ فایلِ تصویری قابلتبادل
قالب فایل تصویر قابلتبادل (EXIF) فرادادههایی هستند که در فایل تصویر موجود هستند، و اگرچه بسته به افزارههای مختلف متفاوت اند، میتوانند اطلاعات ارزشمندی مانند نوع و مدلِ دوربینی که آن عکس را گرفته است، ارائه دهند. همچنین، EXIF میتواند مشخص سازد که آیا تصویر مربوطه بهوسیلهی برنامهای گرافیکی تغییر یافته است یا نه. دادههای EXIF میتوانند تصویری را به دوربینی با مدل مشخص یا تلفنهمراهِ دوربینداری با مدل مشخص مرتبط سازند. همچنین، دادههای EXIF اغلب دارای تاریخنگاره و زماننگارههایی هستند که نشان میدهند تصویر مربوطه کِی گرفته شده یا تغییر یافته است. چندین قالب EXIF وجود دارد؛ بنابراین، ممکن است دادهها اندکی با هم تفاوت داشته باشند. همچنین توجه داشته باشید که تمام افزارهها تمام دادهها را منتشر نخواهند کرد.
آنالیز دودویی و بدافزار
یکی از الزامات، تواناییِ آنالیز دودویی و بدافزار است. گام اولیه این است که بتوان هر نوع بدافزاری را که ممکن است در سیستم باشد، شناسایی کرد. این کار هم از طریق شناسایی بهوسیلهی مجموعههای آمیخته، و هم از طریق عدم فیلتر بهوسیلهی مجموعهی آمیخته میسر است. زمانی که فایلی شناسایی میشود که مشکوک است، دو روش عمده برای آنالیز آن وجود دارد: ایستا و پویا.
آنالیز ایستا مستلزم این است که در فایلهای دودویی بهدنبالِ رشتههای متنی بگردیم یا شناسایی کنیم که آیا فایل مربوطه بستهبندی شده است یا نه. بستهبندیِ فایل اجرایی موجب فشردهسازیِ فایل مربوطه میشود، و معمولاً مهندسی معکوس را دشوارتر میسازد.
آنالیز پویا از آنالیز رفتاری استفاده میکند تا بدافزار یا کنشهای آن را شناسایی کند. فایل مربوطه در محیطی امن مانند شبکهای آزمایشی یا دستگاهی مجازی قرار داده میشود. سپس، این فایل اجرا میشود و کنشهای آن در محیطِ آزمایشگاهیِ نرمافزار مشاهده میشود. مواردی مانند ترافیک شبکهی تولیدشده یا فایلهای دسترسییافته ملاحظه میشوند و برای آنالیز فایل دودویی بهکار میروند.
نکات پنهان…
دستگاههای مجازی
دستگاههای مجازی، محیطهای ساختگیای از قانون هستند که برای آزمایش خرابی بهکار میروند. علاوه بر اینکه برای آنالیز بدافزار مفید هستند، برای مستندسازیِ کنشهای نرمافزار قانونی یا حتی کنشهای کاربر مفید هستند. بههنگامِ تلاش برای کشفِ جایی که ممکن است مدرک مرتبط با برنامههای موردنظر روی سیستم باشد، آزمایش در دستگاهی مجازی، امکانِ نظارت پویا را میدهد تا بازرس را به سوی مصنوعات ایستایی رهنمون شود که روی سیستم واقعی قرار دارند.
بههنگامِ انجام قانون رایانهای، شناساییِ بدافزارهای موجود در سیستم از اهمیت زیادی برخوردار است. اگر وجود بدافزار کشف شود، همهچیز در خصوصِ مورد شما از بین نمیرود.
میتوان بر بدافزار مربوطه نظارت کرد تا کنشهای آن را شناسایی کرد. زمانی که مستند شد، و کنشهای آن ثبت شدند، میتوانید تعیین کنید که آیا کنشهای بدافزار موجب تولیدِ نتایجِ موردبحث شدند یا نه. اگر بدافزار مربوطه مدرک موردنظر را تولید نکرده باشد، در صورتی که وکیل مدافع ادعا کند که بدافزار مربوطه مدرک را تولید کرده است و نه متهم موردنظر، میتوانید با آن مقابله کنید. اگر بدافزاری وجود نداشته باشد، باز هم میتوان با دفاعیهی تروجان مقابله کرد.
نکته
دفاعیهی تروجان روشی است که در آن، انجامِ برخی از کنشهای موجود در سیستم انکار میشود و تقصیر را بر گردنِ بدافزاری مانند ویروس یا کرم میاندازند.
اقلام پاکشده
قدرت برنامههای قانونی در این است که بتوانند فایلهای پاکشده را بهتمامی بازیابی کنند یا حداقل مصنوعاتی را بازیابی کنند که آن برنامه ایجاد کرده است. وقتی که سیستمعامل فایلی را پاک میکند، دادههای مربوطه را از بین نمیبرد؛ بلکه فقط اشارهگرِ فایل را تغییر میدهد تا به سیستم فایل اطلاع دهد که این فایل دیگر وجود ندارد و فضای مربوطه آمادهی دادههای جدید است. در نتیجه، برنامههای قانونی فایلهای پاکشدهای را که هنوز وجود دارند، شناسایی میکنند یا مصنوعاتی را که زمانی وجود داشتهاند، نمایش میدهند. فایلهای پاکشده با اثبات کنشهای ارادیِ متهمان برای پنهانسازیِ کنشهای خود، میتوانند روی مجرمیتِ آنها تأثیرگذار باشند.
دادهکاوی
انواع مختلف فایلها تکهدادههایی در ابتدا و انتهای خود دارند که مشخص میسازند چه فایلی هستند. این تکهدادهها سرعنوان و پاعنوان نامیده میشوند. برنامهها و ابزارها، با استفاده از امضاهای سرعنوانها و پاعنوانها میتوانند فایلها یا تکههایی از فایلها را از میانِ بُنجُلدادههایی که روی رسانهی ذخیرهسازی هستند، بازیابی کنند یا بکاوند. میتوان واژههای فایلهایی را که حاویِ نویسههای متنِ ساده هستند، از میانِ بقایای آنها کاوید. دادهکاوی میتواند کاری وقتگیر و خستهکننده باشد. البته، این کار ارزشِ صرف وقت را دارد چرا که میتوان مدرکی را بازیابی کرد که از راههای دیگر از دست میرود.
آنالیز ایمیل
آنالیز ایمیل، علاوه بر چالشهای فنی، مسئولیت قانونی نیز دارد. فرآیند قانونی، برای مأموران اجرای قانون، بستگی به حالت دادهها دارد. دادستانان باید خطمشیهای مناسبی برای بخش خصوصی پیادهسازی و بازدید نمایند تا انتظارات لازم برای حریم شخصی را برآورده سازند.
روی ایمیل میتوان آنالیز بسیار بیشتری نسبت به سرعنوان انجام داد. آنالیز ایمیل میتواند بستگی به این داشته باشد که دادههای موردنظر روی سرور ذخیره شدهاند یا خدماتگیرنده. از برنامههایی که در سکوی سرور یا خدماتگیرنده برای توابع جستوجو یا جستوجوی پیشرفته هستند، چشمپوشی نکنید. معمولاً توابع ورود و صدوری نیز وجود دارند که امکان آنالیز دادهها را در برنامههای دیگر میدهند. برای مثال، میتوان مایکروسافت اوتلوکِ PST را برای آنالیز به اِکسل صادر کرد. در اکسل میتوان گزارشهای خلاصهوضعیتی مانند شمارِ جدولِ محوری را اجرا کرد تا روندها را کشف کرد.
نکته
یکی از ابزارهای تجاری قدرتمند برای آنالیز بسیاری از انواع قالبهای ایمیل Paraben Forensics Email Examiner است. علاوه بر قابلیت کار با بسیاری از قالبهای فایل ایمیل، این توانایی را دارد که ایمیلهای پاکشده را بازیابی کند، و جستوجوهای پیشرفتهای را در گسترهی وسیعی از قالبهای ایمیل از چندین تولیدکننده انجام دهد.
آنالیز رخداد تجاری
بازرسیِ یک دستگاه میتواند پیچیده و وقتگیر باشد، اما میتواند تنها قلهای نمایان از کوه یخی بزرگی باشد که قسمت اعظم آن در زیر آب است. پیچیدگیِ بازرسیِ یک ایستگاه کاری میتواند صدها یا هزاران برابر گردد. حتی در صورت وجود چندین سیستمعامل و معماری و بار اضافیِ پیکربندیهای شبکهی پیچیده، ممکن است نیاز به دخالتِ رویّهکاران کاملاً ماهر باشد.
برای ربط دادنِ دادههای بهدستآمده از سیستمها و افزارههای مجزا در قالبی جامع، بهطوری که بتوان آنها را خلاصه و آنالیز کرد، نیاز به ابزارهایی اضافی است. فهرستی از فایلهای ثبت وقایع میتوانند معنای کاملاً جدیدی بیابند، اگر بهصورت گرافیکی ارائه شوند. مثالهایی که میتوان برای این امر ارائه کرد، نمودارهای گردشیِ سیستم و خطّ سیرهای رخداد هستند.
نمودارهای گردشی سیستم
نمودار گردشی، یا هر نمایش گرافیکی دیگر از شبکه، میتواند نشان دهد که کدام سیستمها و چه زمانی بر مبنای دادههای آنالیزشده در کنار هم قرار داده شدهاند (شکل ۹.۱ را ببینید). این نمودار، دادههای استخراجی از آدرس IPای را نشان میدهد که متعلق به ثبت وقایعِ دیوار آتش است. سپس، میتواند تکهای از تراگذرِ فهرست راهنما را از فایلهای ثبت وقایعِ آپاچی، و الخ را نشان دهد. این نمودار، بهویژه، هنگامِ توضیحِ رویداد به افراد غیرفنی، ارزشمند میشود.
شکل ۹.۱ نمودار گردشی سیستم
فراتر از سودمندیِ نمایش گرافیکی ترافیک، مقایسهی نمودار گردشی سیستم با نمودار شبکه میتواند ناحیههایی را نشان دهد که ممکن است تحت تأثیر قرار گرفته باشند اما هنوز شناسایی نشده باشند. بههنگامِ توضیح نتایج به مدیریت غیرفنی یا در صورتی که رخدادها به دادرسی، دادستانان، و هیئت منصفه برسند، اسناد گرافیکی میتوانند مفید واقع شوند.
خطّ سیرها
گرافِ خطّ سیرِ رویداد یا آنالیز میتواند گزارشی ارزشمند باشد. این گراف میتواند تمام روند پیشرفت را نشان دهد، اینکه چه آنالیزی چه زمانی روی چه سیستمی انجام شده است (شکل ۹.۲ را ببینید). اغلب آسانتر است که به جای وارسیِ صدها ایمیل، به نموداری نگاه کرد و سیرِ رویداد را دید. همچنین، خطّ سیر میتواند نشان دهد که کدام سیستمها و چه زمانی بر مبنای دادههای آنالیزشده تحت تأثیر قرار گرفتهاند. این نمودار، دادههای استخراجی از آدرس IPای را نشان میدهد که متعلق به ثبت وقایعِ دیوار آتش است. سپس، میتواند تکهای از تراگذرِ فهرست راهنما را از فایلهای ثبت وقایعِ آپاچی، و الخ را نشان دهد.
شکل ۹.۲ گراف خطّ سیر
خطّ سیرها برای بهترتیب چیدنِ سیر پیشرفتِ رخدادها، همگام با آشکار شدنِ آنها، مفید هستند. آنها برای نمایش شکافهای موجود در فعالیت مربوطه نیز مفید هستند. این شکافهای موجود در فعالیت موردنظر، ممکن است جاهایی باشند که برخی از مدارک از دست رفتهاند یا فعالیتی وجود داشته است که هنوز فاش نشدهاند. همانطور که پیش از این بیان شد، بههنگامِ توضیح نتایج به مدیریت غیرفنی یا در صورتی که رخدادها به دادرسی، دادستانان، و هیئت منصفه برسند، اسناد گرافیکی میتوانند مفید واقع شوند.
ابزارهایی برای آنالیز دادهها
راههای بسیاری برای آنالیز دادهها وجود دارند، به همان اندازه که فایلهای ثبت وقایع وجود دارند. با توجه به هزینه، کارآیی، یا پیچیدگی، هر کدام از این راهها مزایا و معایبی دارند. معمولاً ابزارهایی که بهطور روزمره توسط مدیران سیستم برای انجامِ اشکالیابی و میزانسازیِ پیشکنشی بهکار میروند، میتوانند همان ابزارهایی باشند که برای آنالیز واکنشی بهکار میروند.
معمولاً با افزایش کارآیی، هزینه و/یا پیچیدگی آنها نیز افزایش مییابد. برخی از ابزارها GREP، اسکریپتهای PERL، اِکسل، SQL، و ابزارهای قانونی شبکهی تجاری هستند.
GREP
GREP یکی از ابزارهای اجتنابناپذیر و مهارتهای ضروری برای پاسخگوی رویداد یا رویّهکار قانونی است. در واقع، فرمان GREP فایل یا فایلهایی را بهدنبالِ الگوی خاصی جستوجو میکند. قدرت آن در انعطافپذیریِ الگوهایی است که میتوان ایجاد کرد یا در تواناییای است که میتوان ساختارهای فهرستی از فایلها را بهطور بازگشتی جستوجو کرد. GREP تحت گواهیِ GPL قرار دارد، بنابراین هزینهای ندارد، و GREP از ابتدا روی تمام سیستمعاملهای *نیکس مجازی وجود دارد، و روی تمام چیزهای دیگر نیز قرار داده شده است. برای افراد تازهکار باید خاطرنشان کرد که منابع اینترنتی بسیاری در بارهی نحوهی تشکیلِ الگوهای GREP وجود دارند. محدودیت مهمی که باید بهخاطر سپرد این است که GREP روی فایلهای متنی کار میکند، و نمیتواند هر فایلی را که بر سر راهش قرار میگیرد، جستوجو کند. اگر شما با فایلهای ثبت وقایعِ متنیِ بزرگ سر و کار دارید، در آن صورت، استفاده از GREP بسیار مفید خواهد بود.
صفحهگستردهها
اگر شما بیشتر فردی دیداری هستید، با واسط کاربری گرافیکی (GUI) راحتتر هستید، و فایلهای ثبت وقایعِ شما نسبتاً کوچک هستند، در آن صورت، صفحهگسترده میتواند گزینهی مناسبی باشد. صفحهگستردهها میتوانند دادههای شما را دستهبندی، شمارش، و دستکاری کنند. مزیت دیگر آنها این است که میتوانند بر اساس دادههای شما گرافها و نمودارهای تصویریای ایجاد کنند، تا بعداً بتوانید برای مدیریت، اجرای قانون، دادستان، یا هیئت منصفه توضیحاتی ارائه دهید. میتوان توابع سادهای ایجاد کرد تا مواردی مانند آدرسهای IPِ منحصربهفرد یا شمارِ آدرسهای IP را نمایش داد. اگر فایلهای ثبت وقایع نسبتاً کوچک باشند، در آن صورت، کاربردهای آن، تنها محدود به توانایی شما در ایجاد فرمولها یا دستکاری دادهها هستند.
پایگاهدادهها
اگر فایلهای ثبت وقایع شما بزرگ باشند، ابزار موجود دیگری که میتوان بهکار گرفت، پایگاهدادهها هستند. پایگاهدادهها بهطور روزمره برای ذخیرهسازی و گزارشدهیِ دادهها بهکار میروند، بنابراین چرا برای فایلهای ثبت وقایعی که در ارتباط با رویداد جرم سایبری هستند، از آنها استفاده نشود؟ پایگاهدادهای که بهکار میرود بستگی به میزان بودجه و تخصص دارد. برخی از مشکلاتی که باید در نظر داشت، بالاسریهایی هستند که در وجوه ضروریِ پایگاهداده مانند کلیدهای اصلی، دخیل هستند. این دادههای اضافی به ملزومات ذخیرهسازی افزوده خواهند شد.
یکی از مزایای پایگاهدادههای SQL این است که آنها برای آنالیز و گزارش دادهها، راههایی را پیش پای شما میگذارند که محدود به چیزی جز خلاقیت شما نیستند. علاوه بر این، پایگاهدادهی SQL همین که ثبت وقایعِ بهدستآمده از سیستمهای مختلف درون جدولها بارگذاری میشوند، امکانِ همبستگیِ آنها را میدهد. تمام ثبت وقایع سیستمها را بارگذاری و سپس، پرسمان کنید تا تمام جاهایی را بیابید که آدرس IPای رفته است یا اقدام به رفتن کرده است. در نهایت، از آنجا که پرسمانهای SQL استاندارد هستند، میتوانند بهآسانی برای افرادی که با SQL آشنا هستند، توضیح داده شوند. معایب پایگاهدادهی SQL این هستند که اگر شما فایلهای ثبت وقایعِ بزرگی داشته باشید و بخواهید که همبستگی را انجام دهید، نیاز به حجم ذخیرهسازیِ بسیار عظیمی دارند. همچنین، پرسمانهای پیچیده در پایگاهدادههای بزرگ نیاز به توان پردازشی یا صرف وقت بسیاری دارند. انجامِ همبستگی و گزارش نیز ممکن است حتی مقدار توان پردازشی و زمان بیشتری به خود اختصاص دهند.
انعطافپذیری و توان پایگاهدادهی SQL، آن را تبدیل به ابزار بسیار ارزشمندی ساخته است که میتوان مقادیر عظیمی از فایلهای ثبت وقایع را پردازش کرد و آنها در قالبِ گزارشی جامع، همبسته کرد.
اِسنورت
میتوان از اسنورت برای آنالیز نه تنها ترافیک بیدرنگ، بلکه فایلهای ضبط استفاده کرد. استفاده از اسنورت، برای جداسازیِ امضاها و نشانههای حملهای از میانِ فایلهای ضبط که در آن جاها امکانِ وجودِ سیستم IDS نیست، میتواند مفید باشد. مزیت افزودهی آن این است که اسنورت میتواند برای جداسازیِ ترافیکی بهکار رود که بهطور سنتی جزء حملات در نظر گرفته نمیشود اما میتواند در روند بازپرسی ارزشمند باشد، مثلاً اقدام-به-ورودها. از آنجا که اسنورت برنامهای متنباز است، هزینهی آن پایین است. همچنین، اسنورت جامعهی کاربریای برای پشتیبانی دارد، و دارای مستندات خوبی نیز هست. منابع فراوانی وجود دارند که میتوان در ایجاد امضاهای سفارشی از آنها کمک گرفت.
سیستمهای مدیریت رخداد امنیتی
بسیاری از سازمانها شروع به نصبِ سیستمهای مدیریت رخداد امنیتی (SEM) کردهاند تا تمام ثبت وقایعها را از سیستمهای مختلف گردآوری و همبسته نمایند. SEMS میتواند آیندهی ابزارهای آنالیز شبکه باشد. SEMS میتواند دادههای بهدستآمده از اسباب و سیستمهای امنیتی مختلف را با سرعت زیادی همبسته نماید.
SEMS در آنالیز دادهها از طریق همبستگی و گزارش، از ارزش بالایی برخواردار است. تذکری که در بارهی گزارشِ SEMS باید داده شود، این است که ثبت وقایعِ دریافتشده یا نمایشدادهشده اغلب تغییر یافتهاند. این ثبت وقایع، اغلب کوتاه و بریده یا استانداردشده هستند، در نتیجه ثبت وقایعِ خامِ اصلی را باید از روی سیستم اصلی بازیابی و صیانت کرد.
بسیاری از SEMها هنوز با مشکلات مرتبط با کارآیی، دستوپنجه نرم میکنند و در حال مبارزه با سیل عظیم دادههایی هستند که از سوی سیستمهای مختلف جاری شدهاند. پایگاهدادهها اغلب در پیادهسازیهای بزرگ دارای مشکلات مرتبط با کارآیی هستند.
اگر یک SEMS بهخوبی پیادهسازی شود و در بنگاهی تجاری بهکار گرفته شده باشد، منبع فوقالعادهای است که میتواند در همان اوایلِ وقوعِ رویداد، در اوکدابِ سیستمهای تحتتأثیرقرارگرفته کمک کند.
گزارش
در انتهای بازرسیها و آنالیز، نوبت به شاید کسالتآورترین اما در واقع مهمترین مرحله میرسد.
گزارش، گردآوری و تلفیقِ تمام مستندسازیها، مدارک بهدستآمده از بازرسیها، و آنالیزها است. در گزارش باید مستندسازیِ تمام سیستمهای آنالیزشده، ابزارهای بهکاررفته، و کشفهای انجامشده آورده شوند. گزارش باید حاویِ تاریخها و زمانهای آنالیز، و نتایج دقیق آن باشند. گزارش باید کامل و واضح باشد، بهگونهای که نتایج و محتویات آن حتی سالها بعد نیز قابلفهم باشند.
میتوان گفت که گزارش، مهمترین مرحله از قانون دیجیتال است. اگر گزارش ناکامل باشد، یا بهدقت ابزارها، فرآیند، و روششناسی را مستند نسازد، شاید همهی این کارها به هیچ نیرزد. بسته به نیازهای سازمان شما، گزارش متفاوت خواهد بود، اما در اغلبِ موارد حداقل باید مستنداتِ افزارههایی که بازرسی شدهاند، ابزارهای بهکاررفته، و کشفیاتِ بودهای آورده شوند. حتی اگر روشی بهکار رفته است و منتج به هیچ چیزِ باارزشی نشده است، باید مستند گردد، نه تنها به دلیل کامل بودنِ گزارش، بلکه برای اثبات این موضوع که در بازرسی، تمام زمینهها تحت پوشش قرار گرفتهاند.
گذشته از تمام موانعی که در مراحل کشفوکسب، بازرسی، و آنالیز وجود داشتند، شاید بزرگترین چالشی که وجود دارد این باشد که چگونه میتوان آن را بهگونهای ارائه داد که جای برای هیچ حرف و حدیثی باقی نماند. خطر کاملاً واقعیای که وجود دارد این است که برخی از روشهای قانونی جدیدتر، تاکنون در هیچ دادگاهی به چالش کشیده نشدهاند.
نکته
این موضوع را مستند سازید که تمام نرمافزارهای بهکاررفته بهطور مناسب گواهی شدهاند. لازم نیست که در بارهی این گواهیها تمام جزئیات را بیان کنید، بلکه خیلی زود سر و تهِ آن را هم بیاورید.
در محیط شرکتی، اغلب نیاز به چند گزارش است- در کمترین حالت، گزارش آنالیز قانونی و گزارشی که برای مدیر اجرایی ایجاد میشود. چالش اصلی، وسطِ کارِ بازپرسیهای مهم یا بازپرسیهایی ایجاد میشود که موردتوجهِ افکار عمومی قرار دارند، ، و در آنها مدیریت خواستارِ بهروزرسانیها و پاسخگوییهایی میشود. اغلب، وقتی که رویداد مربوطه شاملِ تودهای از دادهها است، زمانی از فرد خواسته میشود تا پاسخگو باشد که هنوز خیلی زود است که بتوان چنین پاسخی داد. راهبردی که میتوان درنظر گرفت این است که «چیز درخشانی» ارائه داد که بتوان حواس آنها را بهاندازهی کافی پرت کرد تا به نتایجی دست یافت. چیز درخشان میتواند فقط گزارشی آماری و خلاصهی سطحِ بالایی از پیشآمدها باشد، مثلاً کشفوکسبِ ۱۰ سیستم با حجم کلیِ ۷.۵ ترابایت داده که هماکنون در حالِ بازرسی و آنالیز است.
راههای دیگرِ ارائهی دادهها در گزارشها خطّ سیرها و نمودار گردشیِ دسترسیها هستند. گزارشِ خطّ سیری از بازرسیِ قانونیِ سیستم، تاریخها و زمانهای دسترسی به فایلها را نمایش خواهد داد. گزارشِ خطّ سیری از دادههای بهدستآمده از سیستمهای مجزا، گامهایی را نشان خواهد داد که در طول بازپرسی یا آنالیز برداشته شدهاند. نمودار گردشی جزئیاتی از تأثیر یا تعامل با یک سیستم، مانند ترافیک عبوری از دیوار آتش و سپس دسترسی به سرور، را نشان خواهد داد.
خلاصه
در مقدمه، در بارهی بِهرویّههای کنونی بحث کردیم، و اینکه چگونه ممکن است بِهرویّههای کنونی تأثیری منفی از فنآوریِ در-حال-تغییر بگیرند. بزرگتری چالش، زمانی پیشِ روی رویّهکار قانونی قرار میگیرد که او در حال پیشروی است در حالی که بِهرویّهها از او پشتیبانی نمیکنند. در محیطهای متنوعتر و فرّارتر هم باید وظایف یکسانی انجام شوند. این موضوع کمکم تبدیل به معیار میشود که نمیتوان افزارهها را بهطور کامل تصویربرداری کرد، چرا که گاهی امکانپذیر نیست که بتوان تصویر فیزیکی کاملی گرفت. همچنین، ممکن است تصویربرداری فیزیکی کامل از آرایهی سانِ چندترابایتی، عملی نباشد.
حجم گستردهی افزارهها و قالبهای متنوع، این کار را برای رویّهکار قانونی بینهایت دشوارتر میسازند که بتواند در همهی آنها تخصص یابد. همچنین، نیاز روزافزونی به آموزش مداوم ایجاد میکند. جعبهابزاری که برای کار در قانون دیجیتال موردنیاز است، مانند جعبهابزار یک فردِ آچاربهدست نیست؛ بلکه تبدیل به جعبهابزار بزرگ یک مکانیک شده است.
یکی از روندهای در حال بازسازی، تمرکزِ روزافزونِ محیطهای دانشگاهی روی پژوهش در زمینهی قانون دیجیتال است. همچنین، افزایشی در برنامههای دانشگاهیِ ویژهی قانون دیجیتال ایجاد شده است، که میتواند شکاف بین دورههای تحصیلیِ دادگستری جزایی و درجات علمی IT و علم رایانهی سنتی را از بین ببرد.
آخرین نکته- بدانید که چه زمانی درخواست کمک کنید.
مراجع
NW3C. Information on the National White Collar Crime Center’s courses, including the Fast CyberForensic Triage (FCT), is available online at www.nw3c.org/ocr/courses_desc.cfm.
Penerson, Melissa, J, “Hitachi Introduces 1-TB Hard Drive,” PC World Online, 2007.Available at: www.pcworld.com/article/id,128400-pg,1/article.html.
Carrier, B. and J. Grand,“A Hardware-Based Memory Acquisition Procedure for Digital Investigations.” Digital Investigation Journal.Vol. 1, Num. 1. Elsevier Advanced Technology, 2004.Available online at:
www.digital-evidence.org/papers/tribble-preprint.pdf
Stone, Randy.“Computer Forensics and the Arrest of BTK,” ۲۰۰۵. PowerPoint Presentation available at:
www.nlectc.org/training/nij2005/StoneMarriott1.pd
مرور فشردهی رهیافتها
تکامل قانون رایانهای
- فنآوری سریعتر از بِهرویّههای قانونی تغییر میکند.
- حجم دادهها با سرعتِ بسیار زیادی در حالِ افزایش است.
- تنوع درایوها همچنان در حالِ رشد است.
- برخی از دادهها بهطور روزافزونی فرّار هستند.
مراحل قانون دیجیتال
- تنوعِ حافظههای ذخیرهسازی دادهها موجب نیاز به ابزارها و روشهای بسیاری میگردد.
- ذخیرهسازی دادهی افزایشیافته موجب نیاز به افزارههای ذخیرهسازی هدف بزرگ میگردد.
- زمان موردنیاز برای جمعآوری همچنان افزایش خواهد یافت.
- دادههای جمعآوریشدهی بیشتر، بهمعنای وجود دادههای بیشتری برای وارسی است.
- باید از روشهای کاهشِ دادههای موردنظر استفاده شود.
- افزایش در دادههای موجود میتواند آنالیز نهایی را ساده و مختصر سازد، یا اینکه فقط میتواند انبار کاهی را که سوزنی در آن پنهان شده است، بزرگتر سازد.
- آنالیز کلِّ رویداد، بسیار پیچیدهتر از بازرسیِ فقط یک سیستم است.
- شاید بتوان گفت که گزارش بسیار مهمتر از هر چیز دیگری است، چرا که روشها و روندها باید به دلیلِ تأثیرات بالقوهی آنها روی دادههای فرّار، بهخوبی مستند شوند.
- گزارش ضعیف میتواند بهترین بازپرسی جرم سایبری را بهشکلِ یک فاجعه جلوه نماید.
پرسشهای متداول
پرسشهای متداول زیر، که توسط نویسندگان این کتاب پاسخ داده شدهاند، با این هدف طراحی شدهاند که هم میزان یادگیری شما از مفاهیم ارائه شده در این فصل را بسنجند و هم به شما کمک کنند تا با کاربرد عملی این مفاهیم آشنا شوید. برای پاسخگویی به پرسشهایتان در مورد این فصل توسط نویسندهی مربوطه، به آدرس www.syngress.com/solutions بروید و روی فرم «Ask the Author (از نویسنده بپرسید)» کلیک کنید.
پرسش: آیا برای انجام مناسبِ قانون دیجیتال، نیاز به تجهیزات تخصصی هست؟
پاسخ: بله. همچنان در بارهی ملزوماتِ آموزشِ قانون دیجیتالِ معمول بحثهایی وجود دارد، اما چنین تجهیزاتی برای آموزش در قالبِ فرآیندها و روشهای مناسب نیاز است.
پرسش: مهمترین بخش از قانون دیجیتال چیست؟
پاسخ: روندها و روششناسیها نقش بنیادی دارند. اگر آنها استوار و قوی باشند، باقی کارها از آنها تبعیت خواهند کرد.
پرسش: آیا یک نرمافزار قانونی، میتواند هر آنچه را که من نیاز دارم، انجام دهد؟
پاسخ: شما هرگز نمیتوانید ابزارهایی کافی را در جعبهابزار داشته باشید. مجموعههای قانونی اصلی باید اغلبِ توابعی را که ممکن است رویّهکار قانون دیجیتالِ متوسط به آنها نیاز داشته باشد، انجام دهند. همچنین، یکی از بِهرویّهها این است که کشفیات خود را با ابزار ثانویهای پشتیبانی نمایید، بنابراین ممکن است به بیش از یک نرمافزار نیاز داشته باشید.