I mars 2015 kunngjorde CIA-direktør John Brennan etablering av et nytt CIA Directorate of Digital Innovation, det første nye CIA-direktoratet på noen fem tiår. Den nye divisjonen ble opprettet for å fremme teknikker innen digital rettsmedisin, en pilar i rettsmedisinske vitenskap relatert til aktiviteter for undersøkelse og gjenoppretting av data og metadata (data om dataene) som finnes i digitale enheter, og for å forbedre CIAs evne til å spore “Digitalt støv” som ble lagt igjen under rutinemessige nettaktiviteter. Som Brennan forklarte den 28. april i en tale på en ledermiddag for etterretnings- og National Security Alliance, "Overalt hvor vi går, alt vi gjør, etterlater vi noe digitalt støv, og det er virkelig vanskelig å operere skjult, mye mindre skjult, når du ' gjenlater digitalt støv i kjølvannet. ”
Hovedformålet med digital kriminalteknikk er evalueringen av tilstanden til en digital artefakt som potensielt kan brukes i enhver undersøkelse på et datasystem. Ved hjelp av teknikkene til digital rettsmedisin kan en etterforsker skaffe seg digitale bevis, analysere det og rapportere om funnene fra den analysen. Utviklingen av digitale rettsmedisinske verktøy og andre enda mer avanserte teknikker skal gjøre det mulig for myndigheter og private selskaper å lykkes med å studere det digitale støvet som er etterlatt av dem - en mistenkt eller en annen person av interesse - knyttet til mistenkte ulovlige nettaktiviteter.
Metoder.
Digitale rettsmedisinske metoder brukes i en rekke situasjoner, særlig av rettshåndhevelsesmedlemmer eller av andre offisielle myndigheter for å samle bevis i en kriminell eller sivil rettssak eller av private selskaper for å hjelpe til forfølgelsen av en intern etterforskning. Begrepet digital kriminalteknikk er ekstremt generelt og kan brukes til å karakterisere en rekke spesialiseringer, avhengig av det spesielle undersøkelsesfeltet. For eksempel er nettverksmedisin relatert til analysen av trafikk på datanettverk, mens rettsmedisiner for mobile enheter først og fremst er opptatt av å gjenvinne digitale bevis fra smarttelefoner og nettbrett. Det er potensielt uendelige metoder for digital kriminalteknikk, men de mest brukte teknikkene inkluderer gjennomføring av nøkkelordsøk på tvers av digitale medier, gjenoppretting av slettede filer, analyse av ikke-allokert plass og utvinning av registerinformasjon (f.eks. Ved bruk av vedlagte USB-enheter).
Når du arbeider med digitale bevis, er det viktig å sikre at integriteten og ektheten av dataene og metadataene ikke blir påvirket i etterforskningsfasene. Dermed er det avgjørende å unngå enhver endring av bevisene som er forårsaket av etterforskernes arbeid og å sikre at de innsamlede dataene er "autentiske" - ja, på alle måter identisk med den opprinnelige informasjonen. Selv om cybercrimime-krigere i filmer og på TV på en smart måte kan identifisere en person av interesse passord og deretter logge direkte inn på målets datamaskin eller andre smarte enheter, kan en slik direkte handling i den virkelige verden endre originalen på en slik måte at alt blir funnet på enheten er ubrukelig eller i det minste avvisning i retten.
Anskaffelsesfasen, også kalt “avbildning av utstillinger”, består i å skaffe et bilde av innholdet på datamaskinen eller andre enheter. Hovedproblemet med digitale medier er at de lett kan endres; til og med forsøket på å få tilgang til filer eller innholdet i datamaskinens minne kan endre tilstanden deres. Det er derfor nødvendig å unngå direkte tilgang ved å lage et eksakt bilde av det flyktige minnet og diskene til systemet som analyseres. Dette kan oppnås ved å skaffe en "bit-kopi" (en eksakt bit-for-bit gjengivelse) av media ved å bruke spesialiserte skriveblokkeringsverktøy som "speiler" dataene mens du forhindrer endring av mediets originale innhold.
Veksten i størrelse på lagringsmedier og spredning av paradigmer som cloud computing krever bruk av nye anskaffelsesteknikker som lar etterforskere ta en "logisk" kopi av dataene i stedet for et fullstendig bilde av den fysiske lagringsenheten. I et konsentrert forsøk på å sikre integriteten til dataene, bruker etterforskere "hashing" -mekanismer som genererer kortere, fast lengdeverdier som representerer den lengre eller mer komplekse originalen. De raske verdiene tillater raskere søk og gjør det mulig for forskere å evaluere hvert øyeblikk for konsistens i det digitale innholdet som undersøkes. Enhver modifikasjon av innholdet vil føre til en endring i hasj av den digitale artefakten, som lett kan oppdages uten behov for å søke i hele databasen.
