Ciència forense digital
La ciència forense digital (de vegades coneguda com criminalística digital), és una ciència forense en què els experts estudien els dispositius digitals per ajudar a resoldre els delictes. Entre ells s'hi inclouen telèfons mòbils.[1] Als experts a qui s'encarrega fer una “investigació” sobre un ordinador o qualsevol altre tipus d'anàlisi forense digital se'ls anomena "analistes forenses" o "investigadors forenses" .
Una investigació forense digital es duu a terme quan algú és culpat per un crim que inclou l'ús d'un ordinador o dispositiu digital, o quan les proves d'aquest delicte es poden trobar en instruments digitals.[2] L'expert buscarà proves sobre el crim, tractant de provar si la persona és culpable o no.
Descripció
[modifica]En resum, és una branca de la ciència forense que abasta la recuperació, investigació, examen i anàlisi de material trobat en dispositius digitals, sovint en relació amb dispositius mòbils i delictes informàtics.[3][4] El terme "criminalística digital" es va utilitzar originalment com a sinònim d' informàtica forense, però s'ha ampliat per abastar la investigació de tots els dispositius capaços d' emmagatzemar dades digitals.[3] Amb arrels en la revolució de la informàtica personal de finals dels anys 1970 i principis dels 1980, la disciplina va evolucionar de manera desordenada durant els anys 1990, i no va ser fins a principis del segle XXI que van sorgir polítiques nacionals..
Les investigacions forenses digitals tenen una gran varietat d'aplicacions. El més comú és recolzar o refutar una hipòtesi davant tribunals penals o civils. Els casos penals impliquen la presumpta infracció de lleis definides per la legislació vigent, aplicades per la policia i perseguides per l'Estat, com a assassinat, robatori i agressió contra la persona. Els casos civils, per altra banda, tracten de la protecció dels drets i la propietat de les persones (sovint associats amb disputes familiars), però també poden estar relacionats amb disputes contractuals entre entitats comercials on s'utilitza una forma d'anàlisi forense digital anomenat ediscovery.
Les anàlisis forenses també poden aparèixer al sector privat, com durant les investigacions corporatives internes o les investigacions d'intrusió (p.e.: una investigació especial sobre la naturalesa i l'abast d'una intrusió no autoritzada a la xarxa ).
L'aspecte tècnic d'una investigació es divideix en diverses subbranques relacionades amb el tipus de dispositius digitals involucrats: informàtica forense, investigació forense de xarxes, anàlisi de dades forenses i investigació forense de dispositius mòbils.[5] El procés forense típic inclou la confiscació, l'obtenció d'imatges forenses (adquisició) i l'anàlisi de mitjans digitals, seguit de la producció d'un informe de les proves recopilades.
A més d'identificar proves directes d'un delicte, la ciència forense digital es pot utilitzar per atribuir proves a sospitosos específics, confirmar coartades o declaracions, determinar- ne la intenció, identificar fonts (per exemple, en casos de drets d'autor) o autenticar documents.[6] Les investigacions tenen un abast molt més ampli que altres àrees de l'anàlisi forense (on l'objectiu habitual és proporcionar respostes a una sèrie de preguntes més simples), i sovint involucren línies de temps o hipòtesis complexes.[7]
Història
[modifica]Abans de la dècada de 1970, els delictes relacionats amb ordinadors es resolien utilitzant les lleis existents. Els primers delictes informàtics van ser reconeguts a la Llei de Delictes Informàtics de Florida de 1978,[8] que incloïa legislació contra la modificació o eliminació no autoritzada de dades en un sistema informàtic.[9] Durant els anys següents, la varietat de delictes informàtics comesos va augmentar i es va van aprovar lleis per combatre'ls. amb qüestions de drets d'autor, privadesa/assetjament (per exemple, assetjament cibernètic, maltractaments, assetjament cibernètic i depredadors en línia ) i pornografia infantil.[10][11] No va ser fins a la dècada de 1980 que les lleis federals van començar a incorporar delictes informàtics. Canadà va ser el primer país que va aprovar una legislació el 1983. lleis penals el 1989 i la Llei britànica sobre ús indegut d'ordinadors el 1990.[9][11]
Dècades del 1980 al 1990: creixement del camp
[modifica]El creixement dels delictes informàtics durant les dècades de 1980 i 1990 va fer que els organismes encarregats de fer complir la llei comencessin a establir grups especialitzats, generalment a nivell nacional, per manejar els aspectes tècnics de les investigacions. Per exemple, el 1984, l'FBI va crear un Equip de Resposta i Anàlisi Informàtica i l'any següent es va crear un departament de delictes informàtics dins de la brigada antifrau de la Policia Metropolitana Britànica. A més de ser professionals encarregats de fer complir la llei, molts dels primers membres d'aquests grups també eren aficionats a la informàtica i es van convertir en responsables de la investigació i la direcció inicial del camp.[12] [13]
Un dels primers exemples pràctics (o almenys publicitats) d'anàlisi forense digital va ser la persecució del hacker Markus Hess per part de Cliff Stoll el 1986. Stoll, la investigació del qual va utilitzar tècniques forenses informàtiques i de xarxes, no era un examinador especialitzat.[14] Molts dels primers exàmens forenses van seguir el mateix perfil.[15]
Al llarg de la dècada del 1990, hi va haver una gran demanda d'aquests recursos de recerca nous i bàsics. La pressió sobre les unitats centrals va portar a la creació de grups a nivell regional, i fins i tot local, per ajudar a manejar la càrrega. Per exemple, la Unitat Nacional Britànica contra Delictes d'Alta Tecnologia es va crear el 2001 per proporcionar una infraestructura nacional per als delictes informàtics, amb personal ubicat tant al centre de Londres com a les diverses forces policials regionals (la unitat es va incorporar a l'Agència contra el Crim Organitzat Seriós). (SOCA) el 2006).[13]
Durant aquest període, la ciència forense digital va sorgir a partir de les eines i tècniques ad hoc desenvolupades per aquests aficionats. Això contrasta amb altres disciplines forenses, que es van desenvolupar a partir del treball de la comunitat científica.[3][16] No va ser fins a 1992 que el terme "informàtica forense" es va utilitzar en la literatura acadèmica (encara que abans d'això, havia tingut un ús informal) ; Un article de Collier i Spaul va intentar justificar aquesta nova disciplina davant del món de la ciència forense.[17][18] Aquest ràpid desenvolupament va resultar en una manca d'estandardització i capacitació. Al seu llibre de 1995, Crim d'alta tecnologia: investigació de casos que involucren ordinadors, K. Rosenblatt va escriure el següent:
Dècada del 2000: desenvolupament d'estàndards
[modifica]Des de l'any 2000, en resposta a la necessitat d'estandardització, diversos organismes i agències han publicat directrius per a la ciència forense digital. El Grup de Treball Científic sobre proves Digitale (SWGDE) va produir un article el 2002, Millors pràctiques per a la informàtica forense, al que va seguir, el 2005, la publicació d'una norma ISO (ISO 17025 els laboratoris de proves i calibratge ).[9][19][20] El 2004 va entrar en vigor un tractat internacional liderat per Europa, el Conveni sobre la Ciberdelinqüència, amb l'objectiu de conciliar les lleis sobre delictes informàtics, tècniques de recerca i cooperació internacional. El tractat ha estat signat per 43 nacions (inclosos Estats Units, Canadà, Japó, Sud-àfrica, Regne Unit i altres nacions europees) i ratificat per 16.
També va rebre atenció la qüestió de la formació. Les empreses comercials (sovint desenvolupadores de programes forenses) van començar a oferir programes de certificació i l'anàlisi forense digital es va incloure com a tema a Centrex, el centre de formació d'investigadors especialitzats del Regne Unit.[9] [13]
A finals de la dècada de 1990, els dispositius mòbils van començar a estar més disponibles, van anar més enllà dels simples dispositius de comunicació i es va descobrir que eren formes riques d'informació, fins i tot per a delictes no associats tradicionalment amb la ciència forense digital.[21] Tot i això, l'anàlisi digital dels telèfons s'ha quedat enrere pel que fa als mitjans informàtics tradicionals, en gran part a causa de problemes relacionats amb la naturalesa patentada dels dispositius.[22]
L'atenció també s'ha desplaçat als delictes a Internet, en particular el risc de guerra cibernètica i terrorisme cibernètic. Un informe de febrer de 2010 del Comando de Forces Conjuntes dels Estats Units va concloure el següent:
El camp de la ciència forense digital encara s'enfronta a problemes sense resoldre. Un article de 2009, "Investigació forense digital: allò bo, allò dolent i allò no abordat" de Peterson i Shenoi, va identificar un biaix cap als sistemes operatius Windows en la investigació forense digital.[23] El 2010, Simson Garfinkel va identificar els problemes que enfrontaran les investigacions digitals en el futur, incloent-hi la mida cada vegada més gran dels mitjans digitals, l'àmplia disponibilitat de xifrat per als consumidors, una creixent varietat de sistemes operatius i formats d'arxius, un nombre cada vegada més gran de persones que tenen múltiples dispositius i limitacions legals per als investigadors. El document també va identificar problemes de capacitació continuada, així com el cost prohibitivament alt d'ingressar al camp.[14]
Desenvolupament de ferramentes forenses.
[modifica]Durant la dècada de 1980, hi havia molt poques eines forenses digitals especialitzades. En conseqüència, els investigadors sovint realitzaven anàlisis en viu dels mitjans, examinant els ordinadors des del sistema operatiu utilitzant eines d'administrador de sistemes existents per extreure "proves". Aquesta pràctica comportava el risc de modificar dades al disc, ja sigui sense adonar-se'n o d'una altra manera, cosa que va donar lloc a denúncies de manipulació de proves. A principis de la dècada del 1990 es van crear una sèrie d'eines per abordar el problema.
La necessitat d'aquest programa es va reconèixer per primera vegada el 1989 al Centre Federal de Capacitació per al Compliment de la Llei, cosa que va resultar en la creació d'IMDUMP [24](per Michael White) i el 1990, SafeBack [25](desenvolupat per Sydex). En altres països es van desenvolupar programes semblants; DIBS (una solució mixta màuina/programa) es va llançar comercialment al Regne Unit el 1991, i Rob McKemmish va llançar la imatge de disc fix de forma gratuïta per a les autoritats australianes.[12] Aquestes eines van permetre als examinadors crear una còpia exacta d'un mitjà digital per treballar, deixant el disc original intacte per verificar-lo. A finals de la dècada de 1990, a mesura que creixia la demanda de proves digitals, es van desenvolupar eines comercials més avançades, com EnCase i FTK, que permetien als analistes examinar còpies de mitjans sense utilitzar cap anàlisi forense en viu.[9] Més recentment, ha crescut una tendència cap a la "memòria forense viva", cosa que ha resultat en la disponibilitat d'eines com WindowsSCOPE.
Més recentment, s'ha produït la mateixa progressió en el desenvolupament d'eines per a dispositius mòbils ; Inicialment, els investigadors accedien a les dades directament al dispositiu, però aviat van aparèixer eines especialitzades com XRY o Radio Tactics Aceso.[9]
Procés forense
[modifica]Una investigació forense digital generalment consta de 3 etapes:
Idealment, l'adquisició implica capturar una imatge de la memòria volàtil (RAM) de l'ordinador[28] i crear un duplicat exacte a nivell de sector (o "duplicat forense") del medi, sovint usant un dispositiu de bloqueig d'escriptura per evitar modificacions. de l'original. No obstant això, el creixement de la mida dels mitjans d'emmagatzematge i avenços com la computació al núvol [29] han portat a un major ús d'adquisicions "en viu", mitjançant les quals s'adquireix una còpia " lògica" de les dades en comptes d'una imatge completa. del dispositiu demmagatzematge físic.[26] Tant la imatge adquirida (o còpia lògica) com els mitjans/dades originals es processen mitjançant hash (utilitzant un algorisme com SHA-1 o MD5) i els valors es comparen per verificar que la còpia sigui precisa.[30]
Un enfocament alternatiu i patentat, que ha estat denominat 'criminalística híbrida'[31] o 'criminalística distribuïda'[32] combina processos forenses digitals i descobriment electrònic. Aquest enfocament es va plasmar en una eina comercial anomenada ISEEK que es va presentar juntament amb els resultats de les proves en una conferència el 2017.[31]
Durant la fase d'anàlisi, un investigador recupera material de les “probes” utilitzant diverses metodologies i eines diferents. El 2002, un article de l' International Journal of Digital Evidence es va referir a aquest pas com "una cerca sistemàtica i profunda de proves relacionades amb el presumpte delicte".[3] El 2006, l'investigador forense Brian Carrier va descriure un "procediment intuïtiu" en què primer s'identifica les “probes òbvies ” i després es realitzen cerques exhaustives per començar a "omplir els forats".[7]
El procés real d'anàlisi pot variar entre investigacions, però les metodologies comunes inclouen fer cerques de paraules clau als mitjans digitals (dins d'arxius, així com en espai no assignat i disponible), recuperar arxius eliminats i extreure informació de registre (per exemple, per enumerar comptes d'usuari, o dispositius USB connectats).
Les proves recuperades s'analitzen per reconstruir fets o accions i arribar a conclusions, feina que moltes vegades pot fer personal menys especialitzat.[3] Quan es completa una investigació, les dades es presenten, normalment en forma d'informe escrit, en termes senzills.[3]
Aplicacions
[modifica]La ciència forense digital es fa servir generalment tant en dret penal com en investigació privada. Tradicionalment s'ha associat al dret penal, on es recopilen proves per recolzar o refutar una hipòtesi davant dels tribunals. Com passa amb altres àrees de la ciència forense, això sol ser part d'una investigació més àmplia que abasta diverses disciplines. En alguns casos, les proves recopilades s'utilitzen com una forma de recopilació d'intel·ligència, amb finalitats diferents dels procediments judicials (per exemple, per localitzar, identificar o aturar altres delictes). Com a resultat, la recopilació d'intel·ligència de vegades se sotmet a estàndards forenses menys estrictes.
En litigis civils o assumptes corporatius, la ciència forense digital forma part del procés de descoberta electrònica (o eDiscovery). Els procediments forenses són similars als utilitzats en les investigacions criminals, sovint amb requisits i limitacions legals diferents. Fora dels tribunals, la ciència forense digital pot formar part de les investigacions corporatives internes.
Un exemple comú podria ser el següent d'una intrusió no autoritzada a la xarxa. Es fa un examen forense especialitzat sobre la naturalesa i l'abast de l'atac com a exercici de limitació de danys, tant per establir l'abast de qualsevol intrusió com per intentar identificar l'atacant.[6][7] Aquests atacs es feien generalment a través de línies telefòniques durant la dècada de 1980, però a l'era moderna generalment es propaguen a través d'Internet.[33]
L'objectiu principal de les investigacions forenses digitals és recuperar proves objectives d'una activitat delictiva (anomenada actus reus en el llenguatge legal). No obstant això, la diversa gamma de dades contingudes en dispositius digitals pot ajudar en altres àrees de recerca.[6]
- Atribució
- Es poden utilitzar metadades i altres registres per atribuir accions a un individu. Per exemple, els documents personals a la unitat d'un ordinador poden identificar el propietari.
- Coartades i declaracions
- La informació proporcionada pels involucrats es pot confrontar amb les “proves” digitals. Per exemple, durant la investigació dels assassinats de Soham, la coartada del delinqüent va ser refutada quan els registres del telèfon mòbil de la persona amb què afirmava estar mostraven que ella estava fora de la ciutat en aquell moment.
- Intenció
- A més de trobar proves objectives de la comissió d'un delicte, les investigacions també es poden utilitzar per demostrar la intenció (conegut amb el terme legal mens rea). Per exemple, la història a Internet de l'assassí convicte Neil Entwistle incloïa referències a un lloc que analitzava Com matar gente.
- Avaluació de font
- Es poden utilitzar artefactes de fitxers i metadades per identificar l'origen d'una dada en particular; per exemple, les versions anteriors de Microsoft Word incorporaven un identificador únic global als fitxers que identificava l'ordinador on s'havia creat. Pot ser molt important demostrar si un fitxer es va produir al dispositiu digital que s'està examinant o si es va obtenir d'un altre lloc (per exemple, Internet).[6]
- Autenticació de documents
- En relació amb la "Avaluació de la font", les metadades associades amb documents digitals es poden modificar fàcilment (per exemple, en canviar el rellotge de l'ordinador es pot afectar la data de creació d'un fitxer). L'autenticació de documents fa referència a detectar i identificar la falsificació d'aquests detalls.
Limitacions
[modifica]Una important limitació d'una investigació forense és l'ús de xifratge; això interromp lexamen inicial on es podrien ubicar les proves pertinents utilitzant paraules clau. Les lleis que obliguen les persones a revelar claus de xifrat són encara relativament noves i controvertides.[14] Però cada vegada amb més freqüència existeixen solucions per forçar contrasenyes amb força bruta o evitar el xifratge, com als telèfons intel·ligents oa les PC, on mitjançant tècniques de carregador es pot primer adquirir el contingut del dispositiu i després forçar-lo a ordenar. per trobar la contrasenya o clau de xifratge.
Consideracions legals
[modifica]L'examen dels mitjans digitals és cobert per la legislació nacional i internacional. En el cas de les investigacions civils, en particular, les lleis poden restringir la capacitat dels analistes per fer exàmens. Sovint hi ha restriccions contra el monitoratge de la xarxa o la lectura de comunicacions personals.[34] Durant la investigació criminal, les lleis nacionals restringeixen la quantitat d'informació que es pot confiscar.[34] Per exemple, al Regne Unit la confiscació de proves per part de les forces de l'ordre es regeix per la llei PACE.[9] Durant els seus inicis al camp, la "International Organization on Computer Evidence" (IOCE) va ser una agència que va treballar per establir estàndards internacionals compatibles per a la confiscació de proves.[35]
Al Regne Unit, les mateixes lleis que cobreixen els delictes informàtics també poden afectar els investigadors forenses. La Llei d'ús indegut de computadores de 1990 legisla contra l'accés no autoritzat a material informàtic. Aquesta és una particular preocupació per als investigadors civils que tenen més limitacions que les forces de l'ordre.
El dret d'un individu a la privadesa és una àrea de la ciència forense digital que els tribunals encara no han decidit en gran manera. La Llei de Privadesa de les Comunicacions Electròniques dels EE. UU. imposa limitacions a la capacitat de les forces de lordre o dels investigadors civils per interceptar i accedir a les proves. La llei distingeix entre comunicació emmagatzemada (per exemple, fitxers de correu electrònic) i comunicació transmesa (com VOIP). Això darrer, en considerar-se més aviat una invasió de la privadesa, és més difícil d'obtenir una ordre judicial.[9][36] L'ECPA també afecta la capacitat de les empreses per investigar els ordinadors i les comunicacions dels seus empleats, un aspecte que encara està en debat sobre fins a quin punt una l'empresa pot fer aquest seguiment.[9]
L'article 5 del Conveni Europeu de Drets Humans afirma limitacions de privadesa similars a les de l'ECPA i limita el processament i l'intercanvi de dades personals tant dins de la UE com amb països externs. La capacitat de les autoritats del Regne Unit per realitzar investigacions forenses digitals està regulada per la Llei de Regulació de Poders de Recerca.[9]
Prova digital
[modifica]Quan s'utilitza en un tribunal de justícia, la “prova” digital es regeix per les mateixes pautes legals que altres tipus de “proves”, ja que els tribunals generalment no exigeixen pautes més estrictes.[9][37] Als Estats Units, les Regles Federals de "proves" s'utilitzen per avaluar l'admissibilitat de les "proves" digitals. Les lleis PACE i Civil Evidence del Regne Unit tenen directrius similars i molts altres països tenen les pròpies lleis. Les lleis federals dels Estats Units restringeixen les confiscacions a articles que només tenen un valor probatori obvi. Es reconeix que això no sempre es pot establir amb mitjans digitals abans d'un examen.[34]
Les lleis que tracten sobre proves digitals s'ocupen de dues qüestions:
- Integritat - és garantir que l'acte de confiscar i adquirir mitjans digitals no modifiqui la "prova" (ja sigui l'original o la còpia).
- Autenticitat: fa referència a la capacitat de confirmar la integritat de la informació; per exemple, que les imatges dels mitjans coincideixin amb la "prova" original.[34]
La facilitat amb què es poden modificar els mitjans digitals significa que documentar la cadena de custòdia des de l'escena del crim, passant per l'anàlisi i, en última instància, fins al tribunal (una forma de pista d'auditoria) és important per establir la autenticitat de la "prova".[9]
Els advocats han argumentat que pel fet que, en teoria, la "prova" digital es pot alterar, això soscava la confiança de la pròpia "prova". Els jutges nord-americans estan començant a rebutjar aquesta teoria; en el cas US v. Bonallo, el tribunal va dictaminar que "el fet que sigui possible alterar les dades contingudes en un ordinador és clarament insuficient per establir que no és fiable".[9][38] Al Regne Unit, se segueixen pautes com les emeses per ACPO per ajudar a documentar l'autenticitat i integritat de les proves.
Els investigadors digitals, particularment en investigacions criminals, han d'assegurar-se que les conclusions es basen en proves fàctiques i en els coneixements experts propis.[9] Als EE. UU., per exemple, les Regles Federals d'proves, estableixen que un expert qualificat pot testificar “en forma d'opinió o altra manera” sempre que:
Cadascuna de les subbranques de la ciència forense digital pot tenir les pròpies directrius específiques per a la realització d'investigacions i el maneig de proves. Per exemple, és possible que calgui col·locar els telèfons mòbils en un escut de Faraday durant la confiscació o adquisició per evitar un major trànsit de ràdio cap al dispositiu. Al Regne Unit, l'examen forense d'ordinadors en assumptes penals està subjecte a les directrius de l'ACPO.[9] També hi ha enfocaments internacionals per brindar orientació sobre com manejar les proves electròniques. La Guia de proves electròniques del Consell d'Europa ofereix un marc per a les autoritats judicials i policials dels països que busquen establir o millorar les seves pròpies directrius per a la identificació i el maneig de proves electròniques.[39]
Eines de recerca
[modifica]L'admissibilitat d'una “prova” digital depèn de les eines utilitzades per extreure-la. Als EE. UU., les eines forenses estan subjectes a l'estàndard Daubert, on el jutge és responsable de garantir que els processos i els programes utilitzats siguin acceptables.
En un article del 2003, Brian Carrier va argumentar que les directrius de Daubert requerien que el codi d'eines forenses fos publicat i revisat per parells. Ha conclòs que "les eines de codi obert poden complir de manera més clara i exhaustiva els requisits de les directrius que les eines de codi tancat".[40]
L'any 2011, Josh Brunty va afirmar que la validació científica de la tecnologia i els programes associats amb la realització d'un examen forense digital és fonamental per a qualsevol procés de laboratori. Va sostenir que "la ciència forense digital es basa en els principis de processos repetibles i "prova" de qualitat, de manera que saber com dissenyar i mantenir adequadament un bon procés de validació és un requisit clau perquè qualsevol examinador forense digital defensi els seus mètodes davant dels tribunals".[41]
Branques
[modifica]La investigació forense digital no es limita a recuperar dades només de l'ordinador, ja que els delinqüents incompleixen les lleis i els petits dispositius digitals (per exemple, tauletes, telèfons intel·ligents, unitats flash) s'utilitzen àmpliament. Alguns d'aquests dispositius tenen memòria volàtil mentre que altres tenen memòria no volàtil. Hi ha suficients metodologies disponibles per recuperar dades de la memòria volàtil, però no hi ha una metodologia detallada o un marc per a la recuperació de dades de fonts de memòria no volàtil.[42] Segons el tipus de dispositius, mitjans o artefactes, la investigació forense digital es divideix en diversos tipus.
Informàtica forense
[modifica]L'objectiu de la informàtica forense és explicar l'estat actual d'un artefacte digital; com un sistema informàtic, mitjà d'emmagatzematge o document electrònic.[43] La disciplina generalment cobreix ordinadors, sistemes integrats (dispositius digitals amb potència informàtica rudimentària i memòria integrada) i memòries estàtiques (com memòries USB).
La informàtica forense pot gestionar una àmplia gamma d'informació; des de registres (com l'historial d'Internet) fins als fitxers reals a la unitat. El 2007, els fiscals van utilitzar un full de càlcul recuperat de l'ordinador de Joseph Edward Duncan per demostrar premeditació i garantir la pena de mort.[6] L'assassí de Sharon Lopatka va ser identificat el 2006 després que es trobessin a l'ordinador missatges de correu electrònic seus que detallaven tortures i fantasies de mort.[9]
Anàlisi forense de dispositius mòbils
[modifica]La ciència forense de dispositius mòbils és una subrama de la ciència forense digital relacionada amb la recuperació de "prova" o dades digitals d'un dispositiu mòbil. Es diferencia de la informàtica forense en què un dispositiu mòbil tindrà un sistema de comunicació incorporat (per exemple, GSM) i, normalment, mecanismes d'emmagatzematge propietaris. Les investigacions solen centrar-se en dades simples, com ara dades de trucades i comunicacions (SMS/correu electrònic), en lloc d'una recuperació en profunditat de dades eliminades.[9][44] Les dades SMS d'una investigació sobre dispositius mòbils van ajudar a exonerar Patrick Lumumba de l'assassinat de Meredith Kercher.[6]
Els dispositius mòbils també són útils per proporcionar informació d'ubicació; ja sigui des de GPS incorporat/rastreig d'ubicació o mitjançant registres del lloc cel·lular, que rastregen els dispositius dins del seu abast. Aquesta informació es va utilitzar per localitzar els segrestadors de Thomas Onofri el 2006.[6]
Anàlisi forense de xarxes
[modifica]La ciència forense de xarxes s'ocupa del seguiment i l'anàlisi del trànsit de la xarxa informàtica, tant local com WAN / Internet, per tal de recopilar informació, recopilació de proves o detecció d'intrusions.[45] El trànsit sol ser interceptats a nivell de paquet i emmagatzemats per a la posterior anàlisi o filtrats en temps real. A diferència d'altres àrees de la ciència forense digital, les dades de la xarxa solen ser volàtils i poques vegades es registren, cosa que fa que la disciplina sigui sovint reaccionària.
El 2000, l'FBI va atreure els pirates informàtics Aleksey Ivanov i Gorshkov als Estats Units per a una entrevista de treball falsa. En monitorar el trànsit de xarxa des dels ordinadors de la parella, l'FBI va identificar contrasenyes que els van permetre recol·lectar "prova" directament des d'ordinadors amb seu a Rússia.[9] [46]
Anàlisi de dades forenses
[modifica]L'anàlisi de dades forenses és una branca de la ciència forense digital. Examina dades estructurades per descobrir i analitzar patrons d'activitats fraudulentes, p.e. resultants de delictes financers.[46]
Anàlisi forense d'imatges digitals
[modifica]Criminalística d'imatges digitals (o anàlisi forense d'imatges digitals) és una branca de la criminalística digital que s'ocupa de l'examen i la verificació de l'autenticitat i el contingut d'una imatge.[47] Aquests poden variar des de fotografies retocades amb aerògraf de l'era de Stalin fins a elaborats vídeos deepfake.[48][49] Això té àmplies implicacions per a una àmplia varietat de delictes, per determinar la validesa de la informació presentada en judicis civils i penals, i per verificar imatges i informació que circulen a través de notícies i xarxes socials.[50][49]
Anàlisi forense de bases de dades
[modifica]La ciència forense de bases de dades és una branca de la ciència forense digital relacionada amb l'estudi forense de bases de dades i les seves metadades.[51] Les investigacions utilitzen continguts de bases de dades, fitxers de registre i dades en RAM per crear una línia de temps o recuperar informació rellevant.
Anàlisi forense d'IoT
[modifica]La ciència forense d'IoT és una branca de la ciència forense digital que té l'objectiu d'identificar i extreure informació digital de dispositius pertanyents al camp d'Internet de les coses, per utilitzar-la en investigacions forenses com a possible font de “prova”.[52]
Referències
[modifica]- ↑ «Análisis forense digital».
- ↑ Chas, Guillermo. «La relevancia de las pruebas digitales y la modernización de la justicia», 05-11-2021. Arxivat de l'original el 2023-06-01. [Consulta: 24 setembre 2023].
- ↑ 3,0 3,1 3,2 3,3 3,4 3,5 «An examination of digital forensic models». . International Journal of Digital Evidence, 2002.
- ↑ Carrier, B «Defining digital forensic examination and analysis tools». International Journal of Digital Evidence, vol. 1, 2001, pàg. 2003.
- ↑ «The Different Branches of Digital Forensics». BlueVoyant, 08-03-2022.BlauVoyant . 2022-03-08.
- ↑ 6,0 6,1 6,2 6,3 6,4 6,5 6,6 Various. Eoghan Casey. Handbook of Digital Forensics and Investigation. Academic Press, 2009, p. 567. ISBN 978-0-12-374267-4.
- ↑ 7,0 7,1 7,2 Carrier, Brian D. «Basic Digital Forensic Investigation Concepts», 07-06-2006. Arxivat de l'original el 26 February 2010.
- ↑ «The Florida Computer Crimes Act, Probably the First U. S. Legislation against Computer Crimes, Becomes Law : History of Information». History of Information, 26-08-2023. [Consulta: 8 octubre 2023].
- ↑ 9,00 9,01 9,02 9,03 9,04 9,05 9,06 9,07 9,08 9,09 9,10 9,11 9,12 9,13 9,14 9,15 9,16 9,17 9,18 Casey, Eoghan. Digital Evidence and Computer Crime, Second Edition. Elsevier, 2004. ISBN 978-0-12-163104-8.
- ↑ Aaron Phillip. Hacking Exposed: Computer Forensics. McGraw Hill Professional, 2009, p. 544. ISBN 978-0-07-162677-4.
- ↑ 11,0 11,1 M, M. E. «A Brief History of Computer Crime: A». Norwich University. Arxivat de l'original el 21 August 2010. [Consulta: 30 agost 2010].
- ↑ 12,0 12,1 Mohay, George M. Computer and intrusion forensics. Artechhouse, 2003, p. 395. ISBN 978-1-58053-369-0.
- ↑ 13,0 13,1 13,2 Peter Sommer «The future for the policing of cybercrime». Computer Fraud & Security, vol. 2004, 1, 1-2004, pàg. 8–12. DOI: 10.1016/S1361-3723(04)00017-X. ISSN: 1361-3723.
- ↑ 14,0 14,1 14,2 Simson L. Garfinkel «Digital forensics research: The next 10 years». Digital Investigation, vol. 7, 8-2010, pàg. S64–S73. DOI: 10.1016/j.diin.2010.05.009. ISSN: 1742-2876.
- ↑ Linda Volonino. Computer forensics for dummies. For Dummies, 2008, p. 384. ISBN 978-0-470-37191-6.
- ↑ «Forensic analysis in the digital world». International Journal of Digital Evidence, 2002. [Consulta: 2 agost 2010].
- ↑ Wilding, E.. Computer Evidence: a Forensic Investigations Handbook. Londres: Sweet & Maxwell, 1997, p. 236. ISBN 978-0-421-57990-3.
- ↑ «A forensic methodology for countering computer crime». Computers and Law, 1992.
- ↑ «Best practices for Computer Forensics». SWGDE. Arxivat de l'original el 27 December 2008. [Consulta: 4 agost 2010].
- ↑ «ISO/IEC 17025:2005». ISO. Arxivat de l'original el 5 August 2011. [Consulta: 20 agost 2010].
- ↑ SG Punja «Mobile device analysis». Small Scale Digital Device Forensics Journal, 2008. Arxivat 2011-07-28 a Wayback Machine.
- ↑ Rizwan Ahmed «Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective». 6th International Conference on E-Governance, 2008. Arxivat 2016-03-03 a Wayback Machine.
- ↑ Peterson, Gilbert. «Digital Forensic Research: The Good, the Bad and the Unaddressed». A: Advances in Digital Forensics V. 306. Springer Boston, 2009, p. 17–36 (IFIP Advances in Information and Communication Technology). DOI 10.1007/978-3-642-04155-6_2. ISBN 978-3-642-04154-9.
- ↑ Mohay, George M. Computer and Intrusion Forensics. Artech House, 2003. ISBN 9781580536301.
- ↑ Fatah, Alim A.; Higgins Forensic Laboratories: Handbook for Facility Planning, Design, Construction and Moving. DIANE Publishing, February 1999. ISBN 9780788176241.
- ↑ 26,0 26,1 Adams, Richard. «'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice». Murdoch University, 2013. Arxivat de l'original el 2014-11-14.
- ↑ «'Electronic Crime Scene Investigation Guide: A Guide for First Responders». National Institute of Justice, 2001. Arxivat de l'original el 2010-02-15.
- ↑ «Catching the ghost: how to discover ephemeral evidence with Live RAM analysis». Belkasoft Research, 2013.
- ↑ Adams, Richard. «'The emergence of cloud storage and the need for a new digital forensic process model». Murdoch University, 2013.
- ↑ Maarten Van Horenbeeck. «Technology Crime Investigation», 24-05-2006. Arxivat de l'original el 17 May 2008. [Consulta: 17 agost 2010].
- ↑ 31,0 31,1 "ISEEK, una eina per a l'adquisició de dades forenses distribuïdes, simultànies i d'alta velocitat" .
- ↑ Hoelz, Bruno W. P.; Ralha; Geeverghese. «Artificial intelligence applied to computer forensics». A: Proceedings of the 2009 ACM symposium on Applied Computing. ACM, 2009-03-08, p. 883–888. DOI 10.1145/1529282.1529471. ISBN 9781605581668.
- ↑ Warren G. Kruse. Computer forensics: incident response essentials. Addison-Wesley, 2002, p. 392. ISBN 978-0-201-70719-9.
- ↑ 34,0 34,1 34,2 34,3 Sarah Mocas «Building theoretical underpinnings for digital forensics research». Digital Investigation, vol. 1, 1, 2-2004, pàg. 61–68. DOI: 10.1016/j.diin.2003.12.004. ISSN: 1742-2876.
- ↑ Kanellis, Panagiotis. Digital crime and forensic science in cyberspace. Idea Group Inc (IGI), 2006, p. 357. ISBN 978-1-59140-873-4.
- ↑ K S Rosenblatt. High-Technology Crime: Investigating Cases Involving Computers. KSK Publications, 1995. ISBN 978-0-9648171-0-4.
- ↑ Daniel J. Ryan. «Legal Aspects of Digital Forensics». Arxivat de l'original el 15 August 2011. [Consulta: 31 agost 2010].
- ↑ , 1988.
- ↑ «Electronic Evidence Guide». Council of Europe, 01-04-2013. Arxivat de l'original el 2013-12-27.
- ↑ Brian Carrier. «Open Source Digital Forensic Tools: The Legal Argument». @stake Research Report, 01-10-2002. Arxivat de l'original el 2011-07-26.
- ↑ Brunty, Josh. «Validation of Forensic Tools and Software: A Quick Guide for the Digital Forensic Examiner». Forensic Magazine, 01-03-2011. Arxivat de l'original el 2017-04-22.
- ↑ «Wayback Machine». csrc.nist.gov, 20-11-2004. Arxivat de l'original el 2006-02-12. [Consulta: 8 octubre 2023].
- ↑ A Yasinsac; RF Erbacher; DG Marks; MM Pollitt «Computer forensics education». IEEE Security & Privacy, 1, 4, 2003, pàg. 15–23. DOI: 10.1109/MSECP.2003.1219052. doi : 10.1109/MSECP.2003.1219052.
- ↑ «Technology Crime Investigation :: Mobile forensics». Arxivat de l'original el 17 May 2008. [Consulta: 18 agost 2010].
- ↑ Gary Palmer, A Road Map for Digital Forensic Research, Informe del DFRWS 2001, Primer taller de recerca forense digital, Utica, Nova York, 7 i 8 d'agost de 2001, pàgines 27 a 30
- ↑ 46,0 46,1 «2 Russians Face Hacking Charges». , 24-04-2001.
- ↑ «A quick guide to digital image forensics». CameraForensics, 06-03-2020. [Consulta: 8 octubre 2023].
- ↑ «Image Forensics» (en anglès). Annual Review of Vision Science, 5, 15-09-2019, pàg. 549–573. DOI: 10.1146/annurev-vision-091718-014827. ISSN: 2374-4642. PMID: 31525144 [Consulta: 21 desembre 2022].
- ↑ 49,0 49,1 Waldrop, M. Mitchell «Synthetic media: The real trouble with deepfakes». Knowable Magazine, 01-09-2023.
- ↑ Pawelec, Maria «Deepfakes and Democracy (Theory): How Synthetic Audio-Visual Media for Disinformation and Hate Speech Threaten Core Democratic Functions». Digital Society. Nature Publishing Group, vol. 1, 2, 2022. DOI: 10.1007/s44206-022-00010-6. PMID: 36097613.
- ↑ Olivier, Martin S. «On metadata context in Database Forensics». Digital Investigation, vol. 5, 3–4, 3-2009, pàg. 115–123. DOI: 10.1016/j.diin.2008.10.001.
- ↑ M. Stoyanova; Y. Nikoloudakis; S. Panagiotakis; E. Pallis; E. Markakis «A Survey on the Internet of Things (IoT) Forensics: Challenges, Approaches, and Open Issues». IEEE Communications Surveys & Tutorials, 22, 2, 2020, pàg. 1191–1221. DOI: 10.1109/COMST.2019.2962586.
Bibliografia
[modifica]- Årnes, André. Digital Forensics. Wiley et al, 2018. ISBN 978-1-119-26238-1.
- Carrier, Brian D. «Risks of live digital forensic analysis». Communications of the ACM, vol. 49, 2, 2-2006, pàg. 56–61. DOI: 10.1145/1113034.1113069. ISSN: 0001-0782.
- Crowley, Paul. CD and DVD Forensics. Rockland, MA: Syngress. ISBN 978-1597491280.
- Kanellis, Panagiotis. Digital crime and forensic science in cyberspace. IGI Publishing, 2006, p. 357. ISBN 978-1-59140-873-4.
- Jones, Andrew. Building a Digital Forensic Laboratory. Butterworth-Heinemann, 2008, p. 312. ISBN 978-1-85617-510-4.
- Marshell, Angus M. Digital forensics: digital evidence in criminal investigation. Wiley-Blackwell, 2008, p. 148. ISBN 978-0-470-51775-8.
- Sammons, John. The basics of digital forensics: the primer for getting started in digital forensics. Syngress, 2012. ISBN 978-1597496612.
Revistes relacionades
[modifica]- Journal of Digital Forensics, Security and Law
- International Journal of Digital Crime and Forensics
- Journal of Digital Investigation
- International Journal of Digital Evidence
- International Journal of Forensic Computer Science Arxivat 2020-10-06 a Wayback Machine.
- Journal of Digital Forensic Practice
- Small Scale Digital Device Forensic Journal