W marcu 2015 r. Dyrektor CIA John Brennan ogłosił utworzenie nowej dyrekcji CIA ds. Innowacji cyfrowych, pierwszej nowej dyrekcji CIA od około pięciu dekad. Nowy podział został utworzony w celu usprawnienia technik w kryminalistyce cyfrowej, filarze kryminalistyki związanym z badaniami i odzyskiwaniem danych i metadanych (danych o danych) znajdujących się w urządzeniach cyfrowych oraz w celu poprawy zdolności CIA do śledzenia „Cyfrowy kurz” pozostawiony podczas rutynowej cyberaktywności. Jak Brennan wyjaśnił 28 kwietnia podczas przemówienia podczas obiadu kierownictwa wywiadu i bezpieczeństwa narodowego: „Gdziekolwiek pójdziemy, wszystko, co robimy, zostawiamy cyfrowy pył i naprawdę trudno jest działać potajemnie, a tym bardziej niejawnie, kiedy” pozostawiają po sobie cyfrowy kurz. ”
Głównym celem cyfrowej medycyny sądowej jest ocena stanu cyfrowego artefaktu, który potencjalnie mógłby zostać wykorzystany w dowolnym dochodzeniu w systemie komputerowym. Korzystając z technik cyfrowej medycyny sądowej, badacz może uzyskać cyfrowe dowody, przeanalizować je i zgłosić wyniki tej analizy. Opracowanie cyfrowych narzędzi kryminalistycznych i innych, nawet bardziej zaawansowanych technik, powinno umożliwić rządom i prywatnym firmom udane badanie cyfrowego pyłu pozostawionego przez osoby - podejrzanego lub inną osobę zainteresowaną - związane z podejrzanymi nielegalnymi działaniami cybernetycznymi.
Metodologie
Cyfrowe metodyki sądowe są stosowane w różnych sytuacjach, w szczególności przez członków organów ścigania lub przez inne organy publiczne w celu gromadzenia dowodów w sprawie karnej lub cywilnej lub przez prywatne firmy w celu pomocy w dochodzeniu wewnętrznym. Pojęcie cyfrowej medycyny sądowej jest niezwykle ogólne i może być użyte do scharakteryzowania wielu specjalizacji, w zależności od konkretnej dziedziny badań. Na przykład, kryminalistyka sieciowa jest związana z analizą ruchu w sieci komputerowej, podczas gdy kryminalistyka urządzeń mobilnych dotyczy przede wszystkim odzyskiwania dowodów cyfrowych ze smartfonów i tabletów. Istnieją potencjalnie nieskończone metodologie dla cyfrowej medycyny sądowej, ale najczęściej stosowane techniki obejmują wyszukiwanie słów kluczowych w mediach cyfrowych, odzyskiwanie usuniętych plików, analizowanie nieprzydzielonego miejsca i wyodrębnianie informacji rejestru (np. Przy użyciu podłączonych urządzeń USB).
W przypadku dowodów cyfrowych istotne jest, aby na etapie dochodzenia nie wpływać na integralność i autentyczność danych i metadanych. Dlatego kluczowe jest unikanie jakiejkolwiek zmiany dowodów spowodowanej pracą śledczych i zapewnienie, że gromadzone dane są „autentyczne” - tj. Identyczne pod każdym względem z oryginalnymi informacjami. Chociaż osoby walczące z cyberprzestępczością w filmach i telewizji mogą sprytnie zidentyfikować hasło osoby zainteresowanej, a następnie zalogować się bezpośrednio do komputera celu lub innego inteligentnego urządzenia, w prawdziwym świecie takie bezpośrednie działanie może zmienić oryginał w taki sposób, aby wszystko znalazło się na urządzenie jest niezdatne do użytku lub co najmniej niedopuszczalne w sądzie.
Faza akwizycji, zwana także „obrazowaniem eksponatów”, polega na uzyskaniu obrazu zawartości komputera lub innego urządzenia. Głównym problemem związanym z mediami cyfrowymi jest to, że można je łatwo modyfikować; nawet próba uzyskania dostępu do plików lub zawartości pamięci komputera może zmienić ich stan. Konieczne jest zatem uniknięcie bezpośredniego dostępu poprzez utworzenie dokładnego obrazu pamięci ulotnej i dysków analizowanego systemu. Można to osiągnąć, uzyskując „kopię bitową” (dokładne odtwarzanie bit po bicie) nośnika za pomocą specjalistycznych narzędzi do blokowania zapisu, które „odbijają” dane, jednocześnie zapobiegając jakiejkolwiek modyfikacji oryginalnej treści nośnika.
Wzrost wielkości nośników pamięci i rozpowszechnianie paradygmatów, takich jak przetwarzanie w chmurze, wymagają przyjęcia nowych technik akwizycji, które pozwalają śledczym na „logiczną” kopię danych, a nie na pełny obraz fizycznego urządzenia pamięci. W skoncentrowanym wysiłku w celu zapewnienia integralności danych badacze wykorzystują mechanizmy „mieszające”, które generują krótsze wartości o stałej długości, które reprezentują dłuższy lub bardziej złożony oryginał. Wartości skrótów umożliwiają szybsze wyszukiwanie i umożliwiają naukowcom ocenę każdej chwili pod kątem spójności badanych treści cyfrowych. Każda modyfikacja treści spowodowałaby zmianę skrótu artefaktu cyfrowego, który można łatwo zauważyć bez konieczności przeszukiwania całej bazy danych.
