هذه الوحدة التعليمية هي مورد مرجعي للمحاضرين  

 

المعايير وأفضل الممارسات الفضلى للاستدلال الجنائي الرقمي

 

تقوم المنظمة الدولية للتوحيد القياسي (ISO)، وهي منظمة دولية غير حكومية، واللجنة الكهروتقنية الدولية (IEC)، وهي منظمة دولية غير هادفة للربح، بتطوير ونشر معايير دولية لمواءمة الممارسات بين البلدان. وفي عام 2012، نشرت المنظمة الدولية للتوحيد القياسي (ISO) واللجنة الكهرتقنية الدولية (IEC) معايير دولية للتعامل مع الأدلة الرقمية (إرشادات المنظمة الدولية للتوحيد القياسي/اللجنة الكهروتقنية الدولية 27037 (ISO/IEC 27037) لتحديد الأدلة الرقمية وجمعها واكتسابها والحفاظ عليها). وتضمنت هذه الإرشادات المعالجة الأولية للأدلة الرقمية فقط. والمراحل الأربع المقترحة لمعالجة الأدلة الرقمية هي كما يلي :

التحديد : تتضمن هذه المرحلة البحث عن الأدلة ذات الصلة والتعرف عليها، بالإضافة إلى توثيقها. وفي هذه المرحلة، يتم تحديد أولويات جمع الأدلة بناءً على قيمة الأدلة وتقلبها (ولمزيد من المعلومات، انظر الوحدة التعليمية 6 حول الجوانب العملية لتحقيقات الجرائم السيبرانية والاستدلال الجنائي الرقمي الشرعي).

الجمع : تتضمن هذه المرحلة جمع جميع الأجهزة الرقمية التي يمكن أن تحتوي على بيانات ذات قيمة إثباتية. وثم يتم نقل هذه الأجهزة مرة أخرى إلى مختبر الاستدلال الجنائي الرقمي أو مرفق آخر للحصول على الأدلة الرقمية وتحليلها. وتُعرف هذه العملية بالاكتساب الثابت. ومع ذلك، هناك حالات يكون فيها الاستحواذ الثابت غير ممكن. وفي مثل هذه الحالات، يتم إجراء اكتساب مباشر للبيانات. ودعونا نفكر، على سبيل المثال، في أنظمة البنى التحتية الحيوية (أي أنظمة التحكم الصناعية). ولا يمكن إيقاف تشغيل هذه الأنظمة لأنها توفر خدمات مهمة. ولهذا السبب، يتم إجراء عمليات الاستحواذ الحية التي تجمع البيانات المتقلبة والبيانات غير المتطايرة من أنظمة التشغيل المباشر. ومع ذلك، يمكن أن تتداخل عمليات الاستحواذ الحية هذه مع الوظائف العادية لنظام التحكم الصناعي (على سبيل المثال، عن طريق إبطاء الخدمات) (انظر النميطة 6 حول الجوانب العملية للتحقيقات في الجرائم السيبرانية والاستدلال الجنائي الرقمي لمزيد من المعلومات).

ملحوظة :

قبل إجراء عملية اكتساب مباشرة، يجب تحديد أولويات الحصول على البيانات من حيث إمكانية الوصول إلى البيانات، فضلاً عن قيمة البيانات وتقلبها.

التجميع : يتم الحصول على الأدلة الرقمية دون المساس بسلامة البيانات. وقد أبرز ذلك مجلس رؤساء الشرطة الوطنية في المملكة المتحدة (NPCC)، المعروف سابقًا باسم رابطة المملكة المتحدة لكبار ضباط الشرطة، كمبدأ مهم لممارسة الاستدلال الجنائي الرقمي (أي المبدأ 1: "لم تتخذ وكالات إنفاذ القانون أي إجراء، يجب على الأشخاص العاملين في تلك الوكالات أو وكلائهم تغيير البيانات التي يمكن الاعتماد عليها لاحقًا في المحكمة ") (الرابطة البريطانية لكبار ضباط الشرطة، 2012، الصفحة 6). ويتم الحصول على البيانات دون تعديلها عن طريق إنشاء نسخة مكررة من محتوى الجهاز الرقمي (عملية تعرف باسم التصوير) أثناء استخدام جهاز (مانع الكتابة) مصمم لمنع تغيير البيانات أثناء عملية النسخ. ولتحديد ما إذا كانت النسخة المكررة هي نسخة طبق الأصل من الأصل، يتم حساب قيمة التجزئة باستخدام الحسابات الرياضية؛ وهنا، يتم استخدام دالة تجزئة التشفير لإنتاج قيمة تجزئة. وإذا كانت قيم التجزئة للأصل والنسخة متطابقة، فإن محتويات النسخة المكررة هي نفسها تمامًا مثل الأصل. وإدراكًا لوجود "ظروف معينة يجد فيها الشخص أنه من الضروري الوصول إلى البيانات الأصلية [أي أثناء عمليات الاستحواذ الحية]"، يلاحظ مجلس رؤساء الشرطة الوطنية في المملكة المتحدة أن "الشخص [الذي يصل إلى هذه البيانات] يجب أن يكون مؤهلاً للقيام بذلك وأن يكونوا قادرين على تقديم أدلة تشرح أهمية وتأثيرات أفعالهم" (المبدأ 2) (رابطة كبار ضباط الشرطة في المملكة المتحدة، 2012، الصفحة 6) (انظر الوحدة التعليمية 6 بشأن الجوانب العملية للتحقيقات في الجرائم السيبرانية والاستدلال الجنائي الرقمي لمزيد من المعلومات).

ملحوظة :

بعض وظائف تجزئة التشفير لها نقاط ضعف.

تريد معرفة المزيد ؟

التحفظ على الدليل : يمكن إثبات سلامة الأجهزة الرقمية والأدلة الرقمية من خلال سلسلة عهدة (تمت مناقشتها في الوحدة التعليمية 3 حول الأطر القانونية وحقوق الإنسان)، والتي يتم تعريفها على أنها "العملية التي يحافظ المحققون من خلالها على مسرح الجريمة (أو الحادث) والأدلة في جميع أنحاء دورة حياة القضية. ويتضمن معلومات حول من قام بجمع الأدلة، وأين وكيف تم جمعها، والأفراد الذين حصلوا عليها، ومتى حصلوا عليها" (ماراس، 2014، الصفحة 377). ويعد التوثيق الدقيق في كل مرحلة من مراحل عملية التحليل الجنائي الرقمي أمرًا ضروريًا لضمان قبول الأدلة في المحكمة (انظر الوحدة التعليمية 6 حول الجوانب العملية للتحقيقات في الجرائم السيبرانية والاستدلال الجنائي الرقمي لمزيد من المعلومات).

ولم يتم تضمين المراحل المتبقية من عملية التحاليل الجنائية الرقمية (التحليل والإبلاغ) في ISO/IEC 27037. وتتطلب مرحلة التحليل (أو الفحص) استخدام أدوات وطرق التحليل الجنائي الرقمية المناسبة لكشف البيانات الرقمية. وهناك العديد من أدوات الاستدلال الجنائي الرقمي في السوق من نوعيات مختلفة. وتتضمن أمثلة أدوات التحاليل الجنائية الرقمية "Encase" و"FTK" و"X-Ways Forensics". ويختلف نوع أدوات التحاليل الجنائية الرقمية اعتمادًا على نوع التحقيق الجنائي الرقمي الذي يتم إجراؤه (على سبيل المثال، للاستدلال الجنائي المحمول والخدمات السحابية على الأجهزة المحمولة، إحدى الأدوات التي يمكن استخدامها هي "Oxygen Forensics Suite"؛ للاستدلال الجنائي للشبكة، والذي يتضمن "الاستخدام من التقنيات المثبتة علميًا للتحقيق في [الجرائم المرتكبة ضد وعبر] شبكات الكمبيوتر" (ماراس، 2014، الصفحة 305)، الأداة التي يمكن استخدامها هي "Wireshark"). وتم تصميم أدوات الأدلة الجنائية الرقمية الحالية (مثل "EnCase" و"FTK" و"NUIX") للعمل مع بيئات الحوسبة التقليدية. وهناك حاجة إلى أدوات التحاليل الجنائية الرقمية المتخصصة، على سبيل المثال، للشبكات والواجهات وأنظمة تشغيل البنية التحتية الحيوية (تمت مناقشتها في الوحدة التعليمية 2 حول الأنواع العامة للجرائم السيبرانية).

كما يمتلك المعهد الوطني للمعايير والتكنولوجيا بالولايات المتحدة قاعدة بيانات أدوات جنائية رقمية قابلة للبحث، والتي تتضمن وظائف مختلفة (مثل قاعدة البيانات، والسحابة، والطائرات بدون طيار، وأدوات التحليل الجنائي للمركبات، من بين أمور أخرى). وتختلف وكالات إنفاذ القانون الوطنية في تفضيلها واستخدامها لأدوات الأدلة الجنائية الرقمية.

الاستدلال الجنائي الرقمي للمركبات الذكية

الاستدلال الجنائي الرقمي للمركبات الذكية هو مجال غير مدروس ولكنه مهم في الاستدلال الجنائي الرقمي (باركنسون وماكاي، 2016). ولقد أضاف النشر الشامل للمركبات الذكية المزودة بوظائف تدعم الإنترنت (وتطوير المركبات المستقلة) قوة دفع إلى الحاجة إلى إنشاء عمليات ومعايير وأدوات ذكية للمركبات التي يمكن أن تمكن من إجراء تحقيق رقمي سليم من الناحية الجنائية للمركبات (لوخاك وآخرون، 2018). ويمكن أن توفر هذه المركبات ثروة من المعلومات (مثل الأماكن التي تم السفر إليها وزيارتها، وعنوان المنزل والعمل، والأرقام التي تم الاتصال بها، والمكالمات الهاتفية المستلمة وما إلى ذلك) والتي يمكن استخدامها عند التحقيق في الجرائم التي تستهدف المركبات الذكية أو ذاتية القيادة (مثل القرصنة) أو جرائم أخرى حيث يمكن استخدام المعلومات التي تم الحصول عليها من هذه المركبات كدليل على جريمة (دو لا تور وراد وشو، 2018).

تريد معرفة المزيد ؟

  • De La Torre, Gonzalo, Paul Rad, and Kim-Kwang Raymond Choo. (2018). Driverless vehicle security: Challenges and future research opportunities. Future Generation Computer Systems, available online 11 January 2018. 
  • Le-Khac, Nhien-An, Daniel Jacobs, John Nijhoff, Karsten Bertens, Kim-Kwang, and Raymond Choo. (2018). Smart vehicle forensics: Challenges and case study. Future Generation Computer Systems, available online 7 June 2018.

كما يجب أن تكون الأدوات المستخدمة سليمة من الناحية الجنائية. ولكي تكون سليمة من الناحية القضائية، يجب أن يكون "الحصول على ... البيانات [الرقمية] وتحليلها اللاحق" باستخدام هذه الأدوات قادرًا على الحفاظ على "البيانات في الحالة التي تم اكتشافها فيها لأول مرة" و"لا تقلل بأي شكل من الأشكال من القيمة الاستدلالية لـ البيانات الإلكترونية من خلال أخطاء فنية أو إجرائية أو تفسيرية" (مكيميش، 2008، الصفحة 6). وببساطة، لا يجب تعديل البيانات المكتسبة بأي شكل من الأشكال - أي يجب الحفاظ على سلامتها. ويمتلك برنامج اختبار أداة الأدلة الجنائية الحاسوبية التابع للمعهد الوطني الأمريكي للمعايير والتكنولوجيا.

[تم] إنشاء منهجية لاختبار أدوات برمجيات الاستدلال الجنائي الرقمي الحاسوبي من خلال [تطوير] المواصفات العامة للأداة، وإجراءات الاختبار، ومعايير الاختبار، ومجموعات الاختبار، وأجهزة الاختبار. وتوفر النتائج المعلومات اللازمة لصانعي الأدوات لتحسين الأدوات، وللمستخدمين لاتخاذ خيارات مستنيرة حول الحصول على أدوات التحليل الجنائي للكمبيوتر واستخدامها، وللأطراف المهتمة لفهم قدرات الأداة.

الاستدلال الجنائي الرقمي لإنترنت الأشياء

تشير إنترنت الأشياء (IoT) إلى شبكة مترابطة وقابلة للتشغيل البيني للأجهزة التي تدعم الإنترنت (على سبيل المثال، الكاميرات وأجهزة التلفزيون والثلاجات والأفران والأضواء وعدادات الطاقة والملابس والألعاب والملحقات، على سبيل المثال لا الحصر) التي تسهل رصد الأشياء والأشخاص والحيوانات والنباتات، وجمع وتخزين وفحص ونشر البيانات على نطاق واسع (ماراس، 2015). ونظرًا لأن إنترنت الأشياء يمكن أن توفر قدرًا كبيرًا من المعلومات حول مستخدمي هذه الأجهزة (انظر الوحدة التعليمية 10 حول الخصوصية وحماية البيانات لنوع المعلومات التي تكشفها هذه الأجهزة)، تم تقديم البيانات التي تم الحصول عليها من هذه الأجهزة كدليل في المحاكم (ماراس وواندت، 2018). وعلى سبيل المثال، في الولايات المتحدة، تم تقديم البيانات من "FitBit"، وهو جهاز إنترنت الأشياء الذي يراقب الصحة والنشاط البدني، كدليل في مقتل كوني داباتي (ألتيماري، 2018). وفي ضوء إدخال بيانات إنترنت الأشياء في المحاكم، من الضروري إنشاء عمليات ومعايير وأدوات للاستدلال الجنائي لإنترنت الأشياء (ماراس وواندت، 2018).

تريد معرفة المزيد ؟                           

  • Conti, Mauro, Ali Dehghantanha, Katrin Franke, and Steve Watson. (2018). Internet of Things security and forensics: Challenges and opportunities. Future Generation Computer Systems, Vol. 78(2), 544-546.
  • MacDermott, Aine, Thar Baker, and Qi Shi. (2018). IoT Forensics: Challenges for the IoA Era. 9th IFIP International Conference on New Technologies, Mobility and Security (NTMS) (2 April 2018). 
  • Watson, Steve and Ali Dehghantanha. (2016). Digital forensics: The missing piece of the Internet of Things promise. Computer Fraud & Security, Vol. 6, 5-8.

والغرض من مرحلة التحليل هو تحديد الأهمية والقيمة الإثباتية للأدلة. ويتم إجراء هذا التحديد، على سبيل المثال، من خلال فحص ما إذا كانت الأدلة قيد الفحص "تميل إلى جعل وجود أي حقيقة نتيجة لتحديد الإجراء أكثر احتمالية أو أقل احتمالية مما سيكون عليه بدون الدليل" (القاعدة 401، قواعد الأدلة الفيدرالية الأمريكية) (انظر النميطة 6 حول الجوانب العملية للتحقيقات في الجرائم السيبرانية والاستدلال الجنائي الرقمي لمزيد من المعلومات).

كما تتضمن مرحلة الإبلاغ وصفًا مفصلاً للخطوات المتخذة خلال عملية التحاليل الجنائية الرقمية، وكشف الأدلة الرقمية، والاستنتاجات التي تم التوصل إليها بناءً على نتائج عملية التحاليل الجنائية الرقمية والأدلة التي تم الكشف عنها (انظر الوحدة التعليمية 6 حول الجوانب العملية للتحقيقات في الجرائم السيبرانية والاستدلال الجنائي الرقمي لمزيد من المعلومات). ويمكن استخدام الذكاء الاصطناعي (أي "النماذج الحسابية للسلوك البشري وعمليات التفكير المصممة للعمل بعقلانية وذكاء"؛ ماراس، 2017، الصفحة 7) لتحقيق نتائج موثوقة. ومع ذلك، قد يطرح استخدام الذكاء الاصطناعي مشاكل في مرحلتي التحليل والعرض لعملية الاستدلال الجنائي الرقمي لأن الخبراء قد لا يتمكنون من شرح كيفية الحصول على هذه النتائج (ماراس وألكسندرو، 2018). 

ونشرت ISO/IEC إرشادات أخرى حول عملية التحاليل الجنائية الرقمية التي تغطي : صلاحية وموثوقية أدوات وطرق التحليل الجنائي الرقمي (ISO/IEC 27041:2015، إرشادات لضمان ملاءمة وكفاية طرق التحقيق في الحوادث)، والفحص (أو التحليل) ومراحل تفسير عملية التحاليل الجنائية الرقمية (ISO/IEC 27042:2015، إرشادات لتحليل وتفسير الأدلة الرقمية).

ملاحظة :

لم يتم تصميم المعايير لأنظمة الحوسبة غير التقليدية - مثل الحوسبة السحابية.ومع ذلك، نشر تحالف أمان السحابة مستندًا بعنوان "تعيين معيار الاستدلال الجنائي الرقمي ISO/IEC 27037  إلى الحوسبة السحابية" من أجل "إعادة تفسير إرشادات ISO 27037 لسياق السحابة" (CSA، 2013، الصفحة 130).

لمزيد من المعلومات، راجع :

وتتوفر أدلة أفضل الممارسات لتحديد وتعزيز عمليات ونتائج الاستدلال الجنائي الرقمي الصالحة والموثوقة. ومن الأمثلة على ذلك مجموعة العمل العلمية الأمريكية بشأن أفضل ممارسات الأدلة الرقمية لفحص الاستدلال الجنائي الرقمي بالكمبيوتر، وجمع الأدلة الرقمية، واكتساب الأدلة الجنائية الحاسوبية، ودليل أفضل ممارسات الشبكة الأوروبية لمعاهد علوم الاستدلال الجنائي الرقمي لفحص الاستدلال الجنائي الرقمي للتكنولوجيا الرقمية.

كما تسعى هذه المعايير وأفضل الممارسات إلى إثبات صحة وموثوقية نتائج الاستدلال الجنائي الرقمي. وأولاً، لكي تكون مقبولة، يجب أن تكون الأدوات والتقنيات المستخدمة في عملية التحليل الجنائي الرقمي "صالحة علميًا"؛ أي أنه ثبت أنه يوفر نتائج دقيقة من خلال الاختبارات التجريبية ثانيًا، يجب أن تكون نتائج الاستدلال الجنائي الرقمي موثوقة؛ أي، يجب الحصول على نفس النتائج في مناسبات مختلفة باستخدام نفس البيانات والأدوات والتقنيات (ماراس ، 2014؛ الصفحة 48). وعلى وجه الخصوص، يجب أن تكون النتائج قابلة للتكرار وقابلة للتكرار. ويمكن تكرار النتائج عندما يتم الحصول على نفس نتائج الاستدلال الجنائي الرقمي باستخدام نفس عناصر الاختبار والمعدات والمختبر والمشغل (ماراس، 2014، الصفحة 48). ويمكن تكرار النتائج عندما يتم الحصول على نفس نتائج الاستدلال الجنائي الرقمي باستخدام نفس عناصر الاختبار، ولكن مع مختلف المعدات والمختبرات والمشغلين (ماراس، 2014، الصفحة 49) كما لاحظ مجلس رؤساء الشرطة الوطنية في المملكة المتحدة، فإن أحد المبادئ المهمة لممارسة الاستدلال الجنائي الرقمي هو قدرة "[أي] طرف ثالث مستقل ... ولفحص تلك العمليات وتحقيق نفس النتيجة" (المبدأ 3) (رابطة رؤساء الشرطة في المملكة المتحدة، 2012، الصفحة 6).

مكافحة الاستدلال الجنائي الرقمي

مكافحة الأدلة الجنائية (أو الأدلة الجنائية المضادة للرقمية) هو مصطلح يستخدم لوصف "الأدوات والتقنيات [المستخدمة] لإزالة أو تغيير أو تعطيل أو التدخل بأي شكل آخر في الأدلة على الأنشطة الإجرامية على الأنظمة الرقمية، على غرار الطريقة التي يمكن بها للمجرمين إزالة الأدلة من مسرح الجريمة في العالم المادي" (كونلان وباجيلي وبريتنغر ،،، 2016، الصفحة 67) تشمل مكافحة الأدلة الجنائية إخفاء البيانات (على سبيل المثال، التشفير، والذي تمت مناقشته بمزيد من التفصيل، الوحدة التعليمية 10 حول الخصوصية وحماية البيانات، وإخفاء المعلومات، وممارسة إخفاء المعلومات السرية والصور والتسجيلات الصوتية ومقاطع الفيديو والمحتويات الأخرى داخل المعلومات والصور والصوت غير السرية  والتسجيلات، ومقاطع الفيديو، والمحتويات الأخرى)، و/أو مسح الجهاز الرقمي (من خلال، على سبيل المثال، البرنامج المصمم لحذف بيانات محددة أو كلها، و/أو محتوى الجهاز)، والتشويش على المسار الرقمي (على سبيل المثال، أساليب الانتحال، التي تمت مناقشتها في الوحدة التعليمية 2 حول الأنواع العامة للجرائم السيبرانية؛ التعريف الخاطئ للبيانات والمعلومات الخاطئة و/أو التلفيق؛ واستخدام الخوادم الوكيلة، التي تعمل كبوابة أو وسيط بين الطلبات الواردة من الأجهزة الرقمية المتصلة بالإنترنت. (شانموجام وباول وأوينز، 2011؛ ماراس، 2014؛ برونتون ونيسنباوم، 2016؛ Liskiewicz وReischuk وWolfel، 2017).ويتحدى استخدام تقنيات مكافحة الطب الشرعي جهود الطب الشرعي الرقمي. (كافجليون وفيندزيل ومازورتشيك، 2017).

لكي تتعلم أكثر ؟

  • Conlan, Kevin, Ibrahim Baggili, and Frank Breitinger. (2016). Anti-forensics: Furthering digital forensic science through a new extended, granular taxonomy. Digital Investigation Vol. 18, 66-75.

 

 التالي

 العودة الى الأعلى