Anti-компьютерной криминалистике

ОПРЕДЕЛЕНИЕ
Anti-судебно-медицинской экспертизы только недавно был признан в качестве законного специальности. В этой области исследования, многочисленные определения анти-судебно-медицинской экспертизы в изобилии. Одним из наиболее широко известных и общепринятых определений происходит от д-р Марк Роджерс из Университета Пердью. Доктор Роджерс использует более традиционные "преступления" подход при определении анти-судебной экспертизы. "Попытки негативно влияют ни на существование, количество и / или качество доказательств с места преступления, или сделать анализ и исследования доказательств, трудно или невозможно проводить".

Более сокращенная определение дается Скотт Berinato в его статье, озаглавленной Восстание против судебной медицине. "Анти-экспертиза более чем технология. Это подход к уголовной взлома, которые можно суммировать следующим образом:. Сделать это трудно для них, чтобы найти вас и для них невозможно доказать, что они нашли вас "Интересно, что ни автор учитывает использование анти-судебно-медицинской экспертизы методы обеспечения конфиденциальности персональных данных своих ...

Подкатегории
Anti-судебно-медицинской экспертизы методы часто разбивается на несколько подкатегорий, чтобы классификации различных средств и методов проще. Одним из наиболее широко признанных аварии подкатегория была разработана доктором Маркус Роджерс. Он предложил следующие подкатегории, сокрытие данных, артефакт уничтожением, след запутывания и нападения на CF (компьютерной экспертизы) процесс / инструментов.

Цель и цели
В области цифровой криминалистики есть много споров по поводу целей и задач по борьбе с криминалистических методов. Общей концепции является то, что анти-судебной инструменты чисто вредоносные в намерениях и дизайна. Другие считают, что эти средства должны быть использованы, чтобы показать недостатки в цифровой судебной процедуры, цифрового судебно инструменты и судебно образования экзаменатора. Это мнение было поддержано в 2005 году Blackhat конференции по борьбе с судебно инструмент авторов, Джеймс Фостер, Винни Лю. Они заявили, что, выставляя эти вопросы, судебных следователей будет работать тяжелее, чтобы доказать, что собранные доказательства и точной и надежной. Они считают, что это приведет к более совершенных инструментов и образования для исследователя.

Сокрытие данных
Сокрытие данных является процесс принятия данных трудно найти то же время обеспечивать доступ к нему для дальнейшего использования. "Запутывание и шифрование данных дать противнику возможность ограничения идентификации и сбора доказательств следователи, позволяя доступ и использовать для себя". Екоторые из наиболее распространенных форм данными скрываются включить шифрование, стеганография, и другие различные виды оборудования / программного обеспечения на основе данных сокрытия. Каждый из различных данных методов позволяет скрывать цифровой судебно-медицинской экспертизы трудно. Когда различные методы сокрытия данных объединяются, они могут сделать успешную судебно-медицинской экспертизы практически невозможно.

Шифрование
Одним из наиболее часто используемых методов, чтобы победить компьютерной экспертизы является шифрование данных. В своем выступлении он дал шифрования и защиты от судебных методологии вице-президент Secure Computing Пол Генри, о котором говорится шифрования, как "Кошмар на судебно-медицинскую экспертизу".

Большинство общедоступных программ шифрования позволяют пользователю создавать виртуальные зашифрованные диски, которые могут быть открыты только с назначенным ключ. Благодаря использованию современных алгоритмов шифрования и различных методов шифрования, эти программы делают данные практически невозможно читать без назначенные клавиши.

Шифрование на уровне файлов шифрует только содержимое файла. Это оставляет важную информацию, такую ​​как имя файла, размер и временные метки в незашифрованном виде. Часть содержимого файла может быть восстановлен из других мест, таких, как временные файлы, файл подкачки и удаляются, незашифрованные копии.

Большинство программ шифрования имеют возможность выполнять ряд дополнительных функций, которые делают цифровые судебно усилия все труднее. Некоторые из этих функций включают в себя использование ключевого файла, полный объем шифрования и правдоподобного отрицания. Широкое распространение программного обеспечения, содержащий эти функции поставила области цифровой судебно-медицинской экспертизы в невыгодном положении.

Стеганография
Стеганография является метод, когда информация или файлы скрыты в другой файл, в попытке скрыть данные, оставляя его на виду. «Стеганография производит темно данных, которые, как правило, хоронили в свете данных (например, не-заметно цифровых водяных знаков похоронили в цифровой фотографии)." Некоторые эксперты утверждают, что использование стеганографии методы не очень распространены, и поэтому не следует Много думал. Большинство экспертов согласны, что стеганография имеет возможность срыва судебного процесса при правильном использовании.

По словам Джеффри Карр, издание 2007 года технических Муджахид (раз в два месяца террористических публикации) подчеркнул важность использования стеганографии программы под названием Секреты моджахедов. По словам Карра, программы рекламируются как дает пользователю возможность избежать обнаружения текущих программ стегоанализа. Он сделал это с помощью стеганографии в сочетании с сжатия файлов.

Другие формы Скрытие данных
Другие формы данные скрываются связаны с использованием инструментов и методов, чтобы скрыть данные по разным разных местах в компьютерной системе. Некоторые из этих мест может включать в себя "память, вялый пространства, скрытые каталоги, плохие блоки, альтернативных потоков данных, скрытых разделов." Один из наиболее известных инструментов, который часто используется для сокрытия данных называется Slacker (часть рамках Metasploit) . Slacker разбивает файл и помещает каждую часть этого файла в слабое место других файлов, тем самым скрывая ее от судебно-программное обеспечение экспертизы. Другой способ сокрытия данных предполагает использование поврежденных секторов. Для выполнения этой техники, пользователь меняет определенный сектор от хорошего к плохому, а затем данные размещаются на данном кластере. Убеждение в том, что судебная экспертиза инструментов увидите эти кластеры, как плохо, и продолжать без изучения их содержания.

Экспонат ЧИСТКИ
Методы, используемые в артефакт уничтожением поставлена ​​задача постоянно устранение отдельных файлов или целых файловых систем. Это может быть достигнуто за счет использования различных методов, которые включают в себя очистку диска утилиты, файл очистки коммунальных и диск размагничивание / уничтожение техники.

Утилиты очистки дисков
Утилиты очистки диска используются различные методы, чтобы заменить существующие данные на дисках. Эффективность очистки диска утилитами как анти-судебной инструменты часто оспаривается, как некоторые считают, что они не вполне эффективными. Эксперты, которые не верят, что утилиты очистки диска являются приемлемыми для диска базы санитарной свое мнение от текущей политики Министерства обороны, в котором говорится, что единственная приемлемая форма санитарную обработку в размагничивания. Утилиты очистки диска также критике, поскольку они оставляют подписи, что файловая система была уничтожена, которые в некоторых случаях недопустимо. Некоторые из широко используемых очистки диска утилиты включают DBAN, SRM, KillDisk, PC Inspector и CyberScrubs cyberCide. Другой вариант, который одобрен NIST и NSAis CMRR Secure Erase, которая использует Безопасные команды Erase построен в спецификации ATA.

Очистка файлов Утилиты
Файл утилиты очистки используется для удаления отдельных файлов из операционной системы. Преимущество файл утилиты очистки является то, что они могут выполнить свою задачу в относительно короткий промежуток времени, в отличие от очистки диска утилитами, которые имеют гораздо больше времени. Еще одно преимущество файл утилиты очистки является то, что они обычно оставляют гораздо меньше, чем подпись утилиты очистки диска. Есть два основных недостатков файл утилиты очистки, сначала они требуют участия пользователя в этом процессе и, во-вторых, некоторые специалисты считают, что файл вытирая программы не всегда правильно и полностью стереть информацию о файле. Некоторые из широко используемых файлов вытирая утилиты включают R-Wipe & Очистите, Eraser, AEVITA Протрите и удаление и CyberScrubs PrivacySuite.

Диск размагничивания / Уничтожение методы
Диск размагничивания является процесс, при котором магнитное поле на цифровой носитель. В результате получается устройство, которое полностью очищена от ранее сохраненные данные. Размагничивания редко используется как анти-судебной метод, несмотря на то, что он является эффективным средством для обеспечения сохранности данных была уничтожена. Это объясняется высокой стоимостью размагничивания машины, которые являются трудными для среднего потребителя к себе. Наиболее часто используемым методом для обеспечения уничтожения данных является физическое уничтожение устройства. NIST рекомендует, что "физическое уничтожение может быть достигнуто с помощью различных методов, в том числе распада, сжигания, измельчения, дробления и плавления".

TRAIL запутывания
Цель след запутывания, чтобы запутать, дезориентировать и отвлечь судебных процесса экспертизы. Trail запутывания охватывает целый ряд методов и инструментов, которые включают "Журнал чистящие средства, подмены, дезинформация, позвоночник прыжков, зомбированные счета, троянов команды". Одним из наиболее широко известных инструментов след запутывания Timestomp (часть рамках Metasploit). Timestomp дает пользователю возможность изменять метаданные файлов, относящихся к доступа, создания и модификации / даты. С помощью таких программ, как Timestomp, пользователь может сделать любое количество файлов бесполезны в правовом настройки путем прямого вызова в усомниться в достоверности файлов.

Другой хорошо известный след-запутывания программы Transmogrify (также входит в рамки Metasploit). В большинстве типов файлов заголовок файла содержит идентифицирующую информацию. (. JPG) будет иметь заголовок информацию, которая идентифицирует его как (. JPG), (. DOC) будет иметь информацию, которая идентифицирует его как (. DOC) и так далее. Transmogrify позволяет пользователю изменить информацию заголовка файла, так что (. JPG) заголовок можно было бы изменить (. DOC) заголовка. Если судебная экспертиза программ или операционной системы было проводить поиск изображений на компьютере, было бы просто увидеть (. DOC) файл и пропустить его.

Нападения на компьютерной криминалистике
В прошлом против судебных инструментов сосредоточились на нападении на судебного процесса уничтожения данных, сокрытие данных, или изменения данных об использовании информации. Anti-судебно-медицинской экспертизы недавно переехал в новое царство, где средства и методы направлены на судебно атакующих средств, которые выполняют экзаменов. Эти новые анти-криминалистических методов воспользовались ряд факторов, которые включают хорошо документированный судебной процедуры рассмотрения, широко известные уязвимости судебно инструмент и цифровые судебно-медицинских экспертов сильной зависимости от их инструментов.

Во время обычной судебно-медицинской экспертизы, эксперт может создать образ диска компьютера. Это позволяет на исходном компьютере (доказательств) от того запятнана судебно инструментов. Хэши создаются судебные экспертизы программного обеспечения для проверки целостности образа. Одним из последних анти-инструмент методы цели целостности хэш, который создается для проверки изображения. По влияет на целостность хэш, любые доказательства, собранные в ходе последующего расследования может быть оспорено.

Статья повторно отправил с разрешения http://ipsecs.com

Теги: судебно-медицинской экспертизы , технологий