آثار دیجیتالی      Digital forensics

آثار دیجیتالی، ابزارهایی هستند که اطلاعات دیجیتالی را در خود ذخیره می­کنند و با توسعة دانش رایانه ­ای، احتمال به جا ماندن آنها در بسیاری از صحنه ­های جرم وجود دارد . تحقیق و بازیافت اطلاعات موجود در ابزارهای دیجیتالی، به علوم جنایی دیجیتالی معروف است .

علم فارنزیک دیجیتال، علم کشف شواهد رایانه‌ای یا کشف جرم است. کشف شواهد یا کشف جرم به چیزی گفته می­شود که در صحنه‌های جرم برای جمع آوری شواهد و داده‌های یک پرونده قضایی صورت می‌گیرد. ورود حوزة سایبری به جرایم مختلف سبب ظهور علم کشف جرم دیجیتال شده است و اکثر مفاهیم مطرح شده در این حوزه، نمونه‌های غیر رایانه‌ای و غیر دیجیتال خود را دارند.

هدف این فنون، جستجو، حفظ و تجزیه و تحلیل اطلاعات موجود بر روی سامانه ­های رایانه­ ای و آثار دیجیتالی دیگر مثل گوشی­های همراه یا حافظه ­های جانبی، به منظور يافتن شواهد و مدارک احتمالی برای یک دادرسی است. بسياری از فنون که کارآگاهان از آنها در تحقيقات صحنه جرم استفاده می‌کنند، دارای المثنای ديجيتالی هستند ؛ اما تحقيقات رایانه ­ای دارای برخی جنبه‌های منحصر به فرد نيز است. برای مثال، باز کردن يک فايل رایانه ای باعث تغيير آن می‌شود (رایانه، زمان و تاريخ دسترسی به فايل را بر روی خود آن ثبت می‌کند). 

اگر کارآگاهان يک رایانه را توقيف کنند و سپس شروع به باز کردن فايل‌ها نمايند، نمی‌توان مطمئن بود که چيزی را تغيير نداده‌اند. وکلای مدافع می‌توانند در هنگام رجوع پرونده به دادگاه به اعتبار اين مدارک اعتراض کنند. به همین دلیل جمع‌آوری درست شواهد، یکی از مهم‌ترین بخش‌های کار یک متخصص این رشته خواهد بود.

در واقع باید یک کپی از تمامی بخش‌های مورد نیاز و قابل بازیابی سامانه گرفته شود و تمامی دسترسی‌ها روی کپی به دست آمده انجام شود تا چیزی در سامانه اصلی تغییر نکند. بخش چالش برانگیز دیگری که در این حوزه وجود دارد، فنون ضدکشف است که مجرمان سایبری با استفاده از آنها سعی دارند کار یک متخصص جرایم رایانه‌ای را در صورت دسترسی به داده‌های آنان دشوار سازند.

اگرچه جرایم رایانه ای و آثار دیجیتالی در آزمایشگاه تحقیقات جنایی، توسط کارشناسان علوم رایانه ای بررسی می­ شود،  لیکن بین جرایم رایانه­ ای و بررسی آثار دیجیتالی تفاوت های معنی داری وجود دارد. در واقع جرایم رایانه ای شامل سرقت و کپی برداری از برنامه ها و نرم افزارها و ورود به حریم خصوصی اشخاص در فضای مجازی و سوء استفاده مالی از حساب بانکی افراد حقیقی و حقوقی است ؛ اما آثار دیجیتالی آثاری رایانه­ ای هستند که در جرایم غیر رایانه­ای مثل سرقت اموال و قتل و تجاور به عنف یا جعل و کلاهبرداری و گروگان گیری، ممکن است در صحنة جرم باقی بماند و بررسی و بازیافت اطلاعات آنها به مراجع انتظامی و قضایی در کشف جرم و شناسایی هویت مجرم، کمک کند. 

بررسی آثار دیجیتالی، کاربردهای وسیعی دارد. رایج­ترین آنها، پشتیبانی یا رد یک فرضیه قبل از دادرسی کیفری و حقوقی ( بخشی از فرایندکشف الکترونیک) است. جنبه ­های تکنیکی تحقیق و رسیدگی، با توجه به نوع ابزارهای دیجیتالی، به چندین زیرشاخه تقسیم شده است که شامل: رایانه­ های جنایی، شبکه های جنایی، تحلیل داده های جنایی و گوشی­های همراه است. فرایند تیپیک جنایی، توقیف تصاویر و تحلیل رسانه های دیجیتالی و تولید یک گزارش برای مدارک جمع آوری شده، است.

با بهبود روش های شناسایی مدارک جنایی، آثار دیجیتالی می­توانند برای نسبت دادن مدارک به مظنون ویژه، تأیید غیبت مظنون درهنگام وقوع جرم یا تأیید اظهارات، تأیید عمدی بودن، شناسایی اصل بودن ( برای مثال شناسایی نمونه های کپی رایت) یا اصالت مدارک استفاده شوند (2).

طی چند سال گذشته با افزایش جرایم رایانه ای مثل کپی رایت، شکارچی های فضای مجازی و عکس های مستهجن،  قوانین مقابله با این جرایم، در کشورهای مختلف از تصویب قانون گذاران گذشته است و آزمایشگاه بررسی آثار دیجیتالی پلیس، در کشورهای توسعه یافته از جمله پلیس ایران راه اندازی شده است.

از سال 1990 تلفن­های همراه به عنوان ابزار ارتباطی پیشرفته به طور وسیعی در دسترس قرار گرفت که ابزاری غنی از اطلاعات است و با آثار دیجیتالی در جرایم مرتبط است. صنایع، آکادمی ها، دولت ها، ماشین های نظامی هوایی، زمینی، دریایی و قلمرو فضایی از طریق فضای مجازی، توسط دشمنان اشخاص و دولت ها و بنگاه های اقتصادی، هدف قرار می­گیرند.

تا سال 1980 تعداد محدودی ابزارهای دیجیتالی جنایی وجود داشت و در نتیجه بازرسان اغلب به صورت زنده در محل جرم با استفاده از ابزارSysadmin  رایانه ­ها را از طریق سیستم عامل بررسی و مدارک را استخراج می­ کردند. در این روش، خطر از بین رفتن داده ها به صورت غیر قابل برگشت در دیسک ها وجود داشت (3). برای رفع این اشکال از اوایل 1990 ابزارهایی ایجاد شده است. ابزارهایی مثلEnCase و FTK، امکان آن را فراهم می­کند که آزمایش کننده یک نسخة کپی از مدارک دیجیتالی، برای کار بر روی آن ایجاد کند و دیسک اصلی بدون دست خوردگی باقی بماند.

بررسی آثار دیجیتالی جنایی عموماً از سه مرحله تشکیل شده است: اکتساب داده ها، تجزیه وتحلیل و گزارش. مطلوب­ترین اکتساب ایجاد یک نسخه حقیقی دیگر یا دو نسخه سازی مدرک دیجیتال (دوبله کردن جنایی) اغلب با استفاده از نرم افزارWrite   Blocking برای جلوگیری از تغییرات در اصل مدارک انجام می­شود. در فاز تجزیه و تحلیل، محقق با استفاده از روش­ها و ابزارهای مختلف، مدارک را بازیافت می­کند. فرایند واقعی آنالیز بین بازرسان متفاوت است و رایج ترین آنها بازیافت فایل های حذف شده و استخراج اطلاعات کاربران، برای مثال، کد کاربری یا USBهای متصل به آن است. مدارک بازیافت شده برای بازسازی حوادث و اقدامات و رسیدن به نتایج و گزارش نهایی است. آثار دیجیتالی، روز به روز در حال گسترش هستند و علاوه بر جرایم سایبری، ممکن است آثار و ادلة دیجیتالی مثل سی­دی، دی وی دی، فلش مموری و تلفن همراه در صحنه­ های جرایم مختلف مثل قتل و سرقت. و تجاوز به عنف توسط گروه های بررسی صحنة جرم جمع آوری شود.بنابر، روش مواجهه با آثار دیجیتال و نحوة ارسال آنها به یونیت آثار دیجیتال آزمایشگاه تحقیقات جنایی، باید به اکیپ­های بررسی صحنة جرم آموزش داده شود. 

کلید واژه ها

آثار دیجیتالی، جرایم رایانه ­ای، اکتساب داده ­ها، کپی رایت

ارجاعات

1-     M Reith, C Carr, G Gunsch (2002).An examination of digital Forensic models. International Journal of Digital Evidence. Retrieved 2 August 2010.

2-     GL Palmer, I Scientist, H View (2002).Forensic analysis in the digital world. International Journal of Digital Evidence. Retrieved 2 August 2010