مفهوم الأمن الجنائي الرقمي:
الأمن الجنائي الرقمي هو مجموعة أشخاص متخصصين بالجرائم الإلكترونية، يستخدمون دراسات وأدوات لتحليل الجرائم وفحصها؛ لجمع الأدلة المطلوبة وتقديمها للنيابة خلال فترة التحقيق؛ ومن ثَمَّ تحديد هوية الجاني.
يهتم التحقيق الجنائي بالبت في الجرائم المرتكبة في أحد أنواع الحوسبة، بما يتضمن الحواسيب المكتبية والمحمولة والخوادم والهواتف والأجهزة اللوحية والكاميرا الرقمية، وأجهزة الشبكات وأجهزة إنترنت الأشياء (IoT)، وغير ذلك من أجهزة تخزين البيانات، وتتضمن أمثلة الجرائم الحاسوبية التحميل غير القانوني لمواد محمية بحقوق النشر والجرائم ضد الأطفال وسرقة الهوية ومضايقات رسائل الـ email.
في الواقع لا تقتصر عملية الجرائم الإلكترونية على اﻷجهزة الإلكترونية أو أدلة ملموسة؛ إنَّما قد تشمل تتبع بعض اﻷدلة والأمور المجراة عند الاختراق أو بعده عبر تحليل ملفات النظام، وتتبع آثاره والحركات التي قام بها، وهذا يفيد في عملية التحقيق لمعرفة الجاني ونقاط ضعف موقعك عبر تحليل الحركات التي قام بها المخترق عند الاختراق.
كما أنَّه مسؤول عن فحص الهجمات الإلكترونية مثل برامج الفدية والتصيد الإلكتروني وهجمات أوامر SQL، ورفض الخدمة الموزعة (DDoS) وخرق البيانات وغيرها، التي قد تسبِّب خسائر مالية أو تشوه مكانة الأشخاص والمؤسسات.
في الوقت الحالي توجد وكالات قانونية عديدة تعتمد على متخصصي التحليل الجنائي الرقمي للقبض على المجرمين، بما يتضمن قوة الشرطة المحلية ومكتب التحقيقات الفدرالي وكثير من الكيانات الأخرى.
شاهد بالفيديو: 10 نصائح تحفظ خصوصيتك على الإنترنت
كيفية عمل الأمن الجنائي:
يتميز الأمن الجنائي الرقمي بسرعة إلقاء القبض على المجرمين، وخاصة من يظن أنَّه لا يترك بصمة خلفه، فهو يعتمد على أرشيف المواد المحوسبة ليكتشف المواد المشفرة في أجهزة الجاني، مهما كان بارعاً في إخفاء الأدلة.
عند وجود إشعار يدل على حدوث عمليات اختراق قد تكون من خلال مراقبتك الدورية لملفات log، أو متابعة إشعارات الجدار الناري على السيرفر، بما يتضمن csf .firewall، سيحدد برنامج الأمن الجنائي الأيبيهات التي حاولت التخمين ودخول السيرفر، كما يلقي المحققون الجنائيون نظرة إلى ملفات access log ليحلِّلوا حركات المخترق على تطبيق الويب الخاص بهم.
مراحل الأمن الجنائي الرقمي:
نشرت المنظمة الدولية للتوحيد القياسي (ISO) واللجنة الكهروتقنية الدولية (IEC) معايير دولية للتعامل مع الأدلة الرقمية، لتحديدها وجمعها واكتسابها والحفاظ عليها؛ إذ تضمنت هذه الإرشادات المعالجة الأولية للأدلة الرقمية فقط.
1. مرحلة التحديد:
تشمل البحث عن الأدلة المرتبطة والتعرف إليها ثمَّ توثيقها؛ إذ تحدَّد أولويات جمع الأدلة بحسب قيمة الأدلة.
2. الجمع:
تشمل جمع الأجهزة الرقمية التي قد تحتوي على بيانات ذات قيمة إثباتية، ثم نقلها ثانية إلى مختبر الاستدلال الجنائي الرقمي أو مرفق آخر لاستخلاص الأدلة وتحليلها، هذا ما يطلق عليه اسم الاكتساب الثابت.
3. التجميع:
من الضروري الحصول على الأدلة الرقمية مع الحفاظ على سلامة البيانات، هذا ما أكَّده مجلس رؤساء الشرطة الوطنية في المملكة المتحدة (NPCC)، ويتضمن ذلك الحصول على البيانات دون تعديلها من خلال إنشاء نسخة مكررة من محتوى الجهاز الرقمي عند استخدام جهاز مصمَّم لمنع تغيير البيانات خلال عملية النسخ؛ بهدف تحديد حالة النسخة هل هي مكررة أم أنَّها طبق الأصل.
4. الحفاظ على الدليل:
تُثبَت سلامة الأجهزة والأدلة الرقمية باستخدام السلسلة، التي تعرَّف على أنَّها العملية التي يحافظ المحققون باستخدامها على مسرح الجريمة والأدلة في مختلف مناحي القضية، كما تحتوي على معلومات من جمع الأدلة، وأين وكيف تُجمع، والأشخاص الذين حصلوا عليها، ومتى تم ذلك.
لكنَّ معايير ISO/IEC 27037 لم تشمل المراحل المتبقية وهي التحليل والإبلاغ.
5. مرحلة التحليل:
تحتاج مرحلة التحليل أو الفحص إلى استخدام أدوات وطرائق خاصة مناسبة لكشف البيانات الرقمية، وتوجد أدوات للاستدلال الجنائي الرقمي في السوق من مختلف النوعيات، بما في ذلك "Encase" و"FTK" و"X-Ways Forensics"، وتختلف بحسب نوع التحقيق الجنائي الرقمي.
تستطيع استخدام "Oxygen Forensics Suite" في الاستدلال الجنائي المحمول والخدمات السحابية، أما الاستدلال الجنائي للشبكة فيستخدم "Wireshark"، في حين تستخدم أدوات مثل "EnCase" و"FTK" و"NUIX" للعمل مع الحوسبة التقليدية.
برنامج الـ FTK:
الـ FTK هو أقوى برنامج تستخدمه الشرطة في التحقيقات الرقمية، فعند حصول المحقق العادي على الجهاز المستخدم في الجريمة الإلكترونية يستدعي المحقق الجنائي الرقمي فيحصل على الجهاز، وهنا يأتي دوره في الفحص؛ إذ يفحص الحزمة القرص الصلب فحصاً كاملاً لإيجاد مختلف المعلومات؛ إذ قد يجد مجلدات مختفية مُسحَت، كما يساعد على رؤية كل الرسائل الإلكترونية التي استخدمها المجرم؛ فهو يقرأ البريد الإلكتروني بما يتضمن الرسائل المحذوفة، كما أنَّه يستطيع فك تشفير أي مجلد أو ملف مُقفَل برمز سرِّي، ويتضمن الـ FTK أدوات عديدة، وأبرزها:
- أداة FTK imager: تفيد في أخذ نسخة من الهارد ديسك والفلاشات لتُفحص ويُحافظ على البيانات.
- أداة password recovery toolkit: تفيد في فك حماية الملفات والمجلدات المقفلة بكلمة مرور.
- أداة Registry viewer: تفيد في مشاهدة ملفات الريجستري، كما تستطيع الكشف عن الريجستري المخفية في الجهاز.
- أداة distributed denial attack: تفيد في فك حماية كلمات المرور من خلال معالجات عديدة لتسريع عملية الكشف عن الكلمة.
برنامج Executed Programs List:
برنامج Executed Programs List يفيد أي شخص يحمِّله؛ إذ يستطيع التعرف إلى وقت تشغيل كل البرامج في الكمبيوتر وتاريخها حتى بعد حذفها؛ إذ يستطيع التجسُّس على الأجهزة ومراقبة أعمال الضحية حتى بعد أن يعلم أنَّ الأمن قد كشف أمره، ويعمل على القبض عليه حينها سيقوم بفرمتة الكمبيوتر؛ لكنَّ برنامج Executed Programs List يحاول تحديد البرامج كلها التي استخدمها الجاني.
تهدف مرحلة التحليل إلى تحديد الأهمية والقيمة الإثباتية للأدلة، ويستطيع إجراء ذلك خلال فحص إن كانت الأدلة ستجعل وجود حقيقة ما نتيجة لتحديد الإجراء أكثر أو أقل احتمالية، ممَّا سيكون عليه دون الدليل.
6. مرحلة الإبلاغ:
تتضمَّن مرحلة الإبلاغ وصفاً تفصيلياً للخطوات المتخذة في أثناء عملية التحليل الجنائية الرقمية، وكشف الأدلة والاستنتاجات بالاعتماد على نتائج عملية التحاليل الجنائية الرقمية والأدلة، كما تستطيع استخدام الذكاء الاصطناعي للحصول على نتائج موثوقة.
كما نشرت ISO/IEC إرشادات أخرى تتعلَّق بعملية التحاليل الجنائية الرقمية صلاحية وموثوقية أدوات وطرائق التحليل، وإرشادات أخرى تضمن ملاءمة طرائق التحقيق في الحوادث وكفايتها، وإرشادات لتحليل الأدلة الرقمية وتفسيرها.
أهم واجبات المُحلِّل الجنائي الرقمي:
كما أشرنا يقدم التحليل الجنائي الرقمي أدلة موثقة لإيصال القضية إلى الدوائر القضائية؛ لذا من أهم واجبات المُحلِّل لإتمام التحقيق:
- تحليل جرائم نظام الحاسوب، كما يجب أن يكون على معرفة كاملة بما يشكِّلها.
- استرجاع البيانات التي يتلفها المجرم لطمس الأدلة.
- تجميع الأدلة ومعلومات نظام الحاسوب.
- توسيع مستويات أداء الحاسوب بما يتلاءم مع العمل والقضية.
- إعادة بناء أنظمة الحواسيب التالفة لاسترجاع الملفات الهامة.
- إعداد التقارير وتهيئتها لتقدَّم في المحكمة.
- الشهادة في المحكمة والمعرفة بكيفية التعامل مع القضاء.
- التدريب على القانون وتنفيذه على كل القضايا المرتبطة بالحاسوب.
- صياغة الشهادات والإفادات والتقارير بطريقة تلائم المحكمة.
- التحاور مع العملاء والمشرفين والمديرين في كل ما يصل إليه الباحث خطوة بخطوة.
- فك قفل الملفات المقفلة واسترجاع المعلومات المخفية؛ ففي معظم الأحيان تكون هي الأدلة الحقيقية.
- تحويل الملفات والمعلومات المستعادة إلى تنسيقات معينة.
- يقترح طرائق لحفظ أدلة الحواسيب وتقديمها.
- القدرة على العمل والتعاون مع فريق؛ إذ يختلف العمل باختلاف التخصصات والمرجعيات الثقافية للأعضاء.
أهداف التحليل الجنائي الرقمي:
تتجلى أهداف عملية التحليل الجنائي الرقمي في البنود الآتية:
- استعادة ملفات الحاسوب وكل المواد المرتبطة بالتحقيق وتحليلها، وحفظها حفظاً يساعد جهات التحقيق على تقديمها بصفتها دليلاً في المحكمة القانونية وبصيغة تناسب الجهاز القضائي.
- معرفة الدافع الرئيسي للجريمة وهوية المجرم وطبيعة العلاقة بينه وبين الضحية وتاريخها.
- إتمام الإجراءات وتصميمها في مسرح الجريمة المشتبه به لضمان عدم تلف الأدلة الرقمية المستخلصة.
- استخلاص البيانات ونسخها، بما يتضمن استرجاع الملفات والأقسام المحذوفة والمقفلة من الوسائط الرقمية؛ بهدف استخلاص الأدلة والتأكد من صحتها.
- التعرُّف السريع إلى الأدلة.
- إنتاج تقرير جنائي حاسوبي وتقديمه بكامل مجرياته منذ البداية إلى النهاية إلى التحقيق.
- حفظ كل الأدلة بنسخ عديدة في أماكن سرية.
مكافحة الاستدلال الجنائي الرقمي:
مكافحة الأدلة الجنائية أو ما يطلق عليه اسم الأدلة الجنائية المضادة للرقمية، وهي عبارة عن مصطلح لوصف الأدوات والتقنيات المعتمدة على إزالة أو تغيير أو تعطيل أو التدخل بأي شكل آخر في الأدلة على النشاطات الإجرامية وعلى الأنظمة الرقمية، وعلى غرار الطريقة التي يستطيع بها المجرمون إزالة الأدلة من مسرح الجريمة في العالم المادي.
كما تشمل مكافحة الأدلة الجنائية إخفاء البيانات، بما يتضمن الخصوصية وحماية البيانات، وإخفاء المعلومات وممارسة إخفاء المعلومات السرية وغير السرية والصور والصوت والتسجيلات والفيديوهات، ومسح الجهاز الرقمي عبر برنامج مخصَّص لحذف البيانات، والتشويش على المسار الرقمي من خلال أساليب الانتحال المختلفة.
في الختام:
إنَّ هدف الأمن الجنائي الرقمي النهائي هو الاحتفاظ بالأدلة الرقمية وتحديدها وتوثيقها لعرضها في المحاكم.
أضف تعليقاً