آشنایی با فارنزیک یا جرم شناسی در امنیت سایبری

فارنزیک forensic یا جرم شناسی سایبری کاربرد تکنیک‌های تحقیق و تجزیه‌وتحلیل برای جمع‌آوری و حفظ شواهد از یک دستگاه محاسباتی خاص به‌گونه‌ای است که برای ارائه در دادگاه مناسب باشد. هدف فارنزیک یا جرم شناسی کامپیوتری انجام یک تحقیق ساختاریافته و حفظ یک زنجیره مستند از شواهد برای یافتن اینکه دقیقاً چه اتفاقی روی یک دستگاه یا رایانه افتاده و چه کسی مسئول آن بوده است.

فارنزیک یا جرم شناسی سایبری چیست؟

فارنزیک کامپیوتری یا جرم شناسی در اینترنت که گاهی به آن علم پزشک قانونی کامپیوتری نیز گفته می‌شود – اساساً بازیابی داده‌ها با دستورالعمل‌های انطباق قانونی برای قابل‌قبول کردن اطلاعات در رسیدگی‌های قانونی است. اصطلاحات فارنزیک دیجیتال و فارنزیک سایبری اغلب به‌عنوان مترادف برای فارنزیک رایانه استفاده می‌شود.

فارنزیک دیجیتال با جمع‌آوری اطلاعات به‌گونه‌ای شروع می‌شود که یکپارچگی آن را حفظ کند. سپس محققان داده‌ها یا سیستم را تجزیه‌وتحلیل می‌کنند تا تعیین کنند که آیا تغییر کرده است، چگونه تغییر کرده است و چه کسی این تغییرات را ایجاد کرده است. استفاده از فارنزیک یا جرم شناسی کامپیوتری همیشه با جرم مرتبط نیست. فرآیند فارنزیک همچنین به‌عنوان بخشی از فرآیندهای بازیابی داده‌ها برای جمع‌آوری داده‌ها از یک سرور خراب، درایو خراب، سیستم‌عامل (OS) فرمت مجدد یا شرایط دیگری که در آن‌یک سیستم به‌طور غیرمنتظره‌ای کار نمی‌کند، استفاده می‌شود.

پیشنهاد مطالعه: مسیر هکر شدن با پایتون

چرا فارنزیک در امنیت سایبری مهم است؟

در سیستم قضایی مدنی و کیفری، فارنزیک کامپیوتری به اطمینان از یکپارچگی مدارک دیجیتال ارائه‌شده در پرونده‌های قضایی کمک می‌کند. ازآنجایی‌که رایانه‌ها و سایر دستگاه‌های جمع‌آوری داده‌ها در هر جنبه‌ای از زندگی بیشتر مورداستفاده قرار می‌گیرند، شواهد دیجیتال و فرآیند فارنزیک که برای جمع‌آوری، حفظ و بررسی آن‌ها استفاده می‌شود، در حل جرائم و سایر مسائل حقوقی اهمیت بیشتری پیداکرده است.

افراد معمولی هرگز اطلاعات زیادی از اطلاعات جمع‌آوری‌شده توسط دستگاه‌های مدرن را نمی‌بینند. به‌عنوان‌مثال، تراشه‌ها یا کامپیوترهای موجود در اتومبیل‌ها به‌طور مداوم اطلاعاتی را درباره زمانی که راننده ترمز می‌کند، تغییر مسیر می‌دهد و یا سرعت را تغییر می‌دهد بدون اینکه راننده بداند جمع‌آوری می‌کنند. بااین‌حال، این اطلاعات می‌تواند در حل یک موضوع قانونی یا یک جرم حیاتی باشد و فارنزیک کامپیوتری و جرم شناسی سایبری اغلب در شناسایی و حفظ آن اطلاعات نقش دارد.

کاربردهای جرم شناسی سایبری یا forensic

شواهد دیجیتال فقط در حل جرائم دنیای دیجیتال، مانند سرقت اطلاعات، نقض شبکه و تراکنش‌های غیرقانونی آنلاین مفید نیستند. همچنین برای حل جرائم فیزیکی مانند سرقت، حمله، تصادفات و قتل نیز استفاده می‌شود.

کسب‌وکارها اغلب از مدیریت داده‌های چندلایه، مدیریت داده و استراتژی امنیت شبکه برای حفظ امنیت اطلاعات اختصاصی استفاده می‌کنند. داشتن داده‌هایی که به‌خوبی مدیریت‌شده و ایمن هستند می‌تواند به ساده‌سازی روند فارنزیک در امنیت سایبری کمک کند، درصورتی‌که این داده‌ها موردبررسی قرار گیرند.

کسب‌وکارها همچنین از فارنزیک کامپیوتری برای ردیابی اطلاعات مربوط به سیستم یا شبکه استفاده می‌کنند که می‌تواند برای شناسایی و تعقیب مهاجمان سایبری استفاده شود. کسب‌وکارها همچنین می‌توانند از کارشناسان و فرآیندهای فارنزیک دیجیتال برای کمک به بازیابی اطلاعات در صورت خرابی سیستم یا شبکه ناشی از یک بلایای طبیعی یا دیگر استفاده کنند.

انواع فارنزیک در امنیت سایبری

انواع مختلفی از جرم شناسی در امنیت سایبری وجود دارد. هرکدام با جنبه خاصی از فناوری اطلاعات سروکار دارند. برخی از انواع اصلی شامل موارد زیر است:

• فارنزیک پایگاه داده: بررسی اطلاعات موجود در پایگاه‌های داده، هم داده‌ها و هم فراداده‌های مرتبط.
• ایمیل فارنزیک: بازیابی و تجزیه‌وتحلیل ایمیل‌ها و سایر اطلاعات موجود در پلتفرم‌های ایمیل، مانند برنامه‌ها و مخاطبین.
• فارنزیک بدافزار: غربال کردن کد برای شناسایی برنامه‌های مخرب احتمالی و تجزیه‌وتحلیل بار آن‌ها. چنین برنامه‌هایی ممکن است شامل اسب‌های تروجان، باج افزار یا ویروس‌های مختلف باشد.
• فارنزیک حافظه: جمع‌آوری اطلاعات ذخیره‌شده در حافظه با دسترسی تصادفی (RAM) و کش کامپیوتر.
• فارنزیک موبایل: بررسی دستگاه‌های تلفن همراه برای بازیابی و تجزیه‌وتحلیل اطلاعات موجود در آن‌ها، ازجمله مخاطبین، پیام‌های متنی ورودی و خروجی، تصاویر و فایل‌های ویدئویی.
• جرم شناسی یا فارنزیک شبکه: جستجوی شواهد با نظارت بر ترافیک شبکه، با استفاده از ابزارهایی مانند فایروال یا سیستم تشخیص نفوذ.

پیشنهاد مطالعه: چک لیست امنیت شبکه

فارنزیک کامپیوتری چگونه کار می‌ کند؟

محققان جرم شناسی سایبری یا فارنزیک معمولاً از رویه‌های استاندارد پیروی می‌کنند که بسته به زمینه تحقیقات، دستگاه موردبررسی یا اطلاعاتی که محققان به دنبال آن هستند، متفاوت است. به‌طورکلی، این مراحل شامل سه مرحله زیر است:

جمع‌آوری داده‌ها در جرم شناسی سایبری

اطلاعات ذخیره‌شده الکترونیکی باید به‌گونه‌ای جمع‌آوری شود که یکپارچگی خود را حفظ کند. این کار اغلب شامل جداسازی فیزیکی دستگاه تحت بررسی است تا اطمینان حاصل شود که به‌طور تصادفی آلوده یا دست‌کاری نشده است. بازرسان ‌یک کپی دیجیتال که به آن تصویر فارنزیک نیز می‌گویند، از رسانه ذخیره‌سازی دستگاه می‌سازند و سپس دستگاه اصلی را در یک مکان امن یا سایر امکانات امن قفل می‌کنند تا وضعیت بکر آن را حفظ کنند. بررسی بر روی نسخه دیجیتال آن انجام می‌شود. در موارد دیگر، اطلاعات در دسترس عموم ممکن است برای اهداف فارنزیک استفاده شود، مانند پست‌های فیس بوک و غیره .

تحلیل و بررسی

محققین نسخه‌های دیجیتالی رسانه‌های ذخیره‌سازی را در یک محیط استریل تجزیه‌وتحلیل می‌کنند تا اطلاعات موردی را جمع‌آوری کنند. ابزارهای مختلفی برای کمک به این فرآیند استفاده می‌شود، ازجمله کالبدشکافی پایه فناوری برای بررسی هارددیسک و تحلیلگر پروتکل شبکه Wireshark. همچنین جیگلر ماوس هنگام معاینه کامپیوتر برای جلوگیری از به حالت خواب رفتن و از دست دادن داده‌های حافظه فرار که هنگام حالت خواب رایانه از بین می‌رود یا برق قطع می‌شود، مفید است.

ارائه

بازرسان فارنزیک یا جرم شناسی سایبری یافته‌های خود را در یک دادرسی قانونی ارائه می‌کنند، جایی که قاضی یا هیئت منصفه از آن‌ها برای کمک به تعیین نتیجه یک دعوا استفاده می‌کنند. در یک وضعیت بازیابی اطلاعات، محققان فارنزیک آنچه را که از یک سیستم در معرض خطر بازیابی می‌کنند، ارائه می‌کنند. اغلب، ابزارهای متعددی در تحقیقات فارنزیک کامپیوتری برای تأیید نتایجی که تولید می‌کنند استفاده می‌شود.

تکنیک‌هایی که محققان جرم شناسی سایبری استفاده می‌کنند کدام ها هستند؟

محققان از انواع تکنیک‌ها و برنامه‌های کاربردی فارنزیک اختصاصی برای بررسی نسخه‌ای که از یک دستگاه در معرض خطر ساخته‌اند استفاده می‌کنند. آن‌ها پوشه‌های مخفی و فضای دیسک اختصاص داده نشده را برای کپی فایل‌های حذف‌شده، رمزگذاری شده یا آسیب‌دیده جستجو می‌کنند. هر مدرکی که در نسخه دیجیتالی یافت می‌شود به‌دقت در یک گزارش یافته ثبت می‌شود و با دستگاه اصلی در آماده‌سازی برای اقدامات قانونی که شامل کشف، سپرده‌گذاری یا دعوای حقوقی واقعی است، تأیید می‌شود. تحقیقات فارنزیک کامپیوتری از ترکیبی از تکنیک‌ها و دانش تخصصی استفاده می‌کند. برخی از تکنیک‌های رایج به صورت موارد زیر هستند:

استگانوگرافی معکوس یا Steganography

استگانوگرافی در جرم شناسی سایبری تاکتیک رایجی است که برای پنهان کردن داده‌ها در هر نوع فایل دیجیتال، پیام یا جریان داده استفاده می‌شود. کارشناسان فارنزیک رایانه با تجزیه‌وتحلیل هش داده‌ها که فایل موردنظر حاوی آن است، تلاش‌های استگانوگرافی را معکوس می‌کنند. اگر یک مجرم سایبری اطلاعات مهمی را در داخل یک تصویر یا فایل دیجیتالی دیگر پنهان کند، ممکن است قبل و بعدازآن برای چشم آموزش ندیده یکسان به نظر برسد، اما هش یا رشته داده‌های زیرین که تصویر را نشان می‌دهد تغییر می‌کند.

فارنزیک تصادفی

در این تکنیک جرم شناسی سایبری، محققین بدون استفاده از مصنوعات دیجیتال، فعالیت‌های دیجیتال را تجزیه‌وتحلیل و بازسازی می‌کنند. مصنوعات تغییرات ناخواسته داده‌هایی هستند که از فرآیندهای دیجیتالی رخ می‌دهند. مصنوعات شامل سرنخ‌های مربوط به یک جرم دیجیتال، مانند تغییرات در ویژگی‌های فایل در حین سرقت داده‌ها هستند. فارنزیک تصادفی اغلب در تحقیقات نقض داده‌ها استفاده می‌شود، جایی که تصور می‌شود مهاجم یک فرد خودی است که ممکن است مصنوعات دیجیتالی را پشت سر نگذارد.

پیشنهاد مطالعه: ٤ کتاب جادویی در زمینه هک و امنیت با پایتون

تجزیه‌وتحلیل متقابل درایو

این تکنیک در جرم شناسی سایبری اطلاعات یافت شده در چندین درایو کامپیوتر را برای جستجو، تجزیه‌وتحلیل و حفظ اطلاعات مربوط به یک تحقیق مرتبط و ارجاع متقابل می‌کند. رویدادهایی که شبهه ایجاد می‌کنند با اطلاعات موجود در درایوهای دیگر مقایسه می‌شوند تا به دنبال شباهت‌ها و ارائه زمینه باشند. این تکنیک به‌عنوان تشخیص ناهنجاری در امنیت سایبری نیز شناخته می‌شود.

تحلیل زنده در جرم شناسی

با استفاده از این تکنیک، یک کامپیوتر از درون سیستم‌عامل درحالی‌که کامپیوتر یا دستگاه در حال اجرا است، با استفاده از ابزارهای سیستم روی کامپیوتر تحلیل می‌شود. این تکنیک فارنزیک تجزیه‌وتحلیل داده‌های فرار را بررسی می‌کند که اغلب در حافظه پنهان یا RAM ذخیره می‌شوند. بسیاری از ابزارهایی که برای استخراج داده‌های فرار استفاده می‌شوند، مستلزم حضور دستگاه یا کامپیوتر در آزمایشگاه فارنزیک برای حفظ مشروعیت زنجیره‌ای از شواهد هستند.

بازیابی فایل‌های پاک‌شده در فارنزیک

این تکنیک شامل جستجوی یک سیستم کامپیوتری و حافظه برای یافتن قطعاتی از فایل‌هایی است که تا حدی در یک مکان حذف‌شده‌اند اما آثاری را در جای دیگری از دستگاه باقی می‌گذارند. این گاهی اوقات به‌عنوان حکاکی فایل یا حکاکی داده نیز شناخته می‌شود.

معرفی کتاب تکنیک‌های فارنزیک

در کتاب Python Forensics: A Workbench for Inventing and Sharing Digital Forensic Technology، نوشته چت هاسمر، اطلاعات زیادی در مورد تجزیه‌وتحلیل فارنزیک کامپیوتر پیدا می‌کنید. این کتاب نشان می‌دهد که چگونه با استفاده از پایتون و فناوری امنیت سایبری برای امنیت دیجیتال استفاده کنید.

نمونه‌ هایی از جرم شناسی سایبری

فارنزیک کامپیوتری از دهه 1980 به‌عنوان مدرک توسط سازمان‌های مجری قانون و در قوانین جزایی و مدنی بین‌المللی استفاده‌شده است. برخی از نمونه‌های قابل‌توجه کشف جرائم سایبری با استفاده از فارنزیک شامل موارد زیر است:

سرقت اسرار تجاری اپل

مهندسي به نام Xiaolang Zhang در بخش خودروهاي خودران اپل بازنشستگي خود را اعلام كرد و گفت كه براي مراقبت از مادر مسن خود به چين بازخواهد گشت. او به مدیرش گفت که قصد دارد در یک تولیدکننده خودروهای الکترونیکی در چین کار کند و این باعث شک و تردید آن‌ها شد.

بر اساس سوگندنامه دفتر تحقیقات فدرال (FBI)، تیم امنیتی اپل فعالیت‌های ژانگ را در شبکه شرکت بررسی کردند و متوجه شدند، در روزهای قبل از استعفا، او اسرار تجاری را از پایگاه‌های اطلاعاتی شرکت‌های محرمانه‌ای که به آن‌ها دسترسی داشت، دانلود کرده است. او در سال 2018 توسط FBI متهم شد. این تحقیق توسط تیم فارنزیک FBI انجام شد.

پیشنهاد مطالعه: سیستم‌های امنیتی WAF و IPS

انرون یکی از شایع‌ترین رسوایی‌های کلاه‌برداری حسابداری

Enron، یک شرکت انرژی، کالا و خدمات ایالات‌متحده امریکا است، میلیاردها دلار درآمد را قبل از ورشکستگی در سال 2001 گزارش کرد که باعث آسیب مالی به بسیاری از کارمندان و سایر افرادی شد که در شرکت سرمایه‌گذاری کرده بودند. تحلیلگران فارنزیک کامپیوتری، چندین ترابایت داده را برای درک این طرح کلاه‌برداری پیچیده بررسی کردند و عامل سرقت و دست‌کاری داده‌ها را یافتند.

سرقت اسرار تجاری گوگل، آنتونی اسکات لواندوفسکی

مدیر سابق اوبر و گوگل، به 33 مورد سرقت اسرار تجاری در سال 2019 متهم شد. از سال 2009 تا 2016، لواندوفسکی در برنامه ماشین خودران گوگل کار می‌کرد، جایی که هزاران فایل مرتبط با این برنامه را از یک سرور شرکتی محافظت‌شده با رمز عبور دانلود کرده بود.

به گفته نیویورک تایمز، او از گوگل جدا شد و اتو، یک شرکت کامیون‌های خودران را ایجاد کرد که اوبر آن را در سال 2016 خرید. لواندوفسکی به یک فقره سرقت اسرار تجاری اعتراف کرد و به 18 ماه زندان و 851,499 دلار جریمه نقدی و جبران خسارت محکوم شد. این یک نمونه بارز از فارنزیک کامپیوتری بود که در گوگل اتفاق افتاد.

پیشنهاد مطالعه: آنچه که باید در مورد هک و امنیت بدانیم

مایکل جکسون

محققان از فراداده‌ها و اسناد پزشکی آیفون دکتر مایکل جکسون استفاده کردند که نشان می‌داد دکتر کنراد موری مقادیر کشنده ای دارو برای جکسون که در سال 2009 درگذشت، تجویز کرده است.

میکایلا مون

مون نوزاد تازه متولدشده خود را در سال 2016 در وان اتاق خوابگاهش در دانشگاه منچستر غرق کرد. بازرسان جستجوهای گوگل را در کامپیوتر او یافتند که حاوی عبارت «سقط‌جنین در خانه» بود که برای محکوم کردن او استفاده‌شده بود. این هم یک نمونه بارز از فارنزیک رایانه‌ای بود.

مشاغل و گواهینامه‌های فارنزیک کامپیوتر

فارنزیک کامپیوتری به حوزه تخصصی علمی خود تبدیل شده است. طبق گزارش Salary.com، متوسط ​​حقوق سالانه یک تحلیلگر فارنزیک کامپیوتری در سطح پایه حدود 65000 دلار در سطح بین‌المللی است. برخی از نمونه‌ مسیرهای شغلی فارنزیک سایبری شامل موارد زیر است:

• مهندس فارنزیک یا جرم شناسی سایبری: این متخصصان با مرحله جمع‌آوری فرآیند فارنزیک کامپیوتری، جمع‌آوری داده‌ها و آماده‌سازی آن برای تجزیه‌وتحلیل سروکار دارند. آن‌ها به تعیین چگونگی خرابی یک دستگاه کمک می‌کنند.
• حسابدار فارنزیک: این موقعیت به جرائم مربوط به پول‌شویی و سایر معاملاتی که برای سرپوش گذاشتن بر فعالیت‌های غیرقانونی انجام می‌شود، می‌پردازد.
• تحلیلگر امنیت سایبری: این موقعیت به تجزیه‌وتحلیل داده‌ها پس از جمع‌آوری و ترسیم بینش‌هایی می‌پردازد که بعداً می‌تواند برای بهبود استراتژی امنیت سایبری سازمان استفاده شود.

گواهینامه‌های فارنزیک یا جرم شناسی معتبر

امنیت سایبری یا یک‌رشته مرتبط برای متخصصان فارنزیک کامپیوتر موردنیاز است. چندین گواهینامه در این زمینه وجود دارد که ازجمله آن‌ها می‌توان به موارد زیر اشاره کرد:

• تحلیلگر قانونی امنیت سایبری موسسه CyberSecurity:  این گواهینامه برای متخصصان امنیتی با حداقل دو سال تجربه طراحی‌شده است. سناریوهای آزمایش بر اساس موارد واقعی است.
• انجمن بین‌المللی متخصصان تحقیقات کامپیوتری: این گواهی‌نامه فارنزیک در درجه اول بر اعتبار سنجی مهارت‌های لازم برای اطمینان از اینکه تجارت از دستورالعمل‌های فارنزیک رایانه‌ای پیروی می‌کند تمرکز دارد.
• بازپرس قانونی هک کامپیوتر EC-Council:  این گواهی توانایی متقاضی را برای شناسایی متجاوزان و جمع‌آوری شواهدی که می‌تواند در دادگاه مورداستفاده قرار گیرد، ارزیابی می‌کند. این جستجو و توقیف سیستم‌های اطلاعاتی، کار با اثبات دیجیتال و سایر مهارت‌های فارنزیک سایبری را پوشش می‌دهد.
• بازرس رایانه گواهی‌شده توسط انجمن بین‌المللی بازرسان کامپیوتری قانونی (ISFCE): این برنامه بازرس فارنزیک نیاز به آموزش در یک مرکز آموزشی بوت کمپ مجاز دارد و متقاضیان باید کد اخلاقی و مسئولیت حرفه‌ای ISFCE را امضا کنند.

کلام آخر

فارنزیک یا جرم شناسی سایبری به کاربردها و تکنیکهایی اشاره دارد که در آن متخصصان امنیت سایبری یا فارنزیک تلاش می‌کنند که با کشف سرنخ و آثار جرم منبع حملات سایبری را کشف کنند. این ترند در حال حاضر بسیار پرطرفدار است و بخشی مهم از آموزش امنیت و شبکه محسوب می‌شود.