ΕΓΚΛΗΜΑΤΟΛΟΓΙΑ ΚΙΝΗΤΩΝ

Τα δεδομένα που φυλάσσονται σε κινητά τηλέφωνα είναι συχνά το κλειδί για την επίλυση ενός εγκλήματος. Η Εγκληματολογία Κινητών (Mobile Device Forensics - MF) είναι ένα διεπιστημονικό πεδίο, το οποίο αποτελείται από τεχνικές που εφαρμόζονται σε ένα ευρύ φάσμα των υπολογιστικών συσκευών, συμπεριλαμβανομένων των κινητών τηλεφώνων, των tablets και των δορυφορικών συστημάτων πλοήγησης (GPS).

Η ομάδα της Digital Investigations αναλύει όλα τα δεδομένα των κινητών γρήγορα και με ακεραιότητα, χρησιμοποιώντας εργαλεία και εφαρμογές τελευταίας τεχνολογίας για να σας παρέχει τα αναγκαία στοιχεία στο συντομότερο χρονικό διάστημα, μια και ο χρόνος είναι πολύτιμος κατά την διάρκεια των ερευνών.

 

Η διαδικασία Εγκληματολογίας Κινητών έχει τρεις κύριες κατηγορίες: Κατοχή, Απόκτηση και Εξέταση/Ανάλυση.

ΚΑΤΟΧΗ ΩΣ ΠΕΙΣΤΗΡΙΟ

Η ομάδα της Digital Investigations αντιμετωπίζει ένα διαφορετικό είδος πρόκλησης όταν παίρνει στην κατοχή της μια κινητή συσκευή, η οποία αποτελεί πηγή αποδεικτικών στοιχείων. Η εν λόγω συσκευή (π.χ. η συσκευή που φιλοξενεί τα κρίσιμα δεδομένα, ή έχει λάβει μέρος σε έγκλημα κτλ) πρέπει πρώτα να ταυτοποιηθεί, και διάφορες παράμετροι, όπως η κατάσταση της συσκευής (ενεργή ή ανενεργή), οι πληροφορίες της οθόνης, η ιδιοκτησία, οι συσκευές, οι κάτοχοι των καρτών SIM, πρέπει να συλλεγούν και να τεκμηριωθούν. Η συσκευή θα πρέπει στη συνέχεια να τοποθετηθεί σε σφραγισμένη σακούλα πειστηρίων.

Ωστόσο, το να παραμένει το τηλέφωνο σε λειτουργία ενέχει έναν άλλο κίνδυνο, δεδομένου ότι η συσκευή μπορεί ακόμη να είναι σε θέση να εκκινήσει σύνδεση στο δίκτυο. Αυτό σημαίνει πως νέα εισερχόμενα δεδομένα μπορεί να αντικαταστήσουν τα πειστήρια. Για να ξεπεραστεί αυτό, η ομάδα μας θα καταστήσει τη συσκευή άχρηστη, κλειδώνοντς την οθόνη αφής και/ή το πληκτρολόγιό της.

Μόλις η συσκευή αρχειοθετηθεί κατάλληλα ως αποδεικτικό στοιχείο. θα εφαρμοστούν εγκληματολογικά εργαλεία, για να ανακτηθούν και να ανλυθούν τα δεδομένα που είναι αποθηκευμένα στο τηλέφωνο.

ΑΠΟΚΤΗΣΗ ΔΕΔΟΜΕΝΩΝ

Η ανάκτηση ψηφιακών πειστηρίων μπορεί να εκτελεστεί χρησιμοποιώντας μια ποικιλία εργαλείων. Κάθε εργαλείο χρησιμοποιεί την δική του μέθοδο εξόρυξης δεδομένων. Σε περίπτωση που ένα εργαλείο αποτύχει, θα εφαρμοστεί ένα διαφορετικό. Ενδέχεται να είναι απαραίτητο να πραγματοποιηθούν πολλαπλές προσπάθειες και εργαλεία προκειμένου να εξαχθούν όσο το δυνατόν περισσότερα δεδομένα γίνεται από την φορητή συσκευή.

 

Μια Λογική Εξόρυξη (Logical Extraction) είναι γενικώς ευκολότερο να χρησιμοποιηθεί καθώς δεν παράγει μεγάλη ποσότητα μη διατεθέντων δεδομένων. Στην περίπτωση της Εξόρυξης του Συστήματος Αρχείων (File System Extraction), είναι πιθανό να ανακτηθούν διαγραμμένες πληροφορίες σχετικά με την δομή του συστήματος αρχείων, το ιστορικό της περιήγησης στο Διαδίκτυο, την χρήση των εφαρμογών κτλ.

 

Τέλος, η Φυσική Εξόρυξη (Physical Extraction) είναι η δυσκολότερη μέθοδος για την εξαγωγή δεδομένων, αλλά μπορεί να παράξει καλύτερα αποτελέσματα. Η ολοκλήρωση αυτής της διαδικασίας μπορεί να δώσει στον εγκληματολόγο ερευνητή πλήρη πρόσβαση στην κινητή συσκευή.

 

Η μέθοδος της Φυσικής Εξόρυξης (Physical Extraction) χωρίζεται σε δύο στάδια, την φάση dumping, όπου γίνεται εξόρυξη μη διατεθέντων δεδομένων και την φάση αποκωδικοποίησης (decoding), όπου γίνεται εκ νέου κατανομή των αντληθέντων δεδομένων.

ΕΞΕΤΑΣΗ/ΑΝΑΛΥΣΗ

Οι φορητές συσκευές είναι δυναμικά συστήματα, τα οποία παρουσιάζουν πολλές προκλήσεις στον εξεταστή κατά την εξόρυξη και την ανάλυση των ψηφιακών πειστηρίων. Οι φορητές συσκευές συνεχώς εξελίσσονται ακολουθώντας την εξέλιξη  των υπαρχουσών τεχνολογιών και την εισαγωγή νέων.


Στις φορητές συσκευές μπορεί να βρεθεί μια ποικιλία ενσωματωμένων λειτουργικών συστημάτων. Η Εγκληματολογική Ομάδα της  Digital Investigations έχει την τεχνογνωσία και τις απαιτούμενες δεξιότητες για την εξέταση και την ανάλυση των συσκευών.


Η εξαγωγή στοιχείων και η εγκληματολογική εξέταση κάθε φορητής συσκευής μπορεί να διαφέρει. Σε κάποιες περιπτώσεις μπορεί να μην αρκεί να χρησιμοποιηθεί CELLEBRITE (ένα ισχυρό εγκληματολογικό εργαλείο) αλλά να απαιτούνται και άλλα εγκληματολογικά εργαλεία προκειμένου να έχουμε σύγκριση αποτελεσμάτων. Σε κάθε περίπτωση, ακολουθώντας καλώς τεκμηριωμένη διαδικασία εξέτασης, ο εγκληματολόγος ερευνητής εξασφαλίζει ότι τα στοιχεία που προέρχονται από οποιαδήποτε συσκευή δύνανται να αναπαραχθούν και μπορούν να αντέξουν σε αντεξέταση στο δικαστήριο.

ΑΝΑΦΟΡΑ ΑΝΑΛΥΣΕΩΝ

Ο εξεταστής απαιτείται να τεκμηριώνει καθ'όλη τη διάρκεια της διαδικασίας εξέτασης με τη μορφή σύγχρονων με τις διεργασίες σημειωμάτων, σχετικά με τις ενέργειες που πραγματοποιούνται κατά την ανάκτηση και την εξέταση.

Οι σημειώσεις και η τεκμηρίωση του εξεταστή μπορεί να περιλαμβάνουν πληροφορίες όπως οι παρακάτω:

  • Ημερομηνία και ώρα έναρξης της εξέτασης

  • Φυσική κατάσταση της συσκευής

  • Φωτογραφίες της συσκευής

  • Κατάσταση της συσκευής κατά την παραλαβή - ενεργή και ανενεργή

  • Τα εργαλεία που χρησιμοποιήθηκαν για την ανάκτηση και την εξαγωγή των δεδομένων

  • Τα εργαλεία που χρησιμοποιήθηκαν για την εξέταση

  • Σημειώσεις ομοτίμων, αναθεωρήσεις και σχόλια