מה הכוונה ב-Digital Forensics

בעולם של היום אנו שומעים לעתים קרובות יותר ויותר על תקריות סייבר, האקרים וקבוצות APT. 

בהקשר זה, מונחים מסוימים הפכו כעת לשימוש נפוץ, אחרים נותרו פחות ברורים ולא תמיד ידועים. הקטגוריה השנייה נכנסת לקטגוריה השנייה הזו פלילי פלילי דיגיטלי (המכונה בעבר "זיהוי פלילי מחשבים"). בואו ננסה להבין על מה מדובר...

כמו תמיד אנחנו מתחילים מכמה הגדרות, למשל NIST אומר ש"Digital Forensics" מתכוון לזה "יישום מדעי המחשב והליכי חקירה הכוללים בחינת ראיות דיגיטליות - בעקבות סמכות חיפוש נאותה, שרשרת משמורת, אימות עם מתמטיקה, שימוש בכלים מאומתים, חזרות, דיווח ואולי עדות מומחים" (יישום הליכי IT והחקירה הכוללים בחינת ראיות דיגיטליות - בעקבות אישור חיפוש מתאים, שרשרת משמורת, תיקוף באמצעות מתמטיקה, שימוש בכלים מאומתים, חזרות, דיווח ואולי גם עדות מומחים).

בפועל אנחנו מדברים על שימוש בהליכי חקירה ומדעי המחשב המיושמים בחקירת אירועים פליליים כדי לקבוע מה קרה. 

במסמך NIST אחר אנו מוצאים הגדרה נוספת עם מידע נוסף: "התהליך המשמש לרכישה, שימור, ניתוח ודיווח על ראיות תוך שימוש בשיטות מדעיות שהן אמינות, מדויקות וניתנות לחזרה, כך שניתן יהיה להשתמש בהן בהליכים שיפוטיים".

מתוך הגדרה שנייה זו עולה בבירור הצורך להפעיל, לצורך איסוף ראיות לפשע רשת, שיטות מדעיות מהימנות, מדויקות וניתנות לשחזור, במטרה להשתמש בראיות שנאספות בהליכים שיפוטיים.

האמור לעיל הוא בעל חשיבות ניכרת עבור צוותי אבטחת IT הפועלים בתחום "אבטחה הגנתית" ועוסקים בניתוח ראיות למתקפות בתחום הדיגיטלי כגון ריגול סייבר, גניבת זהות, גניבת קניין רוחני, פטנטים, פשעים. בוצע באינטרנט כגון הונאות וכן הלאה.

הפעילויות העיקריות המבוצעות על ידי העוסקים בכך פלילי פלילי דיגיטלי הם בעצם הדברים הבאים:

- ניתוח של יומן הרשת הפוגעת: היומנים (הקלטות האירועים) שבוצעו ברשתות המושפעות מפשע או המשמשות לביצוע פשע יכולים לעזור להבין כיצד התרחשה מתקפת סייבר ולעיתים זה גם נותן רמז למי יכול להיות המחבר;

- ניתוח של מערכת הקבצים: יש צורך ליצור עותק של מערכת הקבצים מבלי לגרום לה נזק או שינויים ולהמשיך לנתח את התוכניות המותקנות, קבצים שנמחקו או שהוחלפו ולנסות לשחזר אותם. איסוף המידע הזה יכול לחשוף ראיות לפשעים שבוצעו ולזהות את פרק הזמן של האירוע.

- ניתוח של יומני מערכת: יש צורך לאסוף ולנתח יומני מערכת, בהם נאסף מידע על מה שקרה למערכת או למערכות המחשב.

חלק מהפעילויות הללו יכולות להתבצע בזמן שהמערכות פועלות, בזמן שהמשתמשים מבצעים את פעילותם, אחרות חייבות להתבצע כשהמערכות כבויות, בכל מקרה יש לשמור את הנתונים שנאספו בקפידה ולפעול לפי קריטריונים מוגדרים היטב. להיות פלילי רלוונטי.

כשאומרים ככה זה נראה פשוט אבל זה לא. 

לעשות פלילי פלילי דיגיטלי ישנן תוכנות שימושיות רבות, הן בחינם והן בתשלום, שיכולות לעזור באיסוף ראיות, אני אציין רק כמה, אני בטוח שסקרנותך תוביל אותך לגלות רבות אחרות: 

• wireshark: מנתח רשת; 
• סוויטת Oxygen Forensic: מנתח למכשירים ניידים;
• ניתוח משפטי דיגיטלי: חבילת ניתוח מלאה.

ועכשיו תורכם, תהנו מהשימוש בכלים האלה, הם בחינם וניתנים להורדה חופשית.

כמו תמיד, תודה לחברים של SICYNT!

_{להעמיק:}

_{- https://csrc.nist.gov/glossary/term/digital_forensics}

_{- https://www.salvationdata.com/knowledge/digital-forensics-software/}

_{- https://www.fastweb.it/fastweb-plus/digital-magazine/come-analizzare-il-...}

_{-  https://www.wireshark.org/}

_{- https://oxygenforensics.com/en/}

_{- https://www.autopsy.com/}