پزشکی قانونی دیجیتال، جرایم کامپیوتری و سرنخ‌های اینترنتی – تی ام گیم

به گزارش تی ام گیم و به نقل از ایندیپندنت، با توسعه و گسترش دستگاه‌های دیجیتال و تکنولوژی‌های مرتبط با آن‌ها، مجرمان به دنیای دیجیتال نیز وارد شدند. رشد سریع جرایم دیجیتالی موجب شکل‌گیری مفهوم جدیدی به نام «پزشکی قانونی دیجیتال» (Digital Forensics) شد که در زبان فارسی به آن «جرم‌یابی دیجیتال» گفته می‌شود. پزشکی قانونی دیجیتال نسخه مدرن علم پزشکی قانونی در حوزه رایانه است و به بازیابی، بررسی، و ردیابی اطلاعات در دستگاه‌های دیجیتال می‌پردازد. 

محققان پزشکی قانونی دیجیتال با استفاده از داده‌های جمع‌آوری‌شده از دستگاه‌های الکترونیکی، می‌توانند مجرمان سایبری را از تهدیدهای بالقوه دیجیتالی بازدارند. آن‌ها همچنین می‌توانند به بازیابی اطلاعات گم‌شده یا دزدیده شده کمک، و کشف کنند که یک حمله خاص از کجا نشات می‌گیرد. محققان پزشکی قانونی جزییات، شواهد، و اطلاعات به دست‌آمده از یک حادثه را به عنوان مدرک برای شناسایی مجرم، و نیز ارائه به دادگاه برای اجرای قانون، ثبت می‌کنند. 

تکامل و توسعه پزشکی قانونی دیجیتال 
در فرآیند جرم‌شناسی دیجیتال، برای رسیدن به سرنخ و شناسایی مجرم، متخصصان مختلف ایفای نقش می‌کنند. یکی از آن‌ها، محقق پزشکی قانونی دیجیتال است که شواهد را دنبال، و تلاش می‌کند که مجرم را به شکل مجازی شناسایی کند. 

فرض کنید نقصی امنیتی در یک شرکت رخ دهد که منجر به سرقت داده‌ها ‌شود. در این شرایط، یک تحلیلگر پزشکی قانونی کامپیوتری وارد می‌شود و تعیین می‌کند که مهاجمان چگونه به شبکه دسترسی یافته‌اند، از کجا از شبکه عبور کرده‌اند، چه فعالیت‌هایی در شبکه انجام داده‌اند، آیا اطلاعات را با نصب بدافزار دریافت کرده‌اند یا از روش‌های دیگر بهره برده‌اند، و مانند آن. 

در این شرایط، نقش محقق پزشکی قانونی دیجیتال شکستن رمزهای عبور و یافتن منبع نقص امنیتی، بازیابی اطلاعاتی مانند اسناد، عکس‌ها و ایمیل‌ها از دستگاه‌ها و بسترهای ذخیره‌سازی داده‌های حذف‌‌شده، آسیب‌دیده، یا دستکاری‌شده است. شواهد پس از جمع‌آوری، ذخیره و ساده‌سازی می‌شوند تا برای ارائه به دادگاه یا پلیس برای بررسی بیشتر، پذیرفتنی باشند.

در دهه ۹۰ میلادی روند تحقیقات دیجیتال با تجزیه و تحلیل مستقیم و بدون استفاده از ابزارهای جانبی، و تنها با استفاده از دستگاه موردنظر انجام می‌شد. با گسترش دستگاه‌های الکترونیکی و ذخیره و انتقال حجم عظیم اطلاعات در دستگاه‌ها، تجزیه و تحلیل مستقیم کارآمدی خود را از دست داد. در نهایت، ابزارهای دیجیتال پزشکی قانونی برای مشاهده داده‌ها روی یک دستگاه، بدون آسیب رساندن به اطلاعات و شواهد، ایجاد شد.

برای مثال، امروزه نرم‌افزارهایی وجود دارد که می‌تواند حتی کاربران عادی را در جرم‌یابی دیجیتال کمک کند. «Sleuth Kit» یکی از این نرم‌افزارها است که داده‌ها را از سیستم‌های کامپیوتری استخراج می‌کند. Sleuth Kit یک نرم‌افزار منبع باز است که «دیسک ایمیج» ایجاد شده توسط «دی دی» را تجزیه و تحلیل، و داده‌های آن‌ها را بازیابی می‌کند. با استفاده از این نرم‌افزار، متخصصان می‌توانند داده‌ها را بعد از حادثه جمع‌آوری کنند. دی‌دی (data duplicator)، دستوری در سیستم عامل یونیکس است که  برای رونوشت گرفتن و تبدیل داده‌های خام استفاده می‌شود. 
 

«FTK Imager» ابزار دیگری است که وظیفه پیش‌نمایش داده‌ها را بر عهده دارد و به کاربر امکان می‌دهد دستگاه مورد نظر را به سرعت ارزیابی کند. این ابزار همچنین می‌تواند بدون آسیب رساندن به شواهد اصلی، رونوشتی از اطلاعات دستگاه تهیه کند.

در سال‌های اخیر پیشرفت‌های حوزه امنیت مجازی موجب افزایش چالش‌های جرم‌یابی دیجیتال شده است. برای نمونه، استخراج اطلاعات از محیط‌های «ابری» از چالش‌های پیش روی هر محقق است، چرا که اطلاعات را می‌توان در فضاهای مختلفی بارگذاری کرد که بر هر یک قوانین متفاوتی اعمال می‌شود، و این وضعیت گردآوری شواهد دقیق در یک پرونده را بسیار دشوار می‌کند. 

پروتکل‌های رمزنگاری و قوانین حفاظتی آن‌ها نیز چالش دیگر موجود در این فرآیند است. هرچه رمزگذاری گسترده‌تر باشد، تحقیقات جرم‌یابی نیز سخت‌تر می‌شود، زیرا قوانین این حوزه در موارد خاص و تنها با حکم دادگاه، می‌تواند افراد را مجبور به افشای کلیدهای رمزگذاری ‌کند.

شاخه‌های پزشکی قانونی دیجیتال
«پزشکی قانونی رایانه»، شاخه‌ای از پزشکی قانونی دیجیتال است که به بررسی شواهد موجود در رایانه‌ها و رسانه‌های ذخیره‌سازی دیجیتال مربوط می‌شود. هدف پزشکی قانونی رایانه، بررسی داده‌های دیجیتال با هدف شناسایی، حفظ، بازیابی، تجزیه وتحلیل، و ارائه حقایق در مورد اطلاعات دیجیتال است که هم در جرایم رایانه‌ای و هم در دادرسی مدنی استفاده می‌شود.

«پزشکی قانونی دستگاه‌های تلفن همراه» شاخه دیگری از پزشکی قانونی دیجیتال است که بر بازیابی شواهد دیجیتال از دستگاه‌های تلفن همراه متمرکز است. دامنه فعالیت این شاخه محدود به دستگاه‌های تلفن همراه نیست و به هر دستگاهی که دارای حافظه داخلی و توانایی ارتباطی باشد، از جمله دستگاه‌های GPS و تبلت‌ها و ساعت‌های هوشمند، مربوط می‌شود. 

در حالی که سال‌ها است که استفاده از تلفن همراه برای ارتکاب جرایم، به‌گستردگی شناخته شده است، پزشکی قانونی تلفن‌های همراه حوزه نسبتا جدیدی است که  در پی استفاده افراد از تلفن همراه برای ذخیره و انتقال اطلاعات و نقش آن در معاملات آنلاین و فعالیت‌های روزانه، شکل گرفته است. تغییرات سریع تکنولوژی ساخت دستگاه‌ها و تجهیزات جانبی و نیز تفاوت نحوه ذخیره‌سازی اطلاعات در هر دستگاه، چالش‌های موجود در این حوزه است که باعث شده است هیچ ابزار یا روشی نتواند تمام شواهد را از دستگاه استخراج کند. به‌روزرسانی و پیشرفت سریع تکنولوژی‌های این شاخه، متخصصان را مجبور کرده است که تحت آموزش‌های گسترده قرار گیرند تا بفهمند که هر ابزار و روشی، چگونه شواهد را به دست می‌آورد.
 

«پزشکی قانونی شبکه» هم شاخه دیگری از پزشکی قانونی دیجیتال است که بر تجزیه و تحلیل ترافیک شبکه کامپیوتری برای جمع‌آوری اطلاعات، شواهد قانونی، یا تشخیص نفوذ متمرکز است. 

متخصصان این حوزه حفره‌های امنیتی را که می‌تواند موجب بروز حمله سایبری شود، شناسایی می‌کنند یا  شواهد به‌جامانده در شبکه را بعد از یک حمله سایبری، بررسی می‌کنند. این شواهد سرنخ‌هایی را در زمینه آن که چه نقاط ضعفی منجر به بروز حادثه شده است و چه کسی ممکن است پشت آن باشد، ارائه می‌دهد. شناخت رخنه و نحوه حمله، به شرکت‌ها و افراد کمک می‌کند تا از وضعیت امنیت شبکه مطلع شوند و بر اساس آن، اصلاحات لازم را اعمال کنند.

«پزشکی قانونی پایگاه داده» هم زیرشاخه‌ای از علم پزشکی قانونی دیجیتال است که به بررسی پایگاه‌های داده و ابرداده‌های آن‌ها می‌پردازد. «پایگاه داده» محلی است که اطلاعات مربوط به یک نرم افزار یا سرویس در آن ذخیره می‌شوند. وجود پایگاه داده در هر سرویس، امکان دسترسی و مدیریت اطلاعات ذخیره شده را ساده‌تر می‌کند. 

ورود این مفهوم به حوزه برنامک‌ها، انقلابی در توسعه آن‌ها بود و امروزه یافتن برنامکی کاربردی که از پایگاه داده بهره نگیرد، امر دشواری خواهد بود. بنابراین، پزشکی قانونی پایگاه داده در دنیای کنونی که برنامک‌ها در فعالیت روزمره ما نقش اساسی ایفا می‌کنند، اهمیتی دوچندان یافته است.

در یک نمونه، در سال ۱۳۹۹ اطلاعات ۸۰ میلیون ایرانی از «سِرور»های سازمان ثبت‌احوال ایران به بیرون درز کرد. این اطلاعات را یک روبات تلگرامی مستقیم از سرورهای ثبت احوال دریافت می‌کرد. در صورت استفاده از یک متخصص پایگاه داده، جلوگیری از این اتفاق به سادگی امکان‌پذیر بود.

پرونده‌های جنایی که با کمک پزشکی قانونی دیجیتال حل شد
دنیس لین ریدر، قاتل زنجیره‌ای آمریکایی معروف به BTK، در بین سال‌های ۱۹۷۴ تا ۱۹۹۱ ۱۰ نفر را در ایالت کانزاس کشت و با ارسال نامه‌های طعنه‌آمیزی به پلیس، جزئیات جنایات خود را توصیف می‌کرد. او دوباره از سال ۲۰۰۴ ارسال نامه به پلیس را از سر گرفت، و در سال ۲۰۰۵ یک «فلاپی دیسک» حاوی اطلاعاتی درباره یک مقتول را به KSAS-TV در ویچیتا فرستاد که کارشناسان پزشکی قانونی دیجیتال با ردیابی ابرداده‌های موجود در فلاپی، او را ردیابی کردند و به‌دست نیروهای پلیس دستگیر شد.

فیلیپ‌ها مارکوف، دانشجوی پزشکی آمریکایی بود که به سرقت مسلحانه و قتل در یک هتل شهر بوستون در سال ۲۰۰۹ متهم شد. او به «قاتل کریگزلیست» مشهور شده بود، زیرا با قربانیان خود از طریق تبلیغات درج شده در تارنمای «کریگزلیست» آشنا می‌شد. هنگامی که بازرسان پزشکی قانونی شبکه، ایمیل‌های رد‌وبدل شده بین قربانیان و قاتل را ردیابی کردند،  به سمت آدرس IP  فیلیپ مارکوف ۲۳ ساله هدایت شدند. این اتفاق در آن زمان یک رویداد بزرگ در حوزه پزشکی قانونی دیجیتال بود و نشان داد که چگونه می‌توان از این فناوری در پرونده‌های جرم و جنایت استفاده کرد.

یکی از جالب‌ترین پرونده‌های پزشکی قانونی دیجیتال، پرونده راس کامپتون است. کامپتون برای دریافت خسارت از بیمه، در سال ۲۰۱۶ خانه خود در اوهایو را به آتش کشید. او به پلیس گفت وقتی از خواب بیدار شده و آتش را دیده است، چمدانش را بسته و شیشه پنجره اتاقش را با عصا شکسته و فرار کرده است. در طول تحقیقات، تحلیلگران پزشکی قانونی دیجیتال ضربان و ریتم قلب او را از دستگاه ضربان‌سازی که در قلب کامپتون بود استخراج کردند و متوجه شدند که کامپتون بر اساس داده‌های ضربان‌ساز، در حال فرار از آتش نبوده است.