کشف جرائم رایانه ای یک متدولوژی کاملا تعریف شده و واضح برای حفظ و نگهداری ، شناسایی ، بازگردانی و مستند سازی داده های الکترونیکی و کامپیوتری است . کشف جرائم رایانه ای به تازگی بصورت حقوقی در مجامع قانونی مطرح شده است و اولین باری که علم اینگونه کشف جرم مطرح شده و بکارگیری شد در دهه 1980 میلادی بود .پیشرفت این علم کاملا منطبق و وابسته به پیشرفت صنایع الکترونیک و کامپیوتر است .
کامپیوترها یکی از مواردی هستند که بیشترین هدف برای انجام آزمایشهای کشف جرم هستند اما تجزیه و تحلیل های مربوط به کشف جرائم صرفا به کامپیوترها ختم نمی شود . گوشی های تلفن همراه ، PDA ها ، دوربین های عکاسی و پیجر ها و هر چیزی که مربوط به تجهیرات الکترونیکی باشد می تواند مورد تجزیه و تحلیل قرار بگیرد .
حملات هکری انجام شده و سوء استفاده کارکنان از کامپیوترها نیز به نیاز های سازمان مبنی بر آزمایش تجهیزات الکترونیکی اضافه شده است .شیوه نامناسب اداره کردن نقاط مهم یک سازمان می تواند میلیون ها تومان برای سازمان هزینه در بر داشته باشد . شرکت ها و سازمان ها باید این تجهیزات و داده ها را به خوبی نگهداری کنند . به دلیل اینکه اطلاعات الکترونیکی به راحتی قابل تغییر هستند ، آزمون کشف جرم معمولا به سه مرحله تقسیم می شود :
در فرآیند کشف جرائم رایانه ای بررسی شواهد و مدارک مهمترین قسمت فرآیند محسوب می شود . این فرآیند توسط روشی به نام Chain Of Custody انجام می شود . Chain Of Custody در حقیقت خود یک فرآیند است که به وسیله آن کلیه آزمایش هایی که بر روی مستندات و مدارک و شواهد موجود انجام می شود بصورت کامل مستند سازی شده و در هر بار دسترسی به این شواهد و مدارک از این دسترسی و بررسی های log برداری می شود به گونه ای که این بررسی ها برای ارائه در دادگاه جرائم رایانه ای قابل استناد باشد. یک Chain Of Custody کامل شامل گزارشی است که در آن دقیقا به دستورالعمل ها و فعالیت هایی که بر روی مدارک و شواهد و اسناد موجود انجام شده است اشاره شده است. همیشه به خاطر داشته باشید که تغییرات و بررسی ها بر روی یک کپی از اطلاعات اصلی انجام می شود و اطلاعات اصلی بدون تغییر در مکانی امن نگهداری می شوند .
یا قانون همیشگی برای انجام آزمایش مدارک و شواهد وجود دارد ، هرگاه دو شیء به همدیگر تماس داشته باشند ، قطعا انتقال صورت خواهد گرفت . نتیجه آزمایش این مدارک و شواهد و انتقال اطلاعاتی که انجام شده است برای تعیین مکان ، اشیاء و اشخاصی که در این جرم نقش داشته اند موثر است.همیشه به خاطر داشته باشید که هر اندازه هم که مجرم دانش داشته باشد در نهایت قطعا اثری از خود باقی خواهد گذاشت . هرچند که مجرمین معمولا آثاری را که از جرمشان باقی مانده است را حذف و حتی کش های موجود را پاک می کنند اما همیشه و همیشه نقطه ای برای انجام آزمایش ها باقی می ماند هر چند که این نکته بسیار ریز باشد .
پاک کردن درایو یا Disk Wiping فرآیندی است که بر روی تمامی مکانهای قابل آدرس دهی دیسک ها اطلاعات را بازنویسی می کنیم . استاندارد پاک کردن درایو یا Drive Wiping وزارت دفاع ایالات متحده به شماره #52220-22M اینطور اعلام می کند : برای پاک کردن درایو ها بایستی کلیه مکان های قابل آدرسی دهی ابتدا یکبار با یک کاراکتر آدرس دهی شوند ، سپس مکمل آن کاراکتر بایستی مجددا در همان مکان آدرس دهی شود و در نهایت یک کاراکتر تصادفی در آن آدرس قرار گرفته و مجددا آزمایش شود .
با استفاده از بازنویسی چند باره اطلاعات بر روی رسانه های اطلاعاتی یک سازمان می تواند احتمال بازگردانی اطلاعات را تا حد زیادی کاهش دهد . همیشه سازمان های مختلف در خصوص از بین بردن اطلاعات موجود بر روی رسانه های دخیره سازی دچار مشکل بوده اند و این نگرانی که ممکن است اطلاعات از روی اینگونه رسانه های بازیابی شود همیشه دغدغه اصلی سازمان ها بوده است . استفاده از روش های پاکسازی درایو با استفاده از روشی که ذکر شد یکی از روش هایی است که سازمان ها از آن استفاده می کنند اما توجه داشته باشید که همین روش نیز می تواند ابزاری برای استفاده مجرمین برای از بین بردن آثار جرمشان یا به اصطلاح Covering Tracks باشد .
در مارچ 1998 سازمان بین المللی مدارک و شواهد رایانه ای ( IOCE ) تصمیم به ایجاد یک فرآیند و دستورالعمل استاندارد مرتبط با شواهد و مدارک دیجیتال گرفت. قبل از این زمان هر کشور برای خود روش و راهکاری متفاوت برای کشف و مستند سازی جرائم رایانه ای در اختیار داشت که شاید در دادگا های جرائم رایانه ای کشور ها و یا حتی شهر های مختلف آن کشور نیز قابل استناد نبودند. هدف این سازمان یکپارچه سازی روش ها و تمریناتی بود که ملل مختلف برای کشف و مدیریت شواهد و جرائم رایانه ای انجام می دادند ، بطوریکه این مدارک را بتوان در دادگاه های مختلف دنیا نیز ارائه و از آنها دفاع کرد . سازمان بین المللی مدارک و شواهد رایانه ای (www.ioce.org) شش اصل را برای دستیابی به این هدف و استاندارد تدوین و ارائه کرد که شرح ذیل می باشند :
دستگاه های قانونی متفاوتی در دنیا وجود دارد که هر کدام بر اساس قوانین خاص خود جرائم را بررسی می کنند ، این تفاوت های می تواند در نوع حقوق متهم ، نقش قاضی ، ذات مدارک و شواهد و بسیاری دیگر از مسائل و موارد قانونی باشد . این دستگاه های قانونی مسائل را با روش های خاص خود بررسی و پیگیری می کنند، در زیر اسامی برخی از این نوع قوانین را مطرح می کنیم :
بدست آوردن ، کنترل کردن ، ذخیره سازی و نگهداری شواهد و مدارک برای انجام تحقیقات قانونی بسیار مهم و حیاتی است .شواهد و مدارک می تواند بصورت کامپیوتری ، شفاهی و یا مکتوب باشند . به دلیل اینکه شواهد و مدارک کامپیوتری به راحتی قابل تغییر و دستکاری هستند ، به هنگام انجام بررسی ها و بازرسی ها بایستی تمهیدات نگهداری ویژه ای برای آنها در نظر گرفته شود . هر یک از انواع شواهد و مدارک برای ارائه شدن در دادگاه جرائم رایانه ای دارای سطح و کیفیت خاص خود هستند . شواهد و مدارکی که برای ارائه در دادگاه جرائم رایانه ای آماده می شوند بایستی از استانداردهای زیر پیروی کنند :
با توجه به اینکه شواهد و مدارک متوع و مختلفی در کامپیوتر وجود دارد ، روش های متنوع و مختلفی نیز برای دست آوردن شواهد و مدارک وجود دارد که همین روش ها می تواند قانونی یا غیر قانونی نیز باشند و بر طبق این کسانی که در این مرحله قانون را زیر پا بگذارند تحت تعقیب قانونی قرار خواهند گرفت ، استناد قانونی به شواهد و مدارک می تواند بر اساس معیارهایی که در زیر ذکر می شود تعیین شود :
معمولا دو نوع محاکمه انجام می شود ، اولین محاکمه توسط قاضی دادگاه و دومین محاکمه توسط هیئت منضفه یا اعضای هیئت ژوری انجام می شود . بیشتر اعضای هیئت ژوری معمولا از اعضای مورد اعتماد و رسمی بومی همان منطقه جغرافیایی دادگاه هستند . جرائم رایانه ای برای تعقیب و پیگیری نسبت سایر جرائم بسیار سخت تر هستند.
دلایل اصلی این امر پیشرفت همه روزه فناوری ها و همچنین کندی اعمال تغییرات در دستگاه های قانونی است . حتی زمانی که اینکار با موفقیت انجام شود و جرم این افراد اثبات شود ، روشی که با اینگونه افراد برخورد می شود با سایر تبهکاران متفاوت است زیرا اینگونه جرائم به نوعی جرائم به اصطلاح White Color یا سفید رنگ هستند و از اینگونه مجرمین می توان در جهت منافع سازمان ها استفاده و بهره برداری کرد .
اگر می خواهید مباحث امنیت شبکه و تشخیص نفوذ را به خوبی یاد بگیرید به دوره آموزش کشف جرائم رایانه ای در این لینک مراجعه کنید.