الحوسبة الجنائية

http://www.arabexperts.me/details_article.php?id=363

الأدلة الجنائية الحاسوبية مبادئ ومفاهيم وتقنيات 

 الكاتب: فواز دليم الحربي 

 

مقدمة:

 

شهد العالم تطورا تقنيا في شتى المجالات، ولعل أبرز هذه المجالات مجال الحساب الآلي والأجهزة الرقمية الذي يشهد تطورا متسارعا ومذهلا. ومع ما جلبه هذا التطور للبشرية من الخيرات والتسهيلات، إلا أنه جلب أيضا أصنافا جديدة من الجرائم لم تكن معهودة من قبل أو ساعد في حدوث بعض الجرائم. وهنا استدعت الحاجة رجال القانون إلى وجوب التعامل مع هذه المستجدات وفقا لأساليب قانونية وبطرق تقنية.

العلم  المتخصص في مجال القانون والحاسوب وجرائمه هو علم الأدلة الجنائية الحاسوبية أو الحاسوب الجنائي وهو تعريب للمصطلح Computer Forensics الذي يعتبر علما جديدا دعت الحاجة إليه مع التطورات المستمرة في المجال التقني.

 

نبذة عن علم الأدلة الجنائية الحاسوبية:

 

هو أحد فروع علم الأدلة الجنائية،  ويهدف هذا الحقل إلى التعرف على الأدلة الرقمية وحفظها وتحليلها وتقديمها بطريقة مقبولة قانونياً.

أو بتعريف آخر، هو العلم الذي يضم خليطاً من تخصصي القانون وعلوم الحاسب ودوره هو جمع وتحليل البيانات من أنظمة الحاسب والشبكات والاتصالات واجهزة التخزين الرقمية بمختلف أنواعها وتقديم هذه البيانات كدليل يعتد به في الحالات القانونية.

وهذا العلم يعتبر من العلوم الحديثة التي بدأ الاهتمام بها يتزياد في الأونة الأخيرة خصوصا مع زيادة الاعتماد على الأجهزة الرقمية بمختلف أنوعها من الحاسبات و أجهزة الجوال إلى غيرها من الأجهزة الرقمية الأخرى. لذلك هذا العلم حتى وان كان اسمه الحاسب الجنائي فهو يشمل كل الأجهزة الرقمية كالجوالات والكاميرات الرقمية بل ويتعدى ذلك إلى بطاقات الائتمان والبطاقات الذكية ونستطيع القول أنه يشمل كل جهاز باستطاعته تخزين المعلومات.

ويمكننا تعريف الدليل الجنائي الرقمي على أنه أي معلومات مخزنة أو منقولة بشكل رقمي وتعد جزء من قضية ما وقد تستخدم كإثبات.

ولعل من الأسباب التي دعت لهذا العلم أولا ظهور جرائم جديدة كجرائم المعلوماتية أو ما يطلق عليها computer crime أو cybercrime.  وثانيا أن الدليل الجنائي الرقمي سواء لإثبات الجريمة التقليدية أو الجريمة المعلوماتية يختلف تماماً عن الدليل الجنائي التقليدي، سواء من حيث كم البيانات المدونة في الجهاز الرقمي أوكيفية إثباتها.

والأمثلة على هذه الجرائم كثيرة فارسال فيروسات الكمبيوتر جريمة، ومهاجمة المواقع تعتبر أيضا جريمة، وسرقة المعلومات عبر الانترنت تعد من جرائم المعلوماتية.

ويختلف تخصص الحاسب الجنائي عن تخصص أمن المعلومات Information Security الذي يهدف للحماية بعكس هذا التخصص الذي يهدف للحصول على الأدلة واثبات الجرائم.

 

خطوات عملية جمع الأدلة الرقمية:

 

هناك مجموعة من الخطوات التي ينبغي القيام بها عند جمع الأدلة الرقمية وهي:

 

1. التعرف على الدليل:

وهي الخطوة الأولى في عملية جمع الأدلة الرقمية. وفي هذه الخطوة يتم التعرف على الدليل وأين تم تخزينه وكيف تم تخزينه.ويجب على خبير الحاسب الجنائي الذي يختبر الدليل أين يكون قادرا على تحديد نوع المعلومات المخزنة وطريقة تخزينها حتى يستطيع اختيار التقنية المناسبة لاستخلاصها.

 

2. الاحتفاظ بالدليل:

في هذه الخطوة يتم الاحتفاظ بالدليل الرقمي مع محاولة عدم حدوث أي تغيير على البيانات الموجودة لأنه في بعض الأحيان هذا التغيير يلغي قانونية الدليل. وفي بعض الحالات لا يمكن منع حدوث تغيير ولو بشكل بسيط على بيانات الدليل المحتفظ عليها لكن لابد من جعل هذا التغيير في حدوده الدنيا. والتغيير يشمل التغيير على البيانات نفسها أو التغيير الفيزيائي على الجهاز الرقمي المأخوذة منه البيانات.

 

3. تحليل الدليل:

وتعتبر هذه الخطوة أهم الخطوات حيث يتم استخلاص البيانات وتفسيرها بطريقة مفهومة لأغلب الأشخاص. و يتم هنا استخدام مجموعة من التقنيات والأدوات المتخصصة.

 

4. تقديم الدليل:

وهنا يتم تقديم الدليل إلى المحكمة، وتتضمن هذه الخطوة طريقة التقديم ومؤهلات الخبير وطريقة جمع وتحليل الدليل.

 

مبادئ رئيسية لجمع الأدلة الرقمية:

 

لإن هذا العلم كما أوضحنا مسبقا هو خليط من القانون والحاسب، فسنتطرق لبعض المبادئ الرئيسية التي يجب أخذها بعين الاعتبار عند جمع الأدلة الرقمية، هذه المبادئ هي:

1. يجب ألا يقوم خبير الحاسب الجنائي بأي تغيير في البيانات الموجودة في الجهاز.
2. في الحالات التي يضطر الخبير فيها للدخول للبيانات أو إجراء تغيير بسيط يجب أن يقدم تفسيرا مقنعا لهذا التغيير.
3. يجب تسجيل وتوثيق كل الخطوات التي قام بها الخبير في عملية جمع وتحليل الأدلة، ولابد من وجود طرف ثالث يختبر هذه الخطوات ويصل لنفس النتيجة التي وصل إليها الخبير.
4. يتحمل خبير الحاسب الجنائي – القائم بالقضية – المسؤولية الكاملة عن تطبيق هذه المبادئ.

 

التقنيات و الأدوات المستخدمة:

 

يجب على خبير الحاسب الجنائي استخدام الأدوات التي تساعده في تنفيذ مهامه وفي نفس الوقت لابد من التزام المبادئ والخطوات التي ذكرناها آنفا. وتوجد هناك بعض التقنيات المستخدمة حاليا وتدعمها العديد من الأدوات والبرمجيات التجارية ومفتوحة المصدر أيضا. وسنتطرق لشرح مختصر لكل تقنية ثم بعض البرمجيات المستخدمة:

1- تقنيات النسخ Imaging-Techniques: وتقوم هذه التقنية على أخذ نسخة من محتويات الجهاز الرقمي مع عدم الإضرار أو التعديل على البيانات الموجودة. ومن أمثلة البرامج المستخدمة EnCase – وهو أحد أشهر البرامج وأكثرها تكلفة, ومن البرامج التجارية أيضا SafeBack. ومن البرامج المجانية التي تؤدي نفس الغرض هناك Data-Dumper.
2- تقنيات التحليل Analysis-Techniques: وتهدف هذه التقنيات إلى التعرف عن أي بيانات مخفية أو مخبأة أو حتى محذوفة. وتهدف أيضا إلى اكتشاف أية صلات محتملة بين المعلومات الموجودة على الجهاز الرقمي وكذلك تتبع بعض المعلومات الأخرى. ولعل من أبرز البرمجيات المستخدمة هنا md5sum ، Grep، SectorSpyXP و Whois.
3- تقنيات التمثيل التخيلي Visualization: وهي من التقنيات الجديدة التي تساعد في تسريع عمليات الحاسب الجنائي التي تكون عادة بطيئة. حيث تستخدم تقنيات التطابق و التمثيل البصري للتعرف على البيانات المخفية أو المشفرة. ولعل من أبرز البرامج المستخدمة لهذه التقنية، برنامج RUMINT الذي طوره أحد الخبراء المصممين للتنقية.

الحاسوب الجنائي “فورنسكس” Forensics

الكاتب:  م. رجاء عبدالله

عندما أعلنت شركة إنرون Enron إفلاسها في كانون الأول عام 2001، تركت خلفها مئات الموظفين العاطلين عن العمل، في حين استفاد بعض المديرين التنفيذيين من انهيار الشركة.

عندها قرر الكونغرس الأمريكي، بدء تحرياته فور سماعه عن فضيحة الشركة، واعتمد في تحقيقاته على ملفات الحاسوب دليلاً جنائياً. فباشرت قوة مختصة من المخبرين بحثها خلال المئات من حواسيب موظفي الشركة. مستعينة بحاسوب “فورنسكس” Forensics. تلك الفضيحة المالية وتداعيات أحداث الحادي عشر من أيلول، كانت سبب الاهتمام بالحاسوب الجنائي. واليوم 85% من القضايا المطروحة في المحاكم الأمريكية، تتطلب وجود أدلة رقمية.

 

يشير المصطلح حاسوب فورنسكس، إلى فن وعلم تطبيق علوم الحواسيب للمعونة في الإجراءات القانونية. بعبارة أخرى، تطبيق تحقيق الحاسوب وتقنيات التحليل لمصلحة دليل قانوني محتمل وحاسم. ومن جانب آخر، هو علم تطبيقي متفرع عن علم الأدلة الجنائية، التي لها جذور في الطب الشرعي.

 

ونتيجةً لتطور الحواسيب يوماً بعد يوم. وجب على حقل الحاسوب الجنائي التطور بثبات. ففي بدايات ظهور الحواسيب، كان من الممكن لمخبر واحد، التدقيق في ملفات الحاسوب بسبب انخفاض قدرة التخزين. اليوم، أصبحت الأقراص الصلبة قادرة على تخزين كميات كبيرة من غيغا بايتات وتيرا بايتات البيانات، مما جعل المهمة أصعب، وأصبح من الضروري على المخبرين اكتشاف طرق جديدة للبحث عن الأدلة بدون تكريس الكثير من المصادر في خطوات العمل.

 

أساسيات حاسوب “فورنسكس” 

إن عمر حقل الحاسوب الجنائي، حديث نسبياً. ففي بدايات الحوسبة، اعتبرت المحاكم أي دليل حاسوبي مشابهاً لغيره من الأدلة. إلا أنه عندما تطورت الحواسيب، اقتنعت تلك المحاكم بسهولة إفساد وتدمير وتغيير هذا الدليل. وعندها أدرك المحققون أنهم بحاجة لتطوير الأدوات والعمليات المستخدمة حالياً في البحث عن الأدلة الحاسوبية بدون التأثير في البيانات نفسها. لذا شارك المخبرون علماء الحاسوب في مناقشة الإجراءات والأدوات الملائمة التي يحتاجونها في استرجاع الأدلة من الحواسيب. ثم بدؤوا تدريجياً بتطوير الأدوات التي صنعت اليوم حقل الحاسوب الجنائي.

يجب عادةً على المخبرين ضمان تفويض للبحث في حاسوب يشتبه باحتوائه على دليل ما. وهذا التفويض يجب أن يتضمن المكان الذي سيفتش المخبرون فيه، ونوع الدليل الذي سيبحثون عنه. بعبارة أخرى، لا يستطيع المخبر تنفيذ أمر المحكمة فقط، ثم ينظر حيث يريد للبحث عن شيء مريب. إضافةً لذلك، من غير الممكن أن تكون شروط التفويض عامة. فأكثر القضاة يطلبون من المخبرين التدقيق في البحث عن المشتبه به قدر الإمكان، قبل التقدم بطلب التفويض من القاضي.

إن كل تحقيق حاسوبيّ له سماته الفريدة. فبعض التحقيقات قد تتطلب أسبوعاً واحداً لإتمامها، على حين قد تستغرق تحقيقات أخرى شهوراً. فيما يلي بعض العوامل التي قد تؤثر في طول التحقيق:

–         خبرة المحققين.

–         عدد الحواسيب المطلوب تفتيشها.

–         عدد وسائط التخزين الواجب على المخبرين التدقيق فيها.

–         قيام المشتبه به، بحذف أو إخفاء المعلومات.

–         وجود ملفات مشفرة أو محمية بكلمة مرور.

 

مراحل تحقيق حاسوب “فورنسكس”

أدرج جود روبنز (عالم حاسوب وخبير بارز في حقل الحاسوب الجنائي)، الخطوات التالية، التي على المحققين اتباعها لاسترجاع دليل رقمي:

1.    ضمان نظام الحاسوب للتحقيق من أمن الأجهزة والبيانات. وهذا يعني أنه على المخبرين التحقق من عدم وصول شخص غير مخول إلى أدوات التخزين أو الحواسيب التي يشملها البحث.

2.    إيجاد أي ملف على نظام الحاسوب. متضمناً الملفات المشفرة، والمحمية عبر كلمات المرور، والمخفية والمحذوفة، والتي لم تستبدل حتى تلك اللحظة. لذا على المحققين أن يقوموا بعمل نسخة عن جميع الملفات قبل شروعهم في العمل.

3.    استعادة أكبر قدر ممكن من المعلومات المحذوفة، باستخدام التطبيقات المختصة.

4.    اكتشاف محتويات كافة الملفات المخفية، بفضل البرامج المصممة لذلك الغرض.

5.    كسر الحماية والوصول إلى الملفات.

6.    تحليل مناطق خاصة على أقراص الحاسوب. متضمنة الأجزاء التي من الصعب الوصول إليها عادةً.

7.    توثيق كل خطوة من الإجراء. من الضروري للمخبرين أن يقدموا البرهان على أن تحقيقاتهم حافظت على كل المعلومات الموجودة في الحاسوب، بدون تغيير أو إتلاف. فقد تمر سنوات بين التحقيق والمحاكمة. لذا بدون التوثيق الصحيح، يصبح الدليل غير مقبول.

8.    على المخبر أن يبقى مستعداً للمثول أمام المحاكمة شاهداً خبيراً في الحاسوب الجنائي. فحتى بعد استكمال التحقيق لا تنتهي مهمته بتمامها، حتى يقوم بالإدلاء بشهادته بالمحكمة.

 

التطبيقات المضادة لحاسوب “فورنسكس”

يمكن للتطبيقات المضادة لحاسوب “فورنسكس”، أن تشكل الكابوس الأسوأ لمحقق. يصمم المبرمجون الأشرار أدوات مضادة للحاسوب الجنائي، من أجل استحالة أو صعوبة استرجاع المعلومات أثناء التحقيق. جوهرياً، تشير تلك التطبيقات، إلى أيّ تقنية أو أداة أو برنامج صمم لإعاقة تحقيق حاسوبي. فبعض البرامج قادرة على خداع الحواسيب بتغيير المعلومات في العناوين الرئيسية للملفات. إن العنوان الرأسي لملف، مخفيٌّ عادة عن أعين البشر، إلا أنه هام جداً. فهو يخبر الحاسوب عن نوع الملفات الذي أرفق بالرأس. فإذا بدَّلتَ اسم ملف mp3، ليصبح بلاحقة gif. فسيبقى الحاسوب على دراية بأصل الملف، وذلك بسبب المعلومات الموجودة في العنوان الرأسي. بعض البرامج تمكنك من تغيير المعلومات الموجودة في العنوان الرأسي، حتى يعتقد الحاسوب أنها نوع مختلف من الملفات. وعندما يبحث المخبرون عن صيغة معينة لملف، قد يتجاوزون دليلاً هاماً بدا لهم، أنه لا علاقة له بالحالة.

هناك برامج أخرى، قادرة على تقسيم الملفات إلى أجزاء صغيرة، وعلى إخفاء كل جزء في نهاية الملفات الأخرى. الملفات عادةً لها مساحة غير مستخدمة تدعى “المساحة المهملة” Slack Space. وباستخدام البرنامج الصحيح، يصبح بالإمكان إخفاء الملفات وذلك باستغلال تلك المساحة. وهنا يصبح من الصعب استرجاع وإعادة المعلومات المخفية.

من المحتمل أيضاً، إخفاء ملف داخل آخر. فالملفات القابلة للتنفيذ (التي تتعرفها الحواسيب بوصفها برامج) صعبة جداً. هناك برنامج يدعى Packers بإمكانه إدراج ملفات تنفيذية في أنواع أخرى من الملفات. في حين أن هناك أدوات تدعى Binders بإمكانها ربط عدة ملفات تنفيذية بعضها ببعض.

يمثل التشفير طريقة أخرى لإخفاء البيانات. فعندما تشفر البيانات، تستخدم مجموعة معقدة من القواعد (خوارزمية)، لجعل البيانات غير صالحة للقراءة. مثلاً، قد تغير خوارزمية ملفاً نصياً ليبدو مجموعةً لا معنى لها من الأرقام والرموز. وأي شخص يريد قراءة تلك البيانات يحتاج إلى مفتاح التشفير، الذي بدوره يعكس عملية التشفير فتصبح الأعداد والرموز نصية مجدّداً. وبدون المفتاح، يتحتم على المخبر استخدام برنامج حاسوب مصمم لكسر خوارزمية التشفير. علماً بأن الخوارزمية التي هي أكثر تعقيداً، ستأخذ وقت أطول لفك تشفيرها بدون المفتاح.

هناك أدوات أخرى مضادة لحواسيب “فورنسكس”، يمكنها تغيير البيانات الوصفية Metadata المرفقة بالملفات، التي تتضمن معلومات مثل تاريخ تعديل ملف أو إنشائه. عادةً، ليس بإمكان المستخدم العادي أن يغير في هذه المعلومات. فتخيل أن تجري عملية فحص البيانات الوصفية لملف، ليكتشف المخبر في نهاية الفحص أن الملف لن يبقى ثلاث سنوات أخرى، وأن آخر وصول إليه جرى قبل قرن من الزمان.

 

معايير الدليل الحاسوبي

يستخدم قلة من الناس البرامج المعادية لحاسوب “فورنسكس”، ليثبتوا ضعف وعدم موثوقية بيانات الحاسوب. فإذا لم تكن متحققاً من تاريخ إنشاء ملف، أو من تاريخ الوصول الأخير إليه، فكيف ستبرر استخدام دليل حاسوبي في محكمة؟

على الرغم مما يبدو على السؤال السابق من واقعية. فإن العديد من البلدان توافق على استخدام الأدلة الحاسوبية في محاكمها. ومع ذلك تتفاوت معايير الدليل من بلد لآخر. وتضع البلدان قواعد شاملة للاستيلاء على حاسوب أو استخدامه. فإذا اعتقد المحققون أن نظام الحاسوب لا يتعدى كونه أداة تخزين، لن يسمح لهم بالاستيلاء على الجهاز نفسه. مما سيجعل أي تحقيق دليلاً يضاف إلى الحقل الجنائي. وإذا اعتقد هؤلاء أن الأجهزة نفسها دليل، عندها يصبح بإمكانهم الاستيلاء على الجهاز وجلبه إلى موقع آخر. مثلاً، إذا كان الحاسوب نفسه مسروقاً، عندها يمكن للمحققين الاستيلاء عليه.

ولاستخدام دليل من نظام حاسوبيّ في المحكمة، يجب على الادعاء التحقق منه. وعليه أن يكون قادراً على إثبات أن المعلومات المعروضة كدليل، مصدرها حاسوب المشتبه به. فالمحكمة بكل الأحوال لا ترفض دليلاً حاسوبياً بدون برهان على عدم موثوقيته.

هناك اعتبار آخر تأخذه المحاكم بالحسبان، وهو دليل الحاسوب الذي يندرج تحت مصطلح الشائعة hearsay (يشير هذا المصطلح إلى تصريحات حصلت خارج المحكمة). وغالباً ما ترفض المحكمة هذا النوع من الأدلة. وإذا تضمنت سجلات الحاسوب بيانات متولدة بواسطة إنسان، مثل رسائل البريد الإلكتروني. عندها تدرس المحكمة إمكان اعتبارها جديرة بالثقة، قبل السماح بها بوصفها دليلاً.

 

أدوات حاسوب “فورنسكس”

أنشأ المبرمجون الكثير من تطبيقات “فورنسكس”. ففي العديد من أقسام الشرطة في بلدان مختلفة، يعتمد اختيار الأدوات على ميزانيات القسم والخبرات المتوفرة فيه. فيما يلي بعض برامج “فورنسكس” والأدوات التي تجعل تحقيقات الحاسوب ممكنة:

–         تعمل برامج النسخ المطابق Disk imaging software، على أخذ نسخة طبق الأصل من البيانات الموجودة في الجهاز الإلكتروني، من دون الإضرار بتكامل أو صِدْقية البيانات. وبمثل هذه البرامج لا يمكن نسخ المعلومات الموجودة في سواقة وحسب، بل أيضاً حفظ الطريقة التي تنظم بها الملفات، وعلاقاتها بعضها ببعض.

–         أدوات الكتابة البرمجية أو الأجهزة Software or Hardware write tools: تقوم هذه الأدوات بنسخ وإعادة بناء الأقراص الصلبة تدريجياً. وكلتا أدوات البرامج والأجهزة تتجنب أي تغيير يمكن حدوثه بالبيانات. وهي تتطلب أيضاً، من المحققين أن يزيلوا الأقراص الصلبة من حاسوب المشتبه به قبل عمل النسخة.

–         برامج التمثيل البصري Visualization: تساعد مثل هذه البرامج على تصوير أنماط البيانات بصرياً ليسهل على المحقق فهم تمثيل البيانات وترابطها.

–         أدوات التلف Hashing tools : تقارن هذه الأدوات الأقراص الصلبة الأصلية بالنسخ. فتقوم بتحليل البيانات وتخصص لها رقماً فريداً. فإذا تطابقت أرقام التلف hash في القرص الأصلي مع النسخة، تكون النسخة نسخة متقنة عن الأصلية.

–         يستخدم المحققون برامج استعادة الملفات Recovery Files، للبحث عن البيانات المحذوفة واستعادتها. تحدد هذه البرامج مكان البيانات التي أشار الحاسوب بحذفها، إلا أنه لم يستبدلها حتى الآن. من الممكن أن يؤدي ذلك أحياناً، إلى ملف ناقص يزيد من صعوبة التحليل.

–         صممت عدة برامج من أجل الإبقاء على المعلومات في ذاكرة الحاسوب العشوائية RAM. وخلافاً للمعلومات على القرص الصلب، فتلك المعلومات الموجودة في الذاكرة العشوائية تزال تلقائياً عند إغلاق الحاسوب. وبدون البرامج الصحيحة يمكن فقدان هذه المعلومات بسهولة.

–         تدقق برامج التحليل Analysis في كل المعلومات الموجودة على قرص صلب، للبحث عن محتوى معين. ولأن الحواسيب الحديثة بإمكانها حفظ قدر كبير من المعلومات، يصبح من الصعب جداً التنقيب في الملفات يدوياً، إضافةً إلى طول الوقت المستغرق في التنقيب. مثلاً، برمجة بعض برامج التحليل للبحث عن ملفات الكوكيز، وتقييمها. فهذه الملفات تخبر المحقق بنشاطات المشتبه به على الإنترنت.

–         إن برامج فك التشفير Encryption decoding وكسر كلمات المرور Password cracking، مفيدة للدخول على البيانات المحمية.

تبقى كافة الأدوات السابقة بمجملها مفيدة، ما تتبع المحققون الإجراءات الصحيحة. ماعدا ذلك، يصبح باستطاعة محامي دفاع جيد اقتراح عدم موثوقية أي دليل حاسوبيّ جُمع في تحقيق. يدعي بعض الخبراء المعادين لحواسيب “فورنسكس”، أنه لا يوجد دليل حاسوبي كامل الموثوقية. وأنها مسألة وقت، إذا وافقت عليه المحكمة بوصفه دليلاً موثوقاً، حتى تواجه صعوبة في تبرير إدراجه في محاكمة أو تحقيق.

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s