Физикалық әлемде біз өзіміздің ізімізді қалдырамыз - саусақ іздері, шаш, киім талшықтары, ДНҚ және т. б. біз адамдармен және объектілермен өзара әрекеттесетін сәтте, сондай-ақ цифрлық салада қолданушылардың кез-келген әрекеті өздері туралы іздер қалдырады. Бұл виртуалды немесе цифрлық іздер - файл фрагменттері, белсенділік журналдары, уақыт белгілері, метадеректер және т. б. - қылмыстық іс бойынша маңызды және кейде маңызды ақпарат ретінде қарастырылуы мүмкін.
Мұндай ақпарат құжаттың немесе бағдарламалық жасақтаманың шығу тегін анықтау кезінде, қылмыстық іске қатысатын тараптардың іс-әрекеттерін анықтау кезінде заңды мақсаттарда немесе тіпті жеке деректерді ұрлау сияқты киберқылмыс үшін ресурс ретінде дәлелді болуы мүмкін. Мұндай іздерді ынталандыру, анықтау және бекіту қандай болмасын, есептеу ортасында дәлелдемелерді (іздерді) зерттеу, түсіндіру немесе қайта құру цифрлық криминалистика саласына жатады.
Цифрлық криминалистика (сонымен қатар компьютерлік криминалистика немесе киберкриминалистика деп те аталады) - бұл процесс қылмыстық немесе азаматтық тергеуде дәлел ретінде заңды контексте рұқсат етілген деп есептелетін компьютерлерде және желілерде табылған ақпарат туралы есептерді жинау, талдау және құрастырудың тәжірибесі
Сандық криминалистика көптеген салаларды қамтиды. Компьютерлік форензика-бұған Windows немесе Linux операциялық жүйелері жұмыс істейтін жергілікті машиналарда ақпараттық қауіпсіздік оқиғасының іздері мен себептерін іздеуге байланысты барлық нәрсе кіреді.
Желілік форензика-тергеу объектілері хосттар арасындағы желілік трафиктің қоқысына айналатын сала. Желілік форензиканың негізгі міндеті-интрузияны анықтау және дәлелдемелерді жинау үшін қажетті компьютерлік желі трафигін бақылау және талдау. Ұсталған трафик кейінгі талдау үшін сақталуы мүмкін және жан-жақты тергеудің бөлігі ретінде пайдаланылуы немесе толық жеке тергеу болуы мүмкін.
Мобильді құрылғылардың форензикасы-бұл жағдайда тергеу объектілері Android немесе iOS операциялық жүйелерін басқаратын смартфондар болып табылады.
Компьютерлік форензикадан басты айырмашылығы-қоңыраулар журналы, оператордың есепшот деректері, SMS журналы, әртүрлі қоғамдық Wi-Fi желілеріне қосылу тарихы және смартфонның геопозиция тарихы сияқты деректердің болуы.
Компьютерлік форензика-цифрлық криминалистиканың негізгі және көлемді бөлімі. Бұл жұмыс объектілерінің кең таралуымен түсіндіріледі-олар корпоративті АЖО (автоматтандырылған жұмыс орны), DMZ-ге қосылған корпоративті Ноутбуктер (ағылш. Demilitarized Zone-демилитаризацияланған аймақ) немесе пайдаланушылардың ДК. Бұл жағдайда тергеу жергілікті машинадағы қауіпсіздік саясатын бұзу немесе бұзу артефактілерін (іздерін) іздеуге дейін азаяды.
Қазіргі кезде өзіндік бренді бар ірі компаниялардың көпшілігі міндетті түрде, бірнеше форензика ісінің шеберлерінен тұратын мамандырылған зертханаларын құрады. Сондай-ақ, форензика көбінесе IT саласынан алыс компаниялардың қызметтерінің бөлігі болып табылады. Мысалы, қаржылық аудитпен айналысатын компаниялар. Шынында да, қаржылық алаяқтықты тергеу кезінде барлық дәлелдердің 100% - ы компьютерлік жүйелерде (ERP, CRM, BI, BPM және т.б.) болуы мүмкін.
Әрине, форензика мамандары юрисприденцияның ажырамас бөлігі болып табылады. Шынында да, компьютерлік қылмыс фактілері бойынша қылмыстық іс қозғау үшін алдымен Заң нормаларына сәйкес қылмыс фактісін растау және оның құрамын анықтау қажет. Сол сияқты, егер зардап шеккен компания бұзу салдарынан келтірілген залалды өндіріп алу үшін сотқа жүгінсе, онда сараптамасыз болмайды. Криминалистика тәсілдеріне қысқаша сипаттама берейік және сараптау тәсілдерін қарастырайық.
Тергеудің негізгі әдістері:
1. Жедел жадты талдау (кездейсоқ қол жеткізу жады)
Бұл әдіс криминалистің жедел жадты құруды, оны файлға сақтауды және одан әрі зерттеуді білдіреді. Бұл әдіс жаңа оқиғаны анықтауға Security Operation Center жедел әрекет ету мүмкіндігі болған жағдайда өзекті болып табылады. Мұндай жағдайда АҚ кезекші маманы жергілікті машинаны қайта іске қосқанға немесе өшіргенге дейін оған жедел қол жеткізе алады. Жедел жадтың қоқысын (құймасын) алып тастаңыз, оны файлға сақтаңыз және одан әрі тергеу үшін пайдаланыңыз. ЖЖҚ кескінін түсіру кезінде форензика маманы кейбір зиянды бағдарламалар, егер кескін жасау бағдарламалық жасақтамасы қалыпты пайдаланушы режимінде жұмыс істесе, оның мазмұнын жедел жадтан алып тастаудан қорғай алатынын ескеруі керек.
Мұндай бағдарламалық жасақтамада басқа бағдарламалардың қорғалған жад аймақтарынан деректерді санау әрекеттерін тоқтатуға қабілетті белсенді күйін келтіруге қарсы жүйелер бар. Бұл жағдайда жедел жадтың сынған кескінін алу мүмкіндігі бар (жад кескіні файлында тек нөлдер немесе кездейсоқ деректер болады). Сондай-ақ, осы әдіспен әрі қарай зерттеуді мүмкін етпейтін жергілікті машинаны қалпына келтіру мүмкіндігі бар (өйткені жедел жад тазартылады).
Мұндай бағдарламалық жасақтамада басқа бағдарламалардың қорғалған жад аймақтарынан деректерді санау әрекеттерін тоқтатуға қабілетті белсенді күйін келтіруге қарсы жүйелер бар. Бұл жағдайда жедел жадтың сынған кескінін алу мүмкіндігі бар (жад кескіні файлында тек нөлдер немесе кездейсоқ деректер болады). Сондай-ақ, осы әдіспен әрі қарай зерттеуді мүмкін етпейтін жергілікті машинаны қалпына келтіру мүмкіндігі бар (өйткені жедел жад тазартылады).
Бұл шектеуді айналып өту үшін маман мамандандырылған бағдарламалар мен құралдарды қолдануы керек — мысалы, Belkasoft Live RAM Capturer. Бұл бағдарламалық жасақтама операциялық жүйенің артықшылықты ядро режимінде жұмыс істей алады. Мамандандырылған бағдарламаларға ядро режимінде жұмыс істейтін және қорғалған процестерге жататын деректер аймақтарын дұрыс өңдеуге мүмкіндік беретін 32 және 64 биттік драйверлер кіреді.
2. Қатты диск мазмұнын талдау (HDD)
Бұл әдіс ақпараттық қауіпсіздіктің ішкі оқиғаларын тергеу барысында ең танымал болып табылады. Бұл әдіс қатты диск кескінінің биттік көшірмесін жасау және оның мазмұнын одан әрі талдау болып табылады. Қатты дискіні шығару процесінде цифрлық криминалист маманға оның араласуының іздерін қалдырмау маңызды, әйтпесе сот ісін жүргізу кезінде қорғаныс жағы бұл өзгерісті өз тарапынан дәлел ретінде қолдана алады. Қатты күйдегі медиа кескінін көшіру үшін жүктелетін флэш-медиадан мамандандырылған бағдарламалық жасақтаманы (мысалы, Forensic Toolkit Imager (FTK Imager)) және жеке аппараттық кешендерді (мысалы, Atola Insight немесе Tableau Forensic Imager) пайдалануға болады. Бағдарламалық шешімдерді пайдаланған жағдайда, бағдарламалық жасақтама өз әрекеттерін арнайы журнал файлына жазады, онда таңдалған каталогтардың көшіру уақыты нақтыланады, файлдардың бақылау сомалары жазылады, сондай-ақ ақпарат жинақтағыштарының зауыттық нөмірлері көрсетіледі. Аппараттық шешімдерді қолданған жағдайда, араласпау мәселелері басқа жолмен шешіледі - файлдарды биттік көшіру медиа жазбаны аппараттық құлыптау кезінде мүмкін болады.
Компьютерлік криминалистика әдістері ақпараттық қауіпсіздік инциденттерін толық тергеуді қамтамасыз ете алады әрбір оқиғаға қойылатын талаптарға сәйкес цифрлық криминалистиканың қажетті әдістерін дұрыс қабылдау және пайдалану қажетті цифрлық дәлелдемелерді жинауды қамтамасыз етеді. Сондай-ақ корпоративтік желідегі әлсіз тұстарды анықтауға, толыққанды алдын алу шараларын жүргізуге мүмкіндік береді. Сондай-ақ, тергеу барысында ақпарат құралдарының мәліметтеріне араласпау мәселесін есте сақтау және әдістердің әрқайсысы үшін қажетті шараларды қабылдау қажет.
ҚР-да «Цифрлы Қазақстан» мемлекеттік бағдарламасы іске асырылуда, онда нысаналы индикаторлардың бірі 2018 жылдан бастап 2022 жылға дейінгі кезеңде халықтың цифрлық сауаттылық деңгейін 77 %-дан 83 %-ға дейін арттыру болып табылады. 2019 жылы халықтың цифрлық сауаттылығының нақты деңгейі 82,1 %-ды, жоспарлы 78,5 %-ды құрады. 2021 жылғы 29 маусымда БҰҰ жанындағы Халықаралық Электр байланысы одағының (ХЭО) конференциясы өтті, оның шеңберінде Киберқауіпсіздіктің жаһандық индексі бойынша есептің 4-ші басылымы жарияланды. Мәселен, БҰҰ МӘС сарапшылары жүргізген талдау нәтижелері бойынша Қазақстан Республикасы Киберқауіпсіздіктің жаһандық индексінде 9 позицияға көтеріліп, 31 — орынды (бұрын 40-шы) иеленді. Өңірлік рейтингте Қазақстан Ресей Федерациясынан кейін 2-ші орында тұр. Рейтинг критерийлері: заңнамалық база, техникалық және ұйымдастырушылық іс-шаралар, халықаралық аренадағы қызмет және киберқауіпсіздік саласын дамыту үшін әлеует құру болып табылады. Соңғы бірнеше жыл ішінде цифрлық криминалистика жетекші орынға ие болғанына қарамастан, бүкіл әлемде мобильді құрылғыларды қолданудың күрт өсуі байқалды, бұл мобильді компьютерлік сараптама цифрлық криминалистикалық зерттеулер арасында ең қолайлы таңдау болып табылады. Қылмыстық іс шеңберіндегі мобильді құрылғыларға компьютерлік сараптама әртүрлі жағдайларда криминалистік маңызды ақпаратты ала алады.