当一个美国政府机构调查犯罪或网络犯罪数字证据太困难的分析,他们寄给国防部计算机取证实验室。
数字证据是在所有的形状和大小:托盘的电脑,硬盘用ak - 47弹孔,录音带捕捞海洋,破坏磁盘,混乱的911个电话。
当美国政府机构调查犯罪或网络犯罪数字证据,太困难的分析,他们寄给国防部计算机取证实验室。
确保数字犯罪现场
证据可以抵达一个军用车辆,通过联邦快递或通过美国邮政服务。然而就在那里,它接受一个无名的码头巴尔的摩郊区的商业建筑。
然后记录和发送到一个证据托管人,库存,标记并将其存储在一个锁着的笼子里。
有个足球雷竞技app被邀请到防御计算机取证实验室(DCFL)里面看前沿计算机调查人员如何使用数字证据来帮助破案。
实验室的目的是分析证据涉及军队聚集在犯罪现场。无论犯罪发生在平民的世界里,你还看到在军队。它可能是他杀,儿童色情,身份盗窃、伪造、不当行为、恐怖主义、间谍、承包商欺诈或滥用政府的财产。
这些罪行,常常有数字证据在手机、寻呼机、pda、地理制图系统、数码相机、驾驶舱录音系统和其他与闪存或罗。
“我们估计,95%的罪犯在现场留下数字证据,”唐纳德·弗林说,律师顾问美国国防部网络犯罪中心,这房子DCFL。
证据必须能够在法庭上站起来,尤其是现在,法官和律师正变得精明足以开始询问数字证据的完整性。DCFL地址通过严格的训练和先进的工具,如认证、高容量提取和成像过程和工具。
在实验室
我的导游在戒备森严的实验室按下一个按钮触发的双门入口进实验室蓝色天花板灯,眨了眨眼睛不停地提醒技术员,非保密游客的前提。
实验室包括标准的办公隔间,但每个方块都是配备最先进的处理器,多系统服务器栈和42英寸平板显示器。
“一些证据在托盘——充满服务器的情况下,cpu, RAID磁盘阵列、软盘、掌上电脑、数码相机、“特工鲍勃Renko说实验室的运营总监。“我们甚至在桶水得到的证据——例如,录像带从飞机撞入大海在训练中恢复过来。”
第一阶段的证据提取是数字成像。比听起来这是棘手的,因为内容可以更改过程中,比如添加一个日期戳复制硬盘时,因此污染证据并呈现不可接受的。
还有大量的数据。1999年,分析师检查了他们的第一个terabyte-sized案例当他们收到一个调色板的电脑属于国防承包商被指控违反环境保护署处理有毒废物的指导方针。如果分析师曾试图使用复制技术,并分析了一个驱动器,他们仍然会调查这种情况下,实验室的主任说,肯Zatyko中校,特工空军特别调查办公室。
 |
|
被男友
|
所以分析师创建自己的脚本,移动图像的所有媒体在一个地方。在这个位置,搜索和提取是进行所有的数据同时使用相同的搜索短语。
上个月,收到几个调色板,实验室里面超过3 t字节的数据图像和提取。的证据,填补了20-by-10-foot没有窗户的房间,要求自己的存储区域网络。
恢复过程始于初级技术人员检查证据禁售。然后他们创建位流镜像到清理硬盘,以防止污染。
他们使用修改后的副本Linux工具被称为DCFL数据转储。工具类似于私营部门的成像工具,如SafeBack,这需要一个数学图像的散列,比较原始的哈希来证明图像是一个确切的复制品。
犯罪和轻罪
最繁忙的单位在实验室主要犯罪和安全、数字媒体处理刑事案件。法医分析人士在这个单位工作在开放的隔间,每个都有两个Windows 2000工作站,一个搜索成像数据,另一个存储恢复的证据或工作时两种情况。
Renko说该机构的法医声音的方式提取工具工作在电脑和掌上电脑,但成为问题时手机和寻呼机。
“至少有一次,我们不得不工作直接与电话制造商成功地检索数据,”他说。
计算机考试,该机构的标准数据的搜索和提取工具套件的叫做iLook,由财政部许可。一个私营部门会包住。
比尔(出于安全原因,分析人士只允许给他们的名字)是一种先进的取证审查员和前大都会侦探在华盛顿特区,他解释了这个工具进行关键词搜索,并将损坏和删除文件,电子邮件,附件,Internet临时文件、数据文件和重命名文件到一个可搜索的文件列表。
“说你有一个承包商使用劣质爆炸螺栓,这对飞行员的安全至关重要,因为它们使驾驶舱盖子飞在紧急弹射。我们知道质量成本的螺栓应该约100美元。我们可以做关键词搜索通过会计系统的爆炸螺栓,看看他们实际上支付他们,”比尔说。”或者,如果我们有一个儿童色情案中,我们可以命令所有互联网的一个缩略图缓存文件在多个硬盘,看看被下载。”
|
|
打折扣的证据
|
比尔结束谈话,一长串的文件出现在他的搜索窗口工作站。六个可疑文件以黄色突出显示,表明搜索短语中发现了这些文件。
硬件魔术师
实验室自1998年开始运作后不久,收到一个机密的硬盘,似乎不可能损坏。外部公司估计将花费250000美元来修复。Renko犹豫不决。
“我们认为更可行的训练我们的人来修复硬盘,“Renko说,同时指出储物柜的证据在哪里存储时不被处理。
他停在一个小房间和两个Plexiglas-enclosed清洁领域技术人员焊接肢解磁盘和修复硬盘扔下阳台甚至用ak - 47,在最近的一个战场。弹孔和焊接痕迹的数据无法恢复,但其余,Zatyko说。
的入侵分析队占据了后面的部分实验室,审查员,工作主要是在Linux系统上,调查在国防部网络黑客。
“我们的第一份工作是找出计算机侵入和数据访问的入侵者,“说”团体,”他招募工作的信息安全对于一个大学。“信息保障的一部分,我们告诉我们的客户机构他们的入口点是什么,需要修补,以保护从未来的攻击。”
Sig停一个先进的工具叫星光。彩色三维地图弹出:每个行代表一个单独的连接制成防御网络和每一种颜色代表一个不同的协议。
“我们整个地下黑客isp在我们走来,“团体解释道。彩色编码协议更容易确定哪些计算机发出攻击。“举个例子,在这种情况下,利用跑过去HTTPS,所以我们不同颜色的所有HTTP代理交通红色。然后我们可以看到三个IPs来参与这种类型的流量,”他说。
在这种情况下,黑客被起诉,和整个地下黑客组织从互联网上消失了,他说。
黑客审查员追溯到不同啤酒花和检查这些箱子,他们遇到新变体的黑客工具储存在这些电脑还没有通过跟踪服务,如证书和Bugtraq报道。
新黑客工具被添加到单元的恶意逻辑数据库,然后检测他们如果他们在未来的情况下使用。
|
|
蜿蜒的老公
|
此外,数据库帮助分析师点相似之处当多个攻击击中不同国防部网络同时,表明大规模的攻击源。这种情况下然后报联合特遣部队在计算机网络操作。
近几个月来,执法人员来自澳大利亚、加拿大、德国、香港、新加坡、英国和其他国家已经参观了工厂更好的开发自己的网络犯罪单位。美国律师、法官和执法机构也常常要求技术澄清。(例如,最近的一个电话来自一个法官需要知道证据的区别从缓存中恢复记忆与证据中发现一个文件在硬盘上)。
随着越来越多的案件涉及数字证据,需要复杂的数字取证能力在整个法律体系将继续增长,盖尔Thackery说,美国亚利桑那州的律师。Thackery起诉计算机相关的犯罪案件数量和埃西斯国际计算机协会调查专家任教。
“警察用来担心枪支和血液和化学证据,但现在每一个案件在美国都有计算机参与它。法律体系是渴望专家数字证据,”她说。
“所以计算机取证培训和职业生涯会很热很长一段时间,”她补充道。