پزشکی قانونی دیجیتال، جرایم کامپیوتری و سرنخهای اینترنتی
ایتنا - در دنیای پزشکی قانونی دیجیتال، دستگاههای الکترونیکی و دسترسی به اطلاعات آن به اندازه کشف یک «آلت قتاله» مهم هستند.
واژه «پزشکی قانونی» تداعیگر کالبدشکافی قربانیان جنایت است، ولی جنبه دیگری هم از تحقیقات «پزشکی قانونی» در شاخه مطالعات کامپیوتری هست که در آن رایانه، تلفن همراه، و کنسول بازی، جایگزین بدن، لکههای خون، و جراحات شده است.
به گزارش ایتنا و به نقل از ایندیپندنت، با توسعه و گسترش دستگاههای دیجیتال و تکنولوژیهای مرتبط با آنها، مجرمان به دنیای دیجیتال نیز وارد شدند. رشد سریع جرایم دیجیتالی موجب شکلگیری مفهوم جدیدی به نام «پزشکی قانونی دیجیتال» (Digital Forensics) شد که در زبان فارسی به آن «جرمیابی دیجیتال» گفته میشود. پزشکی قانونی دیجیتال نسخه مدرن علم پزشکی قانونی در حوزه رایانه است و به بازیابی، بررسی، و ردیابی اطلاعات در دستگاههای دیجیتال میپردازد.
محققان پزشکی قانونی دیجیتال با استفاده از دادههای جمعآوریشده از دستگاههای الکترونیکی، میتوانند مجرمان سایبری را از تهدیدهای بالقوه دیجیتالی بازدارند. آنها همچنین میتوانند به بازیابی اطلاعات گمشده یا دزدیده شده کمک، و کشف کنند که یک حمله خاص از کجا نشات میگیرد. محققان پزشکی قانونی جزییات، شواهد، و اطلاعات به دستآمده از یک حادثه را به عنوان مدرک برای شناسایی مجرم، و نیز ارائه به دادگاه برای اجرای قانون، ثبت میکنند.
تکامل و توسعه پزشکی قانونی دیجیتال
در فرآیند جرمشناسی دیجیتال، برای رسیدن به سرنخ و شناسایی مجرم، متخصصان مختلف ایفای نقش میکنند. یکی از آنها، محقق پزشکی قانونی دیجیتال است که شواهد را دنبال، و تلاش میکند که مجرم را به شکل مجازی شناسایی کند.
فرض کنید نقصی امنیتی در یک شرکت رخ دهد که منجر به سرقت دادهها شود. در این شرایط، یک تحلیلگر پزشکی قانونی کامپیوتری وارد میشود و تعیین میکند که مهاجمان چگونه به شبکه دسترسی یافتهاند، از کجا از شبکه عبور کردهاند، چه فعالیتهایی در شبکه انجام دادهاند، آیا اطلاعات را با نصب بدافزار دریافت کردهاند یا از روشهای دیگر بهره بردهاند، و مانند آن.
در این شرایط، نقش محقق پزشکی قانونی دیجیتال شکستن رمزهای عبور و یافتن منبع نقص امنیتی، بازیابی اطلاعاتی مانند اسناد، عکسها و ایمیلها از دستگاهها و بسترهای ذخیرهسازی دادههای حذفشده، آسیبدیده، یا دستکاریشده است. شواهد پس از جمعآوری، ذخیره و سادهسازی میشوند تا برای ارائه به دادگاه یا پلیس برای بررسی بیشتر، پذیرفتنی باشند.
در دهه ۹۰ میلادی روند تحقیقات دیجیتال با تجزیه و تحلیل مستقیم و بدون استفاده از ابزارهای جانبی، و تنها با استفاده از دستگاه موردنظر انجام میشد. با گسترش دستگاههای الکترونیکی و ذخیره و انتقال حجم عظیم اطلاعات در دستگاهها، تجزیه و تحلیل مستقیم کارآمدی خود را از دست داد. در نهایت، ابزارهای دیجیتال پزشکی قانونی برای مشاهده دادهها روی یک دستگاه، بدون آسیب رساندن به اطلاعات و شواهد، ایجاد شد.
برای مثال، امروزه نرمافزارهایی وجود دارد که میتواند حتی کاربران عادی را در جرمیابی دیجیتال کمک کند. «Sleuth Kit» یکی از این نرمافزارها است که دادهها را از سیستمهای کامپیوتری استخراج میکند. Sleuth Kit یک نرمافزار منبع باز است که «دیسک ایمیج» ایجاد شده توسط «دی دی» را تجزیه و تحلیل، و دادههای آنها را بازیابی میکند. با استفاده از این نرمافزار، متخصصان میتوانند دادهها را بعد از حادثه جمعآوری کنند. دیدی (data duplicator)، دستوری در سیستم عامل یونیکس است که برای رونوشت گرفتن و تبدیل دادههای خام استفاده میشود.
«FTK Imager» ابزار دیگری است که وظیفه پیشنمایش دادهها را بر عهده دارد و به کاربر امکان میدهد دستگاه مورد نظر را به سرعت ارزیابی کند. این ابزار همچنین میتواند بدون آسیب رساندن به شواهد اصلی، رونوشتی از اطلاعات دستگاه تهیه کند.
در سالهای اخیر پیشرفتهای حوزه امنیت مجازی موجب افزایش چالشهای جرمیابی دیجیتال شده است. برای نمونه، استخراج اطلاعات از محیطهای «ابری» از چالشهای پیش روی هر محقق است، چرا که اطلاعات را میتوان در فضاهای مختلفی بارگذاری کرد که بر هر یک قوانین متفاوتی اعمال میشود، و این وضعیت گردآوری شواهد دقیق در یک پرونده را بسیار دشوار میکند.
پروتکلهای رمزنگاری و قوانین حفاظتی آنها نیز چالش دیگر موجود در این فرآیند است. هرچه رمزگذاری گستردهتر باشد، تحقیقات جرمیابی نیز سختتر میشود، زیرا قوانین این حوزه در موارد خاص و تنها با حکم دادگاه، میتواند افراد را مجبور به افشای کلیدهای رمزگذاری کند.
شاخههای پزشکی قانونی دیجیتال
«پزشکی قانونی رایانه»، شاخهای از پزشکی قانونی دیجیتال است که به بررسی شواهد موجود در رایانهها و رسانههای ذخیرهسازی دیجیتال مربوط میشود. هدف پزشکی قانونی رایانه، بررسی دادههای دیجیتال با هدف شناسایی، حفظ، بازیابی، تجزیه وتحلیل، و ارائه حقایق در مورد اطلاعات دیجیتال است که هم در جرایم رایانهای و هم در دادرسی مدنی استفاده میشود.
«پزشکی قانونی دستگاههای تلفن همراه» شاخه دیگری از پزشکی قانونی دیجیتال است که بر بازیابی شواهد دیجیتال از دستگاههای تلفن همراه متمرکز است. دامنه فعالیت این شاخه محدود به دستگاههای تلفن همراه نیست و به هر دستگاهی که دارای حافظه داخلی و توانایی ارتباطی باشد، از جمله دستگاههای GPS و تبلتها و ساعتهای هوشمند، مربوط میشود.
در حالی که سالها است که استفاده از تلفن همراه برای ارتکاب جرایم، بهگستردگی شناخته شده است، پزشکی قانونی تلفنهای همراه حوزه نسبتا جدیدی است که در پی استفاده افراد از تلفن همراه برای ذخیره و انتقال اطلاعات و نقش آن در معاملات آنلاین و فعالیتهای روزانه، شکل گرفته است. تغییرات سریع تکنولوژی ساخت دستگاهها و تجهیزات جانبی و نیز تفاوت نحوه ذخیرهسازی اطلاعات در هر دستگاه، چالشهای موجود در این حوزه است که باعث شده است هیچ ابزار یا روشی نتواند تمام شواهد را از دستگاه استخراج کند. بهروزرسانی و پیشرفت سریع تکنولوژیهای این شاخه، متخصصان را مجبور کرده است که تحت آموزشهای گسترده قرار گیرند تا بفهمند که هر ابزار و روشی، چگونه شواهد را به دست میآورد.
«پزشکی قانونی شبکه» هم شاخه دیگری از پزشکی قانونی دیجیتال است که بر تجزیه و تحلیل ترافیک شبکه کامپیوتری برای جمعآوری اطلاعات، شواهد قانونی، یا تشخیص نفوذ متمرکز است.
متخصصان این حوزه حفرههای امنیتی را که میتواند موجب بروز حمله سایبری شود، شناسایی میکنند یا شواهد بهجامانده در شبکه را بعد از یک حمله سایبری، بررسی میکنند. این شواهد سرنخهایی را در زمینه آن که چه نقاط ضعفی منجر به بروز حادثه شده است و چه کسی ممکن است پشت آن باشد، ارائه میدهد. شناخت رخنه و نحوه حمله، به شرکتها و افراد کمک میکند تا از وضعیت امنیت شبکه مطلع شوند و بر اساس آن، اصلاحات لازم را اعمال کنند.
«پزشکی قانونی پایگاه داده» هم زیرشاخهای از علم پزشکی قانونی دیجیتال است که به بررسی پایگاههای داده و ابردادههای آنها میپردازد. «پایگاه داده» محلی است که اطلاعات مربوط به یک نرم افزار یا سرویس در آن ذخیره میشوند. وجود پایگاه داده در هر سرویس، امکان دسترسی و مدیریت اطلاعات ذخیره شده را سادهتر میکند.
ورود این مفهوم به حوزه برنامکها، انقلابی در توسعه آنها بود و امروزه یافتن برنامکی کاربردی که از پایگاه داده بهره نگیرد، امر دشواری خواهد بود. بنابراین، پزشکی قانونی پایگاه داده در دنیای کنونی که برنامکها در فعالیت روزمره ما نقش اساسی ایفا میکنند، اهمیتی دوچندان یافته است.
در یک نمونه، در سال ۱۳۹۹ اطلاعات ۸۰ میلیون ایرانی از «سِرور»های سازمان ثبتاحوال ایران به بیرون درز کرد. این اطلاعات را یک روبات تلگرامی مستقیم از سرورهای ثبت احوال دریافت میکرد. در صورت استفاده از یک متخصص پایگاه داده، جلوگیری از این اتفاق به سادگی امکانپذیر بود.
پروندههای جنایی که با کمک پزشکی قانونی دیجیتال حل شد
دنیس لین ریدر، قاتل زنجیرهای آمریکایی معروف به BTK، در بین سالهای ۱۹۷۴ تا ۱۹۹۱ ۱۰ نفر را در ایالت کانزاس کشت و با ارسال نامههای طعنهآمیزی به پلیس، جزئیات جنایات خود را توصیف میکرد. او دوباره از سال ۲۰۰۴ ارسال نامه به پلیس را از سر گرفت، و در سال ۲۰۰۵ یک «فلاپی دیسک» حاوی اطلاعاتی درباره یک مقتول را به KSAS-TV در ویچیتا فرستاد که کارشناسان پزشکی قانونی دیجیتال با ردیابی ابردادههای موجود در فلاپی، او را ردیابی کردند و بهدست نیروهای پلیس دستگیر شد.
فیلیپها مارکوف، دانشجوی پزشکی آمریکایی بود که به سرقت مسلحانه و قتل در یک هتل شهر بوستون در سال ۲۰۰۹ متهم شد. او به «قاتل کریگزلیست» مشهور شده بود، زیرا با قربانیان خود از طریق تبلیغات درج شده در تارنمای «کریگزلیست» آشنا میشد. هنگامی که بازرسان پزشکی قانونی شبکه، ایمیلهای ردوبدل شده بین قربانیان و قاتل را ردیابی کردند، به سمت آدرس IP فیلیپ مارکوف ۲۳ ساله هدایت شدند. این اتفاق در آن زمان یک رویداد بزرگ در حوزه پزشکی قانونی دیجیتال بود و نشان داد که چگونه میتوان از این فناوری در پروندههای جرم و جنایت استفاده کرد.
یکی از جالبترین پروندههای پزشکی قانونی دیجیتال، پرونده راس کامپتون است. کامپتون برای دریافت خسارت از بیمه، در سال ۲۰۱۶ خانه خود در اوهایو را به آتش کشید. او به پلیس گفت وقتی از خواب بیدار شده و آتش را دیده است، چمدانش را بسته و شیشه پنجره اتاقش را با عصا شکسته و فرار کرده است. در طول تحقیقات، تحلیلگران پزشکی قانونی دیجیتال ضربان و ریتم قلب او را از دستگاه ضربانسازی که در قلب کامپتون بود استخراج کردند و متوجه شدند که کامپتون بر اساس دادههای ضربانساز، در حال فرار از آتش نبوده است.