مقدمة لمراحل التحقيق الجنائي وخطواته

السلام عليكم 

موضوع اليوم من الطراز الرفيع والهاكرز الرفيع ، وهو التحقيق الجنائي الرقمي ، فرغم أنني ليست لدي دراية تامة أو خبرة كاملة في هذا المجال لكنني لحد الأن أعتبر نفسي مجرد مبتدئ في مجال التحقيق الإلكتروني .

في هذه الأيام مع إرتفاع حالات وقضايا الجرائم المعلوماتية والإنترنت أصبح من الأساسي معرفة كيفية إثباتها في سبيل إنتاج دليل رقمي يمكن الإستناد عليه في المحاكم العدلية. بالرغم من ندرة حدوث ذلك, لكن الشركات والمؤسسات الحكومية والغير حكومية يجب أن يضعوا في الحسبان إمكانية وجودهم في وسط معمعة المحاكم والقضايا الإلكترونية بحيث يجب عليهم تزويد المحكمة بدليل رقمي لدعم موقفهم أمام القاضي.

في هذه المقدمة سوف يتم وضع مجال التحقيق الجنائي تحت الأضواء, مع شرح وبطريقة مبسطة جميع الخطوات الأساسية التي يجب إتخاذها عند التحقيق في الجرائم المعلوماتية وجرائم الإنترنت.

طريقة الحصول والتعامل مع الدليل الرقمي

مقدمة

التحقيق الجنائي هو إستخدام الطرق المثبتة علمياً لحفظ, جمع, عرض, تحديد, تحليل, ترجمة, توثيق, و التحقق من صحة الأدلة الرقمية المستخرجة من المصادر الرقمية بهدف تسهيل أو تعزيز بناء الأحداث الجنائية, أو المساعدة في إحباط العمليات الغير شرعية المرتقبة التي سوف يكون لها آثار تخريبية لمجال سير العمليات النظامية.

حيث في عملية التحقيق الجنائي للأدلة الرقمية يجب على الدليل الرقمي أن يمر على المراحل التالية حتى يتم إعتباره دليل رقمي معتمد من قبل المحاكم والجهات العدلية, وهذه المراحل هي:

• ·         جمع الأدلة

• ·         فحص الأدلة

• ·         تحليل ومراجعة الأدلة

• ·         عمل تقرير بجميع الإثباتات الرقمية المستخرجة من الأدلة

مع العلم بأن المراحل الموضحة يمكن الإعتماد عليها على أي نوع من أنواع الأدلة الرقمية مثل: الملفات, التغييرات في أنظمة التشغيل, بيانات الشبكة, وغيرها من مصادر الأدلة. وعلى ذلك يجب على المؤسسات المسؤولة دعم سياسة إستخدام أدوات التحقيق الجنائي بالطرق الصحيحة والمثبتة مع التأكد بأن الموظفيين المسؤولين مستعدين ومجهزين للإنخراط في التحقيق الجنائي أو يمكنهم التعامل مع الشركات أو الجهات الحكومية المتخصصة في حال تعذر عليهم القيام بذلك.

الطريقة الموضحة في (صورة 1) سوف تقوم بتحويل حاوية الدليل الرقمي إلى دليل رقمي معتمد في المحاكم أو للإستعمال الداخلي لإثبات بعض حالات سوء الإستخدام من بعض الموظفين.* حاوية الدليل قد تكون قرص صلب, قرص مرن, ذاكرة خارجية, … الخ

جمع الأدلة والحصول عليها

الخطوة الأولى في عملية التحقيق الجنائي هي تحديد مصدر الدليل الرقمي المتوقع حتى يتم الحصول عليه بصورة رقمية تمهيداً لفحصه وتحليله. مصادر البيانات تختلف فقد تكون أقراص صلبة, ذاكرات عشوائية, أقراص خارجية … وغيرها.للحصول على البيانات يجب المرور بعدد من الخطوات للتأكد من صحة الدليل قبل وبعد تكوينه:

1-      يجب على الشخص المسؤول رسم خطة قبل الحصول على البيانات, أي يجب عليه تحديد مسبقاً الطريقة التي سوف يقوم بإتخاذها, ماهي الأدوات وكيف عليه إستخدامها, كيف سوف يقوم بالحصول على الدليل من الحاوية مع الحرص على عدم تعديل الدليل بأي شكل من الأشكال في خلال عملية تحويل الحاوية إلى بيانات.

2-      بناءاً على الخطوة السابقة, يجب على المحلل أو المحقق الأمني البدء في عملية إستخراج البيانات من الحاوية الرقمية.

3-      يجب التأكد من سلامة البيانات بعد تحويلها للتأكد بأنه لم يطرأ أي تغيير عليها. يمكن القيام بهذه العملية عن طريق مقارنة تواقيع SHA أو MD5 للحاوية الاصلية والبيانات المنسوخة (Hash Verification).

4-      عمل نسخة أخرى من البيانات مع التأكد من سلامتها بنفس الخطوة السابقة وحفظها في مكان آمن في حال حدوث أي عطب في البيانات المستخدمة.تقوم الجهات الحكومية في العادة بتسجيل جميع الأشخاص الذين قاموا بالتعامل أو إستلام الدليل الرقمي لتسجيل جميع التغييرات والعمليات التي تم اتخاذها على الدليل الرقمي وفي أي وقت بالتحديد (Chain of Custody).مع العلم بأنه يمكن تسليم البيانات التي تم جمعها لجهة أخرى أو شركة متخصصة للقيام بعملية الفحص والتحليل بالنيابة عن المؤسسة التي قامت بالحصول على الدليل في حال لم تكن لديها الإمكانيات بالقيام بكامل عملية التحقيق بعد هذه الخطوة.

فحص البيانات الرقمية

في عملية الفحص يقوم المحقق الجنائي بفصل الأدلة المتعلقة بالقضية وإستخراجها من البيانات التي تم حصول عليها من الخطوة السابقة. على حسب نوع الحاوية للبيانات, يجب على المحقق مراعاة إستخدام نوع الأداة المناسبة لإستخراج الدليل الرقمي. الجدول (جدول 1) الموضح أدناه سوف يوضح بعض الأمثلة لبعض الأدوات المستخدمة في عمليات إستخراج الأدلة –  المجانية منها والنسخ المدفوعة.

الأدوات المحتملة	نوع الحاوية أو البيانات
Volatility toolkit, PE Tools.	الذاكرة العشوائية RAM
EnCase, FTK, SleuthKit, … etc.	الأقراص الصلبة أو الذاكرات الخارجية
Wireshark, Network Miner, Xplico, NetSleuth or any enterprise alternative.	بيانات الشبكة
Encase Forensics v7 and above	الأجهزة المحمولة والأجهزة اللوحية

جدول 1 – أمثلة للأدوات المساعدة في عملية إستخراج الأدلةالأدوات المطروحة في الأعلى هي الأكثر شيوعاً مع العلم بأن إختلاف البيانات أو الحاويات قد يتطلب نوع خاص من الأدوات لعملية الفحص, على سبيل المثال تحليل الصوت وإستخراجه.

تحليل ومراجعة الأدلة

عملية التحليل سوف تتم على البيانات التي تم إستخراجها في عملية الفحص, حيث سوف يتم تحديد الإستنتاجات في خلال عملية التحليل. في هذه المرحلة سوف يتم تحديد وربط الأحداث, المشتبه بهم, وغيرها. من المستحسن ويفضل أن يقوم بعملية التحليل أكثر من محقق حيث كل شخص قد تكون له طريقته الخاصة في البحث والتحليل وبالتالي الحصول على عدد أكبر من الأدلة لدعم ملف القضية.

التقرير

المحقق الجنائي يجب عليه تدوين عملية التحقيق منذ البداية, لأن ذلك سوف يساعد في عملية كتابة التقرير.حيث يجب على المحقق كتابة تقريرين كالتالي:

1-      تقرير تقني لعملية التحقيق مع النتائج.

2-      تقرير عام للشخص العادي الذي لايملك خبرة تقنية.التحقيق المباشر والتشفيرتتم عملية التحقيق المباشر عندما يكون إيقاف التشغيل للجهاز سوف يؤدي بالتأثير على توافر الأدلة وسلامتها. على سبيل المثال لو كان إيقاف التشغيل سوف يقوم بمسح جميع البيانات الموجودة في الذاكرة العشوائية RAM حينها يجب على المحقق بالحصول على جميع البيانات الموجودة في الذاكرة العشوائية في وضعية التشغيل لجهاز المشتبه به.

غالباً التحقيق المباشر مساعد رئيسي في الحصول على كلمات المرور أو لأي بيانات مشفرة لأنها تكون موجودة بصورتها الغير مشفرة في الذاكرة العشوائية.

الحصول على البيانات من الذاكرة العشوائية

البيانات الموجودة في الذاكرة العشوائية يمكن الحصول عليها بإستخدام أحد الحزم أو الأدوات المتخصصة, واحدة من الأدوات المشهورة لهذا الغرض هي حزمة Monsols Memory Forensics Toolkit.

أمثلة للبيانات التي يمكن إستخراجها من الذاكرة العشوائية:

• البيانات المشفرة, حيث يمكن الحصول عليها بصيغتها الأصلية

• المهام النشطة, المخفية, والتي تم إنهائها (Process List)

• إعدادات الشبكة

• إتصالات الشبكة المنهية والنشطة (مفيد في عملية الهندسة العكسية للبرمجيات الخبيثة)

• كلمات المرور

• الحصول على مكتبة الويندوز (Registry)

• الملفات المفتوحة

• تسجيلات للمحادثات الإلكترونية والمتصفح

• بعض ملفات النظام

 بناء مختبر تدريب للتحقيق الجنائي الرقمي بأقل تكاليف

هذا المختبر يمكن بنائه على بيئة إفتراضية (Virtual Environment) حيث يفضل أن يكون لديك نظامي تشغيل ويندوز ولينكس وكل واحد منهم في بيئة إفتراضية خاصة به. يمكنك إنشاء نظام إفتراضي ثالث ومعاملته معاملة جهاز المشتبه به حيث تستخدم النظامين الأولى في عملية التحقيق ضد الجهاز الافتراضي المشتبه به.والسبب الذي يجعلني أنصح بنظامين تشغيل لعملية التحقيق هو وجود عدد من الأدوات المختلفة على نظام ويندوز ولينكس التي قد تكون أساسية في عملية التحقيق الجنائي. متطلبات النظام لجهاز المحقق

على كل حال, أدوات التحقيق الجنائي في الغالب لا تتطلب موارد ضخمة حيث المواصفات التالية في إعتقادي سوف تكون كافية لتشغيل أدوات التحقيق الجنائي والعمل عليها, وهذه المواصفات كالتالي:

• معالج ثنائي النواة Core 2 Duo بسرعة 2.0 جيجاهرتز أو أعلى.

• قرص صلب بسعة 100 جيجابايت أو أكثر.

• كرت شبكة منفصل.

• مداخل USB خاصة, حيث سوف يتم إستخدامها لنقل البيانات من الأقراص الصلبة عن طريق أجهزة خاصة مانعة للكتابة تسمى بـ(Write Blockers)

• نظام تشغيل ويندوز 7 مع نظام Kali Linux أو أوبنتو في حال رغبت في تنصيب برامج التحقيق الجنائي بنفسك

يفضل أن لا يكون المختبر الخاص بالتحقيق الجنائي في خادم بعيد وذلك لإمكانية وحاجة الوصول المباشر للجهاز لتوصيل الأجهزة الصلبة الخارجية أو الـ  USBحيث هذه النقطة مهمة في حال رغبت في تحليل الأقراص الصلبة والذاكرات الخارجية.

بيئة لينكس الإفتراضية

كالي يحتوي على أكثر الأدوات المعروفة الخاصة بالتحقيق الجنائي مثبتة مسبقاً, حيث سوف يمكنك ذلك من تشغيل هذه البرامج مباشرة بدون عناء منك. لكن, يفضل أن تقوم بتنصيب نظام لينكس اوبنتو نظيف (أو ما يناسبك من توزيعة) وعمل تنصيب للأدوات بشكل يدوي من باب الإستفادة والتعلم.

بيئة ويندوز الإفتراضية

بالرغم من وجود أغلب الأدوات على نظام لينكس, لكن هنالك بعض الأدوات المهمة مثل FTK, EnCase Forensics  التي لا تعمل إلا على أنظمة ويندوز. هذه الأدوات نسخ مدفوعة وخاصة بالشركات لكن يمكن وبكل سهولة الحصول على نسخة للتجربة أو DEMO عن طريق الشركات المسؤولة.بعض الأدوات مثل Network Miner, DCode, Volatility و MonSols toolkit سوف تطلب نظام تشغيل ويندوز. مع العلم أن Volatility سوف يحتاج إلى Cygwin للعمل على ويندوز.