本章将回顾本书的关键内容,并强调当前挑战从业人员的议题。我们将涵盖以下主题:
-
数字证据的演变与从业人员角色的关系
-
针对新硬件和软件所带来的挑战的解决方案
-
更有效的证据恢复与保存
-
增强的证据选择与分析工具
-
通信媒体和云计算带来的挑战
-
有效证据处理与验证的需求
-
应急计划
本章还将讨论提高利益相关者意识并在其信任下管理数字信息的能力的过程、工具和取证应急策略。
这是一项真正令人兴奋且充满回报的职业——结合了调查员的技能、律师的智慧和计算机分析师的知识。能够就检查结果向法律顾问或调查团队提供建议,将从业人员置于一个独特且特权的位置。
无论结果如何,从业人员的建议都不容忽视。检查结果往往显示很少有有价值的信息;在许多情况下,根本没有任何可恢复的内容。然而,客户和律师常常会说,这次调查是有意义的,因为它可以被排除,并且证据搜索可以集中在其他地方。根据雇佣从业人员的一方,有时能够找到有助于定罪或无罪释放的证据,这同样令人高兴。
从业人员并非在真空中工作。他们遵循标准流程,并通过案件经验和法院判决制定自己的流程。问题在于这些标准是否足够充分,是否容易理解并在实践中应用。实践者不断更新自己对新兴应用和设备的知识。积累专业知识对他们来说是一段探索之旅。
第三章,数字证据的性质及特殊属性,介绍了使用像 ILookIX 这样复杂工具从设备中恢复数据的过程,并描述了数字证据的性质:它可能在哪里找到、如何恢复以及如何在调查中使用。那一章浓缩了大量信息,足以填满一本书。可以说,理解数字证据的特性是进入这一领域的前提。此外,数字证据并非静态:新的文件类型、应用程序、操作系统、存储库、通信网络和处理过程以惊人的频率涌现。
从业者必须跟上这些趋势,但很少有相关的出版物或共享信息,导致每个人都需要自行探索新的格式和流程,并确定恢复和处理证据的最佳方法。发现的交流缓慢而繁琐,通常仅限于出版物和评审,且在同行评审后,通常需要很长时间才能发布,或者被做成快速的博客文章但没有经过适当的审查,或者由于保密和隐私问题被“保留在公司内部”。本书并未对数字证据提供百科全书式的覆盖,但涵盖了该学科的一个相当广泛的领域。
从业者需要能够解释数字证据的属性及其在加重案件证据中的作用,但必须确保其符合可采性规则。解释证据的可靠性和真实性,并能够提供一些佐证,帮助法院评估其价值,不仅仅是选择和展示证据,因为从业者的职责是解读并解释证据和元数据的完整含义,并向外行解释其可能的意义。
随着学科的发展并希望逐步成熟,从业者将是这场变革的领军者,但如果他们不进行研究和分享任何知识,那么这对他们来说将是一项艰巨的任务。并非所有从业者都有时间,即使他们有分享发现和经验的意愿,而且如前所述,也有保密要求。第九章,验证证据,介绍了一个证据验证过程,对于新手从业者作为培训工具,以及对于经验更丰富的从业者作为导航工具,采用这样的流程可能会有价值。随着新问题的出现,该过程可以进行更新,并用于其可采性检查设计之外的其他用途。
第二章,硬件和软件环境,描述了不同的操作系统和文件系统,并介绍了定位潜在价值证据的过程。文件系统变得极为复杂,可能有些不必要地复杂,但正因如此,它们保留了过去可能被删除的违纪行为的信息。挑战在于知道该从哪里寻找——前提是从业者知道如何导航新操作系统和应用程序。
传统的成像-索引-搜索过程或成像并手动搜索的方式,已经变得不可持续;其庞大的数据量和复杂性不仅耗时,而且并非总能保证定位到证据,很多情况下只能靠运气。虽然“深度清洗”分析总会有其必要性,但更有效的方式已经出现。我的研究和实地工作表明,尽管很难放弃这些熟悉的过程,但确实存在一种更好的方式来恢复潜在的证据。
ISeekDiscovery 自动化工具目前正在修改中,以便除电子发现外,还能用于刑事调查。该自动化工具能够恢复删除的文件和注册表文件,并收集所有特定的文件类型。多个刑事辩护案件已使用 ILookIX 和 ISeekDiscovery 进行了测试,恢复率很高,但 ISeekDiscovery 能够精准捕获所需的数据,并且在数据恢复后的目录整理和处理方面更为高效。
尽管传统工具可以对文件进行目录整理并零消除重复文件以减少数据集,但它们无法与自动化工具在短时间内搜索并返回结果的能力相比,也无法进行基于初步分析的后续搜索。将其应用于电子发现和网络环境中时,自动化工具可以远程启动,结果也可以安全地远程查看并提取到法律过程团队中。这样可以节省时间、旅行成本、昂贵的专业人员费用,以及解决系统中固有的挑战。这使得执业者可以更快速地访问和分析证据,并将更多时间投入到证据分析中。
看起来可以肯定的是,随着新技术的挑战和从不断增长的大型复杂数据集中恢复证据的能力,这需要一种务实的证据恢复方法,而现有的刑事和电子发现法医工具并没有达到这一要求。依我看,它们已经是过时的流程,实际上并未提供快速证据分析所需的支持。本书介绍了保存数字证据的新技术和流程,使恢复变得更快速、更可靠。
驱动器的成像是大多数刑事调查中从台式机、笔记本和联网计算机收集数字信息的传统方式。手机和其他手持设备需要不同的数据提取过程。对于电子发现来说,由于需要从联网系统中寻找证据,成像变得不切实际,使用复杂的软件对庞大的数据集进行索引和复制已成为常规做法。
现有技术的图像处理并未提供最好的保护措施来保全收集的证据。手机提取往往只捕捉逻辑数据,现在很少能恢复需要更深入分析的物理数据。电子取证对于许多组织来说,已经变得过于昂贵,涉及时间、专家和网络中断,且使用现有的数据恢复工具并不理想。
从平板电脑甚至某些桌面设备中提取数据正变得越来越困难,原因在于系统加密和设备启动时的困难。这些问题正成为常见的障碍,使得从这些设备中恢复数据变得困难,有时甚至是不可能的。我的研究同事们不断寻找克服这些障碍的方法,但遗憾的是,这个学科通常在新设备和系统的推出方面落后了一些。
我所提出的工具,包括 IXImager 和 ISeekDiscovery 套件,能够安全且便捷地保存证据。.ASB取证容器格式是唯一的取证图像类型,它被安全地存储在一个容器内,容器自认证且防篡改。这个过程给执法人员带来的安心感是,记录保管日志有来源:其真实性可以被验证。
同样,ISeekDiscovery .ISK 格式是一个安全的存储库,具有可移动性,不会在系统中留下数据痕迹,与传统的电子取证数据集相比相对较小。这些工具的处理过程不仅安全可靠,而且体积更小,采用压缩格式,在.ISK存储库的情况下,所需的存储空间大大减少。
显然,手机和其他手持设备是台式机和笔记本电脑的竞争对手,因为它们便携、相对实惠且易于使用。由于外部存储介质的紧凑性以及将更多个人和组织数据存储在远程服务器(如云端)的趋势,存储大小不再是使用这些小型设备的障碍。
这引发了若干场景。那些司法管辖区对存储或传输到这些设备的私密数据没有保护措施的国家,可以随意访问私人数据,主要问题是加密数据恢复的困难。其他司法管辖区更注重公民的隐私权,但仍面临从加密设备中恢复证据的问题。目前,这一学科可能正处于一个转折点,数据存储正转变为远程网络中心,这些中心的访问比过去更加不便,显然也无法进行图像处理!
移动电话本身给取证恢复带来了障碍,增加了执法人员的普遍沮丧感,因为他们无法访问隐藏在设备中的证据。
从 Apple iPhone 恢复数据尤其几乎不可能实现。Android 及其他操作系统也正朝着同样的方向发展。新的机型和版本使得除非输入密码或 PIN 码已被解码或由设备所有者提供,否则几乎不可能恢复这些手机的逻辑提取——这通常并不是一个可行的选择。对于 iPhone 和 Android 设备而言,恢复包含已删除数据的完整物理转储的时代已经一去不复返。
我一直在评估一些手机取证恢复工具,但似乎没有哪一款能接近解决这个问题。令人失望的是,供应商对取得这些设备访问权限的进展异常沉默。我的研究同事们正在努力寻找解决方案,以解密其中一些设备并恢复可以通过 ILookIX 和 ISeek 处理的物理转储。例如,ILookIX 已经能够从 iPhone 4 恢复约 60%的额外数据,而其他移动取证工具无法做到。希望这种恢复成功能够扩展到新版本的 iPhone。因此,亲爱的读者,请关注最新进展,特别是在 FBI 与 Apple 关于访问 iPhone 的争端之后。
通过正常的访问协议,用户可以访问云资源以恢复数字证据,即便这些资源并不属于该用户。然而,识别数据从源存储设备到目标存储设备的路径并不是一件简单的事情,这条路径也可能不固定。此外,数据的所有者通常无法对存储数据的服务器进行物理控制,这使得所需的数据映像变得复杂,且数据可能存储在不同的司法管辖区,可能需要跨区域旅行和额外的资源。这也意味着,数据被非从业人员访问和恢复,而这些人可能对应该恢复哪些数据缺乏足够的理解,并且在保护证据的可采性方面可能不可靠。
一种更可行的替代方案是使用 ISeekDiscovery 自动化工具远程恢复数据,该工具不具侵入性,可以远程启动,安全性高,并能分离数据以确保遵守法院命令和搜查令,与传统的恢复过程相比,后者通常需要将服务器停机长时间,并且可能具有侵入性,甚至可能污染证据和其他数据。
本书介绍了一系列数字取证工具,并介绍了一些用于恢复、保存和分析潜在证据的低层次流程。第九章《验证证据》提出了一种验证数字证据的候选模型,这可以视为帮助从业者在映射分析过程、导航数字证据数据集和图像时开发模型的基础。证据的测试和检查至关重要,但有时只是在口头上得到了重视。
Adams(2012 年)的研究为刑事和民事环境中的数字数据取证提供了一个正式且及时的通用模型,特别是在不断发展的事件响应领域。由于该学科所有领域缺乏统一的标准模型,这一问题令人困扰,而先进数据获取模型(ADAM)为从业者提供了诸多值得推崇的优点。
ADAM 包含以下关于证据获取的严格要求:
-
从业者的活动不得改变原始数据。
-
必须保留与原始数据和任何原始数据副本的恢复和处理相关的所有活动记录,包括遵守适当的证据规则、保持链条记录,并进行如哈希验证等过程。
-
从业者不得从事超出自己能力或知识范围的活动。
-
从业者在进行工作时必须考虑个人安全的各个方面。
ADAM 模型包括三个数字数据获取阶段:初步规划阶段、现场调查阶段和数字数据获取阶段。该模型旨在为法律听证会中的获取过程提供清晰的展示。关于这一创新模型的更多信息可以在这里找到:
researchrepository.murdoch.edu.au/14422/2/02Whole.pdf。
战略商业管理识别处于风险中的资产并预测威胁。审慎的组织预测风险,并提前建立应对流程以减轻威胁,或在安全漏洞发生后更好地管理后果。一个组织的 IT 团队通常负责对电子信息进行威胁分析,并实施威胁最小化和管理流程。他们的主要角色是恢复电子资源和网络在安全漏洞后的功能,包括物理和人员安全。
管理人员和 IT 人员在调查安全漏洞、犯罪事件和人员不当行为方面的参与度日益增加,如第九章中所呈现的案例研究《验证证据》中所述,验证证据,然而他们通常缺乏保存和恢复证据的经验和能力。
商业经理和非法医从业者面临困难,他们往往是数字证据的无意保管人,后者在法庭上被依赖。组织通常不了解数字证据的复杂性以及如何在不改变其完整性的情况下定位和恢复它。如果没有为最终需要保存数字证据的事件做好准备,组织就很难在最佳利益下处理证据。
亲眼目睹了组织在处理涉及数字证据恢复的事件时缺乏准备,并且这种情况经常发生,我在此指出,那些拥有法医应急预案的组织在事件发生后恢复得更快,并且更有可能追究违法者的责任。对于大大小小的组织来说,除了安全事件应急预案外,制定某种形式的法医响应预案真的是一种明智的策略。虽然现有的风险评估标准可能有用,但它们通常不包括数字法医响应。
在民事电子数据发现案件中,缺乏应对发现要求的准备可能会导致高昂的成本,并且破坏组织的信息管理常规。有一些软件程序可以预见到发现的可能性,这有助于简化发现搜索过程并在一定程度上降低成本。
这类程序对于小型企业来说并不总是负担得起,或被认为是必要的。在电子邮件搜索的发现过程中,双方都需要付出高昂的费用,在莫妮卡·莱温斯基案件中,搜索相关电子邮件文件的费用超过了 1700 万美元。毫无疑问,如果调查人员能使用 ISeekDiscovery 自动化工具,这个费用将会大大减少!
强烈推荐某种形式的务实法医应急预案,可能包括以下内容:
-
应急预案和负责研究、维护和测试该预案的团队任命
-
使用计算机事件响应团队(CIRT)提供专业调查和响应,以调查安全事件并恢复和保存数字证据
-
提高标准和问题意识
-
维护紧密配置的网络安全以保护信息资产和潜在的数字证据
-
由数字法医从业者验证系统和数字证据的安全配置
Adams, R. 2012. "高级数据采集模型(ADAM):数字法医实践的过程模型。" 默多克大学工程与信息技术学院,博士论文。
本章总结了书中提出的关键主题,并回顾了影响从业者和利益相关者的趋势。
实用数字取证 通过将数字取证学科介绍得如此清晰,部分解开了其技术上的神秘感,使你能够更清楚地理解该学科的基础知识。案例研究贯穿整本书,并通过分析示例突出关键的恢复和分析流程。
本书强烈支持在法律程序中管理数字信息时采取更务实的方式。它描述了通过更好的流程和取证工具,如何增强数字取证从业人员和其他相关方的能力。
出现的新取证工具,特别是 ILookIX 和 ISseekDiscovery 自动化工具,正在帮助从业人员更高效地进行取证检查,这些工具使得从业人员的工作更易管理、产出更具成效。
这是一次"原汁原味"的学科介绍,因为如果不提及从业者面临的一些重大挑战,那将是不公平的。这不是一项职业,它是一种使命,尽管存在挑战,但它也能带来丰厚的回报。我希望你们中的一些人能从本书中获得启发,并鼓励你们将数字取证视为自己的真正使命。对于有经验的从业者,我希望这些页面中的内容能够引起共鸣,并为你们提供新的工具和流程的视角。
我和我的同事们对一些从业者缺乏专业性表示失望。无论这是否归因于傲慢、无知、自满,或其他原因,他们显然没有作为法庭的服务者行事。正如在第九章《验证证据》中所暗示的那样,验证证据,谁出钱谁不应主导—从业者需要对比客户和雇主更高的权威负责。本书的目标是通过呈现增强从业者专业性的流程和工具,为数字取证领域的文献做出积极贡献。
然而,一个令人遗憾的事实是,数字取证学科的成熟度较低,其中包括对标准和问责制的自满——这一问题在政府和私人组织中尤为普遍。如果本书未提及这些缺陷,那么它无疑会过分美化该学科的现状,尽管大多数从业者的工作非常积极,且新兴的流程和工具也带来了许多好处。
为了强调这一点,最近有一个案件,我的一位同事在为辩方法律团队工作时,被指派验证一政府机构秘密录音的音频文件。这位同事是一位经验丰富的取证从业者,曾在多个政府取证团队接受过培训并工作过,他发现这些音频文件并非原始数据,而是由数据归档软件生成的副本。拥有原始数据对于检查音频是否在恢复后有任何可能的篡改至关重要。
在政府代理人拖延了数月之后,并且一再坚持提供的数据是原始数据时,他们最终承认这并不是原始数据,尽管之前曾保证与原始数据相关的哈希日志是有效的,实际上并非如此。此外,代理人无法提供任何关于哈希日志真实性的来源证明,这与第四章中描述的恢复与保存数字证据的.ASB取证容器文件所提供的取证图像容器保护不同。显然,代理人对复制的数据进行了哈希处理,而非原始数据,这让数据的完整性产生了疑问。看起来这些代理人要么不知道,要么不关心,或者因为某些不明原因撒谎关于数据保存和恢复过程。
一个验证测试,例如第九章中描述的验证证据,用于测试成像或保存过程的完整性,显然没有被应用。令这位从业者真正感到震惊的是,其中一位代理人的一句话,他显然对证据被如此挑战感到恼火,表示:“我们不是被雇佣来做取证分析师的——我们只是收集情报。”
本书突出了数字取证实践中的趋势,并呼吁更好的策略来管理日益庞大且复杂的数据集——考虑到上述代理人的爆发,这显然是必要的!
从事这一职业的人员以及考虑加入该领域的人不应过于沮丧于这些反复出现的不良实践示例,因为这是一项非常有回报的学科,尤其是在获得因出色工作而受到认可时。找到并分析那些来之不易的信息所带来的成就感,增加了从业者的经验,这也为他们打下了坚实的基础。这项学科需要新的血液,要求提问并质疑一切,而不是满足于现有的“足够好就行”这种观点。最重要的是,必须始终记住,像其他职业一样,从业者的学习永远没有完成的时候。