Im März 2015 gab CIA-Direktor John Brennan die Einrichtung einer neuen CIA-Direktion für digitale Innovation bekannt, der ersten neuen CIA-Direktion seit rund fünf Jahrzehnten. Die neue Abteilung wurde gegründet, um Techniken in der digitalen Forensik, einer Säule der forensischen Wissenschaft im Zusammenhang mit den Aktivitäten zur Untersuchung und Wiederherstellung von Daten und Metadaten (Daten über die Daten) in digitalen Geräten, voranzutreiben und die Fähigkeit der CIA zur Rückverfolgung zu verbessern „Digitaler Staub“, der bei routinemäßigen Cyberaktivitäten zurückbleibt. Brennan erklärte am 28. April in einer Rede bei einem Führungsdinner der Intelligence and National Security Alliance: „Überall, wo wir hingehen, hinterlassen wir bei allem, was wir tun, etwas digitalen Staub, und es ist wirklich schwierig, im Verborgenen zu operieren, geschweige denn im Verborgenen, wenn Sie Lass digitalen Staub hinter dir. “
Der Hauptzweck der digitalen Forensik ist die Bewertung des Zustands eines digitalen Artefakts, das möglicherweise für Untersuchungen an einem Computersystem verwendet werden kann. Mithilfe der Techniken der digitalen Forensik kann ein Ermittler digitale Beweise erfassen, analysieren und die Ergebnisse dieser Analyse melden. Die Entwicklung digitaler forensischer Tools und anderer noch weiter fortgeschrittener Techniken sollte es Regierungen und privaten Unternehmen ermöglichen, den digitalen Staub, den Personen - Verdächtige oder andere interessierende Personen - im Zusammenhang mit mutmaßlichen rechtswidrigen Cyberaktivitäten hinterlassen haben, erfolgreich zu untersuchen.
Methoden.
Digitale forensische Methoden werden in einer Vielzahl von Situationen angewendet, insbesondere von Strafverfolgungsbeamten oder anderen offiziellen Behörden, um Beweise in einem Straf- oder Zivilgericht zu sammeln, oder von privaten Unternehmen, um die Durchführung einer internen Untersuchung zu unterstützen. Der Begriff digitale Forensik ist äußerst allgemein gehalten und kann je nach Untersuchungsgebiet zur Charakterisierung zahlreicher Spezialisierungen verwendet werden. Beispielsweise bezieht sich die Netzwerkforensik auf die Analyse des Computernetzwerkverkehrs, während sich die Forensik für mobile Geräte hauptsächlich mit der Wiederherstellung digitaler Beweise von Smartphones und Tablet-Computern befasst. Es gibt möglicherweise unendlich viele Methoden für die digitale Forensik. Die am häufigsten verwendeten Techniken umfassen die Durchführung von Schlüsselwortsuchen auf den digitalen Medien, die Wiederherstellung gelöschter Dateien, die Analyse nicht zugewiesenen Speicherplatzes und das Extrahieren von Registrierungsinformationen (z. B. mithilfe angeschlossener USB-Geräte).
Beim Umgang mit digitalen Beweisen muss unbedingt sichergestellt werden, dass die Integrität und Authentizität der Daten und Metadaten während der Untersuchungsphasen nicht beeinträchtigt wird. Daher ist es wichtig, jegliche Änderung der durch die Arbeit der Ermittler verursachten Beweise zu vermeiden und sicherzustellen, dass die gesammelten Daten „authentisch“ sind - dh in jeder Hinsicht mit den ursprünglichen Informationen identisch sind. Obwohl Cyberkriminalitätskämpfer in Filmen und im Fernsehen das Passwort einer Person von Interesse geschickt identifizieren und sich dann direkt am Computer des Ziels oder einem anderen intelligenten Gerät anmelden können, kann eine solche direkte Aktion in der realen Welt das Original so verändern, dass alles gefunden wird, worauf gefunden wird das Gerät unbrauchbar oder zumindest vor Gericht unzulässig.
Die Erfassungsphase, auch als "Abbildung von Exponaten" bezeichnet, besteht darin, ein Bild des Inhalts des Computers oder eines anderen Geräts zu erhalten. Das Hauptproblem bei digitalen Medien besteht darin, dass sie leicht modifiziert werden können. Selbst der Versuch, Zugriff auf Dateien oder den Inhalt des Computerspeichers zu erhalten, kann deren Status ändern. Es ist daher erforderlich, einen direkten Zugriff zu vermeiden, indem ein genaues Bild des flüchtigen Speichers und der Festplatten des zu analysierenden Systems erstellt wird. Dies kann erreicht werden, indem eine "Bitkopie" (eine exakte bitweise Reproduktion) des Mediums erhalten wird, indem spezielle Schreibblockierungswerkzeuge verwendet werden, die die Daten "spiegeln" und gleichzeitig jegliche Änderung des ursprünglichen Inhalts des Mediums verhindern.
Die zunehmende Größe von Speichermedien und die Verbreitung von Paradigmen wie Cloud Computing erfordern die Einführung neuer Erfassungstechniken, mit denen die Ermittler eine „logische“ Kopie der Daten anstelle eines vollständigen Abbilds des physischen Speichers erstellen können. In einem konzentrierten Bemühen, die Integrität der Daten sicherzustellen, verwenden die Ermittler "Hashing" -Mechanismen, die kürzere Werte fester Länge erzeugen, die das längere oder komplexere Original darstellen. Die Hash-Werte ermöglichen eine schnellere Suche und ermöglichen es den Forschern, jeden Moment auf Konsistenz der untersuchten digitalen Inhalte zu bewerten. Jede Änderung des Inhalts würde zu einer Änderung des Hash des digitalen Artefakts führen, die leicht erkannt werden könnte, ohne dass die gesamte Datenbank durchsucht werden muss.
