Когда компания Enron объявила о банкротстве в декабре 2001 года, сотни сотрудников остались без работы, в то время как некоторые руководители, казалось, извлекли выгоду из краха компании. Конгресс Соединенных Штатов решил провести расследование, выслушав обвинения в неправомерном поведении корпорации. Большая часть расследования Конгресса опиралась на компьютерные файлы в качестве доказательств. Специализированная детективная группа начала обыскивать сотни компьютеров сотрудников Enron с помощью компьютерной экспертизы.

Целью методов компьютерной криминалистики является поиск, сохранение и анализ информации о компьютерных системах для поиска потенциальных доказательств для судебного разбирательства. Многие методы, используемые детективами при расследовании мест преступлений, имеют цифровые аналоги, но в компьютерных расследованиях есть и некоторые уникальные аспекты.

Например, простое открытие компьютерного файла изменяет файл - компьютер записывает время и дату обращения к нему в сам файл. Если детективы захватывают компьютер, а затем начинают открывать файлы, невозможно с уверенностью сказать, что они ничего не изменили. Адвокаты могут оспорить достоверность доказательств, когда дело дойдет до суда. https://limonsu.ru/

Некоторые люди говорят, что использование цифровой информации в качестве доказательства - плохая идея. Если компьютерные данные легко изменить, как их можно использовать в качестве надежного доказательства? Многие страны допускают использование компьютерных доказательств в судебных процессах, но ситуация может измениться, если цифровые доказательства окажутся ненадежными в будущих делах.

Компьютеры становятся все мощнее, поэтому область компьютерной криминалистики должна постоянно развиваться. На заре компьютеров один детектив мог сортировать файлы, поскольку объем памяти был очень мал. Сегодня, когда жесткие диски способны хранить гигабайты и даже терабайты данных, это непростая задача. Детективы должны находить новые способы поиска улик, не затрачивая на этот процесс слишком много ресурсов.

Каковы основы компьютерной экспертизы? Что могут искать следователи и где они ищут? 

Весь этот суд вышел из строя
Винсент Лью, специалист по компьютерной безопасности, раньше создавал приложения против судебной экспертизы. Он делал это не для того, чтобы скрыть свою деятельность или усложнить жизнь следователям. Вместо этого он сделал это, чтобы продемонстрировать, что компьютерные данные ненадежны и не должны использоваться в качестве доказательства в суде. Лю обеспокоен тем, что инструменты компьютерной экспертизы не являются надежными и что полагаться на компьютерные доказательства - ошибка.

Область компьютерной криминалистики относительно молода. На заре вычислительной техники суды считали, что доказательства, полученные с компьютеров, ничем не отличаются от любого другого вида доказательств. По мере того, как компьютеры становились все более совершенными, мнение изменилось - суды узнали, что компьютерные доказательства легко испортить, уничтожить или изменить.

Следователи поняли, что необходимо разработать специальные инструменты и процессы для поиска в компьютерах улик, не затрагивая саму информацию. Детективы сотрудничали с учеными-компьютерщиками, чтобы обсудить соответствующие процедуры и инструменты, которые им понадобятся для извлечения улик с компьютера. Постепенно они разработали процедуры, которые сейчас составляют область компьютерной экспертизы.

Обычно детективы должны получить ордер на обыск компьютера подозреваемого в поисках улик. В ордере должно быть указано, где детективы могут проводить обыск и какие доказательства они могут искать. Другими словами, детектив не может просто вручить ордер и искать все подозрительное, где ему заблагорассудится. Кроме того, условия ордера не могут быть слишком общими. Большинство судей требуют от детективов быть как можно более конкретными при запросе ордера.

По этой причине детективам важно как можно больше изучить подозреваемого, прежде чем запрашивать ордер. Рассмотрим этот пример: детектив получает ордер на обыск ноутбука подозреваемого. Детектив приезжает в дом подозреваемого и вручает ордер. Находясь в доме подозреваемого, детектив видит настольный компьютер. Детектив не может законно обыскать компьютер, потому что это не было включено в первоначальный ордер.

Каждое компьютерное расследование в чем-то уникально. Для завершения некоторых расследований может потребоваться всего неделя, а на другие могут потребоваться месяцы. Вот некоторые факторы, которые могут повлиять на продолжительность расследования:

Опыт детективов
Количество обыскиваемых компьютеров
Объем хранилища, который детективы должны просмотреть (жесткие диски, CD, DVD и флэш-накопители)
Пытался ли подозреваемый скрыть или удалить информацию
Наличие зашифрованных файлов или файлов, защищенных паролями
Каковы этапы сбора доказательств с помощью компьютера? Продолжайте читать, чтобы узнать.

На виду
Доктрина открытого просмотра дает детективам полномочия собирать любые доказательства, которые находятся на виду во время проведения обыска. Если детектив в нашем примере увидел доказательства преступления на экране настольного КОМПЬЮТЕРА подозреваемого, то детектив мог бы использовать это как улику против подозреваемого и обыскать компьютер, даже если это не было предусмотрено первоначальным ордером. Если компьютер не был включен, то детектив не имел бы полномочий обыскивать его и должен был бы оставить его в покое.