中央情报局局长约翰·布伦南(John Brennan)于2015年3月宣布成立新的中央情报局数字创新局,这是中央情报局数十年来的首个新局。新部门的创建是为了推进数字取证技术的发展,数字取证是与数字设备中发现的数据和元数据(有关数据的数据)进行调查和恢复活动有关的取证科学的支柱,并提高了中央情报局的追踪能力在例行网络活动中留下的“数字尘埃”。正如布伦南(Brennan)在4月28日在情报与国家安全联盟领导晚宴上的讲话中所解释的那样,“无论我们走到哪里,我们所做的一切,我们都会留下一些数字化的尘埃,当您处于秘密状态时,确实很难秘密地进行操作,更不用说秘密地进行操作了。不会留下数字尘埃。”
数字取证的主要目的是评估可能在计算机系统的任何调查中使用的数字工件的状态。使用数字取证技术,研究人员可以获取数字证据,进行分析并报告分析结果。数字取证工具和其他更为先进的技术的开发,应使政府和私人公司能够成功地研究那些与嫌疑的非法网络活动有关的人(嫌疑人或其他感兴趣的人)留下的数字尘埃。
方法论。
数字取证方法适用于各种情况,最主要的是执法人员或其他官方机构在刑事或民事法院案件中或私人公司收集证据以协助进行内部调查。术语“数字取证”非常笼统,可根据特定的调查领域来表征众多专业领域。例如,网络取证与计算机网络流量分析有关,而移动设备取证主要与从智能手机和平板电脑中恢复数字证据有关。数字取证可能存在无限的方法,但是最常用的技术包括在数字媒体上进行关键字搜索,恢复已删除的文件,分析未分配的空间以及提取注册表信息(例如,通过使用连接的USB设备)。
处理数字证据时,必须确保在调查阶段不影响数据和元数据的完整性和真实性。因此,至关重要的是,要避免由调查人员的工作引起的证据发生任何变化,并确保所收集的数据是“真实的”,即与原始信息在各个方面都相同。尽管电影和电视中的网络犯罪分子可以巧妙地识别出感兴趣的人的密码,然后直接登录目标的计算机或其他智能设备,但在现实世界中,这种直接行动可能会改变原始内容,从而在目标上做出任何发现。该设备无法使用或至少在法庭上不可接受。
采集阶段,也称为“展品成像”,包括获得计算机或其他设备内容的图像。数字媒体的主要问题是易于修改。即使试图访问文件或计算机内存内容也可能改变其状态。因此,有必要通过创建易失性存储器和被分析系统磁盘的精确映像来避免直接访问。这可以通过使用专门的写阻止工具获得媒体的“位副本”(精确的逐位复制)来实现,该工具可以“镜像”数据,同时防止对媒体原始内容进行任何修改。
存储介质大小的增长和云计算等范式的扩散要求采用新的采集技术,以使研究人员能够获取数据的“逻辑”副本,而不是物理存储设备的完整映像。为了集中精力确保数据的完整性,研究人员使用“散列”机制生成较短的,固定长度的值,这些值表示较长或更复杂的原件。散列值允许更快速的搜索,并使研究人员可以评估每个时刻在被调查数字内容中的一致性。对内容的任何修改都会导致数字工件的哈希值发生变化,而无需搜索整个数据库就可以很容易地发现它。
![柏林封锁欧洲[1948–1949]](https://images.thetopknowledge.com/img/world-history/3/berlin-blockade-europe-19481949.jpg "柏林封锁欧洲[1948–1949]")
