الإطار العلمي لاستخلاص الدليل الرقمي وجمعه من مسرح الحادث
[align=justify]
الإطار العلمي لاستخلاص الدليل الرقمي وجمعه من مسرح الحادث:
هناك أمور رئيسة تنبغي الإشارة إليها، تتعلق بالدليل الرقمي، وأول هذه الأمور، هو مدى الحاجة إلى علوم الكمبيوتر وعلوم الأدلة الجنائية وعلوم التحليل السلوكي للأدلة الرقمية حيث إن علوم الكمبيوتر تقدم المعلومات التكنولوجية الدقيقة وهي مطلوبة لفهم المظهر أو الهيئة أو الكينونة الفريدة للدليل الرقمي بينما علوم الأدلة الجنائية من شأنها أن تقدم منظوراً علمياً لتحليل أي شكل من أشكال الأدلة الرقمية وتساهم علوم التحليل السلوكي للأدلة الرقمية في الربط المحدد بين المعارف التكنولوجية وبين الطرق العلمية لاستخلاص الدليل الرقمي، لفهم أفضل للسلوك الإجرامي التقني( ).
** وعلى ذلك فإن هذه العلوم مجتمعة تساهم فيما يلي :
1. الكشف عن الدليل الرقمي.
2. إجراء الاختبارات التكنولوجية والعلمية عليه لاختباره والتحقق من أصالته ومصدره كدليل يمكن تقديمه لأجهزة إنفاذ وتطبيق القانون.
3. تحديد الخصائص الفريدة للدليل الرقمي.
4. إصلاح الدليل وإعادة تجميعه من المكونات المادية للكمبيوتر Hard Drive.
5. عمل نسخة أصلية من الدليل الرقمي للتأكد من عدم وجود معلومات مفقودة أثناء عملية استخلاص الدليل.
6. جمع الآثار المعلوماتية الرقمية Cyber trail digital التي قد تكون تبدلت خلال الشبكة المعلوماتية.
7. استخدام الخوارزميات Algorithm للتأكد من أن الدليل لم يتم العبث به أو تعديله( ).
8. تحريز الدليل الرقمي لإثبات أنه أصيل وموثوق به ويقع ضمن سلسلة الأدلة المقدمة في الدعوى.
9. تحديد الخصائص المميزة لكل جزء من الأدلة الرقمية مثل المستند الرقمي، البرامج، التطبيقات، الاتصالات، الصور، الأصوات، .. ,وغيرها.
وعادة ما توجد الادلة الرقمية في مخرجات الطابعة والتقارير والرسوم وفي أجهزة الكمبيوتر وملحقاتها وفي الأقراص المرنة والصلبة وأشرطة تخزين المعلومات وفي أجهزة المودم والبرامج وأجهزة التصوير ومواقع الويب والبريد الإلكتروني ولذلك تستخدم عدة طرق أو أدوات تساهم في جمع الأدلة الرقمية منها :
1. برناج أذن التفتيش Computer Scorch Warrant Program
وهو برنامج قاعدة بيانات، يسمح بإدخال كل المعلومات الهامة المطلوبة لترقيم الأدلة وتسجيل البيانات منها ويمكن لهذا البرنامج أن يصدر إيصالات باستلام الأدلة والبحث في قوائم الأدلة المضبوطة لتحديد مكان دليل معين أو تحديد ظروف ضبط هذا الدليل.
2. قرص بدء تشغيل الكمبيوتر Bootable Diskette( ):
وهو قرص يُمكن المحقق من تشغيل الكمبيوتر، إذا كان نظام التشغيل فيه محمياً بكلمة مرور ويجب أن يكون القرص مزوداً ببرنامج مضاعفة المساحة Double space فربما كان المتهم قد استخدم هذا البرنامج لمضاعفة مساحة القرص الصلب.
3. برنامج معالجة الملفات مثل X tree Pro Gold
وهو برنامج يُمكن المحقق من العثور على الملفات في أي مكان على الشبكة أو على القرص الصلب، ويستخدم لتقييم محتويات القرص الصلب الخاص بالمتهم أو الأقراص المرنة المضبوطة أو يستخدم لقراءة البرامج في صورتها الأصلية، كما يُمكن من البحث عن كلمات معينة أو عن أسماء ملفات أو غيرها.
4. برنامج النسخ مثل Lap Link
وهو برنامج يمكن تشغيله من قرص مرن ويسمح بنسخ البيانات من الكمبيوتر الخاص بالمتهم ونقلها إلى قرص آخر سواء على التوازي Parallel Port أو على التوالي Serial Port وهو برنامج مفيد للحصول على نسخة من المعلومات قبل أي محاولة لتدميرها من جانب المتهم .
5. برامج كشف الدسك مثل AMA Disk, View disk
ويمكن من خلال هذا البرنامج الحصول على محتويات القرص المرن، مهما كانت أساليب تهيئة القرص، وهذا البرنامج له نسختان، نسخة عادية خاصة بالأفراد ونسخة خاصة بالشرطة( ).
6. برامج اتصالات مثل LANtastic
وهو يستطيع ربط جهاز حاسب المحقق بجهاز حاسب المتهم لنقل ما به من معلومات وحفظها في جهاز نسخ المعلومات ثم إلى القرص الصلب. هذه هي أهم الطرق العامة لجمع الأدلة الرقمية، والتي يجب أن يقوم بها خبراء في هذا المجال نظراً لعلمية ودقة هذه الأدلة.
3. بروتوكول TCP/IP كدليل رقمي :
لفهم بروتوكول TCP/IP كدليل ينبغي معرفة كيفية عمل كل من بروتوكول TCP وبروتوكول IP وكما أشرنا من قبل فإن بروتوكول TCP/IP يعتبر من أشهر البروتوكولات المستخدمة في شبكة الإنترنت والاتصالات، فهي جزء أساسي من الإنترنت ويتكون هذا البروتوكول مما يلي :
1. بروتوكول UDP User Data gsam Protocol
2. بروتوكول TCP Transport Control Protocol
3. بروتوكول IP Internet Protocol
وتعمل هذه البروتوكولات الثلاثة معاً لنقل المعلومات الخاصة بالمستخدم طبقاً لنظام هيكلة تبادل المعلومات المعروف باسم : With O S I TCP/IP
ويقوم نظام هيكلة تبادل المعلومات طبقاً للنموذج القياسي المعتمد للأنظمة المفتوحة المعروف بنظام TCP/IP With O S I ( )، بتبادل المعلومات طبقاً للنظام التالي:
1. يقوم برتوكول TCP بتسليم مجموعة المعلومات المطلوب إرسالها أو إعادة إرسالها حينما يكون ذلك ضرورياً وبمساعدة من بروتوكول U D P المصمم لمواجهة بعض التطبيقات التي لا تستخدم TCP، ويلاحظ أن هذه التطبيقات T/CP U D P مصممة أيضاً لمواجهة المشكلات الشائعة التي قد تحدث أثناء عملية تبادل المعلومات ويشمل ذلك إخفاق الهارد ووير والمعلومات المتأخرة وازدحام الشبكات والأخطاء المتكررة أو المتتالية.
2. ولمواجهة حالات التدفق المعلوماتي الناشئ من استخدام الشبكة من قبل عدة مستخدمين وخصوصاً في حالات المشاركة في الهارد ووير أو في خط هاتفي واحد أو في وسيلة اتصال واحدة، يتم تقسيم المعلومات باستخدام طريقة Pac kets وهي طريقة من شأنها تقسيم المعلومات لمساعدة أكثر من جهاز كمبيوتر لاستخدام نفس وسيلة الاتصال أو نفس الأجهزة وتمكنها في نفس الوقت من فتح أكثر من قناة.
3. بعد تقسيم المعلومات يتم ترقيمها بنظام Port وهو نظام من شأنه التعريف بمجموعات المعلومات المقسمة والمتبادلة بين أجهزة الكمبيوتر، فتأخذ كل مجموعة رقماً معيناً يمكنها الاستدلال عليه لاحقاً والترقيم المعتمد كنموذج لصفحات الويب والإميل ومجموعات الأخبار هو 80 ، 25 ، 119 على التوالي. وعلى ذلك حينما يستقبل الملقم Server باكت برقم 25 يعرف أن هذا الباكت هو email، وإذا لم تكن الحزمة المرقمة بهذا الرقم email فإن الملقم لا يتعرف عليها ويعيدها برسالة خطأ أو يقوم بإهمالها.
4. بعد تقسيم المعلومات، يقوم بروتوكول T C P بتحقيق الاتصال بالكمبيوتر المرسل إليه يعتمد في هذا الشأن ثلاث طرق وهي باستخدام S Y N أو A C K أو كليهما معاً كالآتي:
• الأولى : يقوم الكمبيوتر المرسل بإرسال باكت S Y N وهي باكت يحتوي على معلومات مؤداها أن المرسل يرغب في فتح قناة اتصال مع المرسل إليه، وعادة يستخدم T C P مثل هذا الباكتات محفوظة في أرقام متتالية وتحت الطلب إلى كمبيوتر المرسل إليه( ).
• الثانية: يقوم كمبيوتر المرسل إليه عند استلام طلب كمبيوتر المرسل بإرجاع باكت خاص يسمى A C K وهذه اختصاراً لمصطلح Acknowledgement وهذا الباكت يحتوي أيضاً على S Y N بت B I T قادر على جعل الاتصال يتزامن في نفس الوقت).
• الثالثة : كمبيوتر المرسل يقوم بإرسال باكت يحتوي على معلومات مع A C K بت إلى كمبيوتر المرسل إليه، لتحقيق الاتصال وتلقي المعلومات.
5. وفي خلال فترة زمنية معينة، إذا لم يتسلم T C P رسالة بأن الاتصال قد تم بين المرسل والمرسل إليه، فإنه يعيد الإرسال مرة أخرى، حتى في الحالات التي يتم فقد الباكت فيها أو عدم صلاحيتها.
6. إذا ما تحقق الاتصال، يقوم T C P بالتأكد من أن الباكت قد أرسلت فعلاً إلى المرسل إليه وفي الزمن المطلوب طبقاً للمعدلات الزمنية، وأرسلت أيضاً في الشكل المطلوب وطبقاً للتعريفات الرقمية المحددة والمتعارف عليها.
7. حينما ينتهي الاتصال بين المرسل والمرسل إليه، يقوم بروتوكول T C P بإرسال باكت يفيد الانتهاء FIN (BIT).
** ولكن ما هو عمل بروتوكول I P ؟!
1. بروتوكول I P هو المسؤول الأول عن العَنْوَنة والمعلومات المرفقة، فبعد قيام T C P بتقسيم المعلومات إلى حزم معلوماتية (الباكت) يقوم بروتوكول I P بعَنْوَنة كل حزمة مع إضافة معلومات أخرى إليها لتصبح الباكت المحتوي على حزمة مع إضافة معلومات أخرى إليها لتصبح الباكت المحتوي على حزمة TCP/IP بهذا الشكل :
2. ويلاحظ أن كل كمبيوتر بالإنترنت له عنوان خاص به يسمى Addresses P وكل عنوان مكون من جزئين، الأول يشمل أرقام الشبكة Work Numbers Net والثاني يشمل أرقام مقدم الخدمة host Numbers( ).
3. ولقد اعتمد نظام لفهرسة العناوين عن طريق تقسيم العناوين إلى مستويات ثلاثة، مستوى يستطيع أن يتعامل في نطاق جغرافي معين (على مستوى المدن الأحياء، الدول ... هكذا).
4. وعلى الرغم من أن الكمبيوتر، يتعامل أفضل من الأرقام، إلا أن المستخدمين يفضلون الحروف والأسماء وحينما تكتب اسماً معيناً، كشرطة الشارقة مثلاً، فإن هذا الاسم يتحول أتوماتيكياً إلى أرقام دالة على الموقع المطلوب.
5. وحينما تصبح المعلومات جاهزة للإرسال إلى كمبيوتر المرسل إليه، فإن الحزم المعلوماتية المرقمة تمر خلال عدة طرق محددة سلفاً ويقوم برامج I P في كل طريق بتحديد المسارات التي تسلكها الحزم حتى تصل إلى الوجهة المحددة وعادة يقوم I P في كل مرة بتحديد أفضل المسارات طبقاً لزمن الشبكة وازدحامها وجهة الوصول وغيرها.
6. ويوجد برنامج يسمى Trace route يمكنه تقديم قائمة بالطرق والمسالك التي يمكن أن تسلكها الحزم المعلوماتية للوصول إلى الكمبيوتر المقصود، وعادة ما يتم إدراج هذا البرنامج ضمن نظم التشغيل الرئيسة Operating System وعادة تسلك المعلومات أو الحزم المعلوماتية نفس المسار دائماً، ما لم يتم تغيير هذا الاتجاه بتغير الأجهزة مثلاً( ).
ويعتبر هذا البرنامج برنامج Trace route ذا أهمية في الكشف الجنائي، حيث أنه يحدد بدقة أي من أجهزة الكمبيوترات التي اشتركت في نقل البيانات على الإنترنت، وتحديد مساراتها حتى وصلت إلى المرسل إليه وتحديد الملفات التي تم الولوج إليها لذلك تصبح كل المسارات بها آثار أو أدلة رقمية يمكن الاستدلال بها على نشاط الجاني، كما أنه من جهة أخرى يحدد المسار الذي أخذته المعلومة وتحديد أي اختراق أو عبور أو تجاوز خلال الإعداد للجريمة، كما أنه يستدعي أو يمكنه أن يحيط بكافة المعلومات المتعلقة بدخول أشخاص مواقع معينة وتحديد مسارات ولوجهم وخروجهم من المواقع المحددة.
ولفهم ذلك كله هناك سيناريو يمكن تخيله، لنفترض أنك تريد أن تنشئ شبكة داخلية، بينك وبين أصدقائك وجيرانك لذلك ستعمل على اتخاذ الخطوات التالية :
?أ- يتم توصيل كافة أجهزة الكمبيوتر الخاصة بجيرانك المستهدفين ببعضها البعض وتستخدم المودم Modem للربط بينهم جميعاً.
?ب- حينما تريد توصيل شبكتك بالشبكة العالمية للمعلومات لا بد أن تحصل على عنوان لك لذلك سوف تحاول الحصول على عنوان من إحدى المنظمات المتخصصة التي تمنح عناوين وبعد ذلك تخصص عناوين لمستخدمي شبكتك من خلال عنوانك الرئيس الممنوح لك وتحتفظ ببعض العناوين الأخرى.
?ج- مسار دخول أو ولوج شبكتك إلى الشبكة سواء قام به أصدقاؤك أو جيرانك أو قمت بها أنت، سوف يتم من خلال طريق أو مسار واحد عن طريق العنوان الممنوح لك في بداية إنشاء شبكتك ويترتب على ذلك :
1. تصبح أنت مزوداً للخدمة بالنسبة لجارك أو صديقك المتصل بالشبكة الخاصة بك.
2. تستطيع لذلك مراقبة تحركات صديقك أو جارك على الشبكة في كل زمان ومكان كما يمكنك نسخ هذه التحركات والاحتفاظ بها لاستخدامها عند اللزوم.
3. معظم المعلومات التي أرسلها الجار أو الصديق خلال الإنترنت هي معلومات صادرة منه أو من جهازه تحمل قرينة قضائية بحيث لا يمكن إنكار صدوره منها.
?د- ولاستكمال السيناريو، نفترض أن موقعك أصبح معروفاً ولذلك لم يعد لديك عناوين IP كافية لتلبية احتياجات الاتصال للمتسخدم، لذلك يتم حل هذه المشكلة عن طريق إعطاء عنوان IP بتفرد خاص بكل مستخدم، بحيث يقوم هذا المستخدم في كل مرة بطلب الاتصال بالإنترنت بالتوقيع بهذا العنوان المخصص له ويلاحظ أن هذه العناوين IP المميزة لكل مستخدم وهي الأسلوب الشائع الآن لمزودي الخدمة( ).
لذلك فإن البحث الجنائي يمكنه بهذه الوسيلة (الرقم المميز الشخصي لعنوان IP لكل مستخدم) أن يحدد من هو المستخدم (طبقاً لسجلات اعتماد توصيل الخدمة من مزود الخدمة للمستخدم أو عند الاشتراك في الخدمة) وتحديد زمن الاستخدام الفعلي ووقت الاستخدام الحقيقي والمواقع التي قام بالولوج فيها ومدة المكوث داخل كل موقع، والطرق أو المسالك عبر الشبكة منذ لحظة الدخول وحتى لحظة الخروج من الموقع، وعادة يتم حفظ كل ذلك لدى مزود الخدمة ولفترة زمنية تحدد طبقاً لكل مزود( ).
ومن هنا، تبدو من الأهمية للبحث والتحقيق الجنائي، سرعة الإبلاغ عن الجرائم التي يستخدم فيها الكمبيوتر، حيث يمكن إذا تم الإبلاغ في الفترة المسموح فيها بالاحتفاظ بتاريخ التحركات لدى مزود الخدمة، العثور على الدليل المستهدف من تحريات الشرطة.
ويثور في البحث الجنائي الرقمي صعوبة، عند قيام بعض مزودي الخدمة بإعطاء عناوين غير ثابتة للمستخدمين أو ما يعرف باسم Dynamic IP Address، فكيف يمكن الاستدلال على شخص المستخدم؟!
الواقع أنه يمكن التفرقة بين كل من العناوين المحددة أو المميزة أو الثابتة لكل مستخدم والتي تعرف باسم Static IP Address والعناوين غير الثابتة أو غير المحددة لشخص أو ما يعرف باسم Dynamic IP Address. حيث تعرف الأولى بأنها العناوين المحددة لكل مستخدم ويتم استخدامها في كل مرة يتم فيها الولوج للإنترنت، بينما الثانية هي عناوين غير محددة، فكل مرة يتم الاتصال فيها بالإنترنت يتم التوقيع بعنوان جديد فيما يعمد مزود الخدمة لمواجهة تدفقات الاستخدام الطارئ للشبكة من قبل أشخاص لا يريد مزود الخدمة تثبيت رقم محدد لعناوينهم ويمكن الاستدلال على هذا العنوان الديناميكي من خلال وجود كلمة PPP أو كلمة Dial أو يحتوي على أرقام مثل e.g. Czo52. cyberia.com وهذه الأرقام عادة جزء من ديناميكية العنوان ويمكن أن يستدل منها على جهة معينة أو منطقة جغرافية محددة. ويمكن القول بأنه إذا كان المستخدم يقوم بالاتصال عن طريق الخط الهاتفي (المودم) فإن عنوان بروتوكول الإنترنت يتم تحديده ديناميكياً في كل مرة اتصال بينما إذا استخدم تقنية ADSL فإن تحديد عنوان بروتوكول الإنترنت يكون ثابتاً لا يتغير وجميع هذه العناوين سواء أكانت ديناميكية أو ثابتة يتم تحديدها وفق سلسلة معينة من الأرقام من قبل مزود الخدمة.
هذه العناوين الديناميكية يمكن أن تشكل صعوبة لتحديد شخص مستخدم عنوان IP الديناميكي في الوقت المحدد، ولكن لحسن الحظ، أن مسارات ومعلومات الولوج يتم الاحتفاظ بها لبعض الوقت وعن طريقها يمكن الاستدلال عن شخص المستخدم أو تضييق دائرة البحث الجنائي.
ويلاحظ أن هناك بروتوكولات خاصة بالتوقيع الرقمي باستخدام عناوين IP، حيث تستخدم بعض الشبكات بروتوكولاً يسمى Dynamic Host Configuration Protocol (DHCP).
وهذه البروتوكولات تستخدم سواء للتوقيع بعناوين محددة أو ديناميكية ووظيفة هذه البروتوكولات منع الكمبيوتر من استخدام عناوين IP خاطئة، ويحدث هذاالخطأ فيما يعمد بعض الأشخاص لتشغيل الكمبيوتر الخاص بهم باستخدام عنوان IP مختلف وذلك لإخفاء تحركاتهم، كما يحدث الخطأ أيضاً
[/align]
رد مع اقتباس
المفضلات