数字取证:从基础到高级

尽管数字化已经彻底改变了商业格局，但它也带来了网络欺诈、网络钓鱼攻击和其他数据泄露等威胁。据Statista记录，自2006年以来，数据泄露每年都在增加。2018年曝光的记录约为4.46亿条，而2006年为1900万条。

任何依靠技术进步发展起来的企业都不可能免于网络犯罪。因此，数字取证和调查的需求变得至关重要，因为它可以帮助取证专家根据对数字设备的分析收集证据。

什么是数字取证?

数字取证是法医科学的一个分支，涉及识别、收集、分析和记录在数字设备上发现的信息，这些信息可以作为法庭上关于网络犯罪的证据。

数字取证调查员通常被咨询调查涉及互联网和数字设备(如电脑和移动电话)的犯罪。这些专业人员使用数字取证从设备和电子邮件中提取数据，访问加密或隐藏的数据，组织证据文件以供参考，并防止数据篡改。

数字取证可分为以下几类:

• 计算机取证法医科学的一个分支，研究鉴定、分析、收集和报告在笔记本电脑、计算机和用于调查的存储设备中发现的证据。
• 移动设备取证:它是数字取证的一个分支，涉及从移动设备中提取数字证据，即智能手机，游戏设备，GPS设备，平板电脑等。
• 内存取证它分析计算机内存(RAM)，以识别和调查高级攻击。
• 网络取证:它是数字取证的一个分支，与监控、识别和分析网络活动/事件有关，用于定位安全攻击的来源。
• 数字图像取证这是一个新的研究领域，旨在分析和验证数字图像的有效性(通常使用元数据)。
• 视频/音频取证它与调查数字声音和视频记录以确定其真实性有关。
• 电子邮件取证电子邮件取证是分析电子邮件内容以收集证据的实践。它调查与电子邮件有关的犯罪，如网络钓鱼攻击、数据泄露等。

为什么数字取证很重要?

”科技已经触及了几乎所有的事情，计算机取证正迅速成为日常调查过程的一部分。从一个执法从角度来看，今天很难找到一个与计算机技术无关的案例。”

-布莱恩Scavotto(加州NU大学计算机取证专家和讲师)

数据泄露和其他网络攻击在过去几年里成倍增加，不仅是在事件数量上，而且涉及的成本也在增加(通常是数百万美元)。因此，只有有远见的公司采取必要的措施来减轻这些风险才是明智的。此外，投资数字取证可以帮助他们调查正在进行的潜在欺诈行为，并在损害已经发生的情况下逮捕罪犯。以下是组织需要使用数字取证的一些重要原因:

• 方便法律程序

如果一家公司发生了数据泄露事件，无论是由外部人员还是内部人员造成的，事件发生的“故事”在法庭上都没有什么意义。法律程序只接受事实和数据，这些事实和数据只能在专业和可信的数字取证程序的帮助下产生。法医调查人员使用专门的程序和数字取证工具以原始的未篡改形式收集证据。这些证据可以用来果断地破案。

• 这在财务上是合理的

数字取证可以帮助组织节省资金。例如，公司的数据泄露可能会危及具有相当大战略或财务价值的敏感业务记录。借助经过认证和测试的取证工具，公司可以评估攻击的根本原因和确切影响。它可以分离出受影响的记录和法医证据，并将它们排成一列，以进行法律诉讼，要求赔偿损失。此外，在经过认证的取证解决方案的帮助下，组织可以更精确地估计经济损失。

• 它可以降低法律成本，简化诉讼程序

2019年数据泄露成本报告由IBM告知全球数据泄露的平均成本是392万美元。在美国，数据泄露的平均成本为800万美元，是全球最高的。

数据泄露的根本原因和威胁因素可能多种多样。然而，他们大多要求组织赔偿损失。一个可以系统地分析违规根本原因并收集证据的解决方案可以帮助组织避免法律诉讼和监管机构施加的巨额处罚。此外，法医保存数据可以帮助它在法庭上证明无罪或减少损害的程度。

• 强大的数据安全和熟悉数字取证是时间的需要

随着时间的流逝，我们变得越来越依赖数据。对于组织来说，这种变化在规模上甚至更为显著。这意味着那些未能为其数据库和网络建立保护机制的人将失去关键的商业信息，甚至可能在资金和信誉方面面临无法克服的损失。为了适应不断变化的时代并为未来做好准备，领先的公司需要熟悉数据安全和数字取证的最新趋势。他们还需要升级公司安全，为最严重的灾难做好准备。这是他们为了公司的发展和维持市场生存能力所能做的最起码的事情。

数字取证在法律调查中使用的真实案例

数字取证在全球范围内帮助解决了无数大大小小的案件。其中一些如下:

• 罗斯康普敦(美国俄亥俄州)-起搏器数据导致定罪

来自俄亥俄州米德尔敦的59岁男子罗斯·康普顿被指控犯有保险欺诈和严重纵火罪。他声称，当他看到自己的房子着火时，他收拾了一些东西跑了出去。康普顿说他有心脏起搏器。因此，警方将他拘留调查。运用数字取证技术，他们能够收集数据

康普顿在火灾前后用起搏器测得的心率和心律。后来，一位心脏病专家断言，根据这些数据和康普顿的身体状况，他不太可能在这么短的时间内从家里收集、打包和携带这些东西。有了这一关键信息，警方得以证明康普顿犯有保险欺诈罪。

• 张晓朗(美国)——苹果员工窃取商业机密，被及时查获

2019年，苹果自动驾驶汽车部门(电气工程)员工张晓朗因窃取公司商业机密被FBI逮捕。

在苹果工作了两年半后，张突然辞职，理由是他想回到自己的祖国中国，照顾年迈的母亲。他还提到，他将加入中国的一家电动汽车制造商。这一突然的声明，再加上他可能加入竞争对手的公司，使经理起了疑心。因此，公司的安全团队发起了调查，并在他在公司的最后几天发现了可疑的在线活动。他从公司的数据库中下载了大量的信息，主要是2000多个文件，其中包括公司的专有原理图、手册、图表等。这件事被立即移交给了联邦调查局，在他准备前往中国的前一天，联邦调查局逮捕了他。

• Krenar Lusha(德比郡，英格兰)-恐怖分子被关进监狱，由于他的网上活动
  

30岁的寻求庇护者Krenar Lusha在德比的一家工厂非法工作，在10项与恐怖主义有关的指控中被判5项罪名成立。英国计算机鉴证专家扫描了他的笔记本电脑，发现里面有泄密文件《炸弹书》和《拉格雷管》等。调查人员还发现了下载的制作自杀腰带和其他类型爆炸物的说明。有趣的是，Lusha在下载真主党有关炸弹的视频时被警方逮捕。

如何进行电子邮件取证调查?

电子邮件取证调查员使用各种技术来获取和处理数字证据。例如，他们可能使用专门的软件扫描特定关键字的数据，记录重要文件的正确日期和时间，以及IP地址、远程服务器的MAC地址和参与犯罪的计算机等位置细节。他们还与法律部门密切合作，确保调查工作依法进行。

使用第三方电子邮件取证软件

恒星电子邮件取证是高级的eDiscovery和邮件调查软件分析和调查了各种电子邮件客户端、电子邮件服务(如Exchange, Office 365, GroupWise Server，谷歌邮件，笔记等)，并以100%的准确性备份电子邮件文件。

恒星电子邮件取证允许恢复已删除的邮箱超过25种文件格式，包括教育局，太平洋标准时间， ost, dbx, nsf, mbox, olm, tbb, eml等，通过单一接口实现。此外，该软件支持粒度级别的调查，这意味着，布尔和正则表达式搜索只需点击几下即可完成。这个工具的另一个伟大的特性是它允许病例管理在刑事调查期间，通过标记，书签和日志管理。

此工具生成自定义的诉讼报告;因此，它以法律上可接受的格式保存证据。在法庭上提供证据，批量邮件取证也是必需的，这是该产品的高级特性之一(因为网络攻击的后遗症很有可能大规模传播)。

恒星电子邮件取证是一个先进的电子邮件取证软件证据被保存在MD5和SHA1哈希值同时提取和分析数据。除此之外，这个软件适用于删除邮件恢复。这个软件有60天的试用期。