الخطوات التفصيلية التي يجب على المحقق الجنائي الرقمي اتباعها في مسرح الجريمة الالكترونية مع توضيح الأساليب المستخدمة في جمع الأدلة الجنائية واستخراجها من أجهزة المتهمين وذكر لبعض لأدوات والمعدات لهذه المهمة.

 

قبل أسبوع من الآن, كنت أعمل على بحث مطالب به لمادة التحقيق الجنائي الرقمي, حيث السؤال المطروح كان كالتالي:

لنفترض بأن جريمة وقعت في مكان ما, وقام أفراد الشرطة بإستدعاك بحكم وجود جهاز كمبيوتر في مسرح الجريمة, ومن المتوقع وجود إثباتات تدلنا على مرتكب الجريمة, ماهي الطريقة المثلى لفحص الجهاز بالتفصيل شارحاً الخطوات التي يجب تجنبها ولماذا.

دائماً نظن بأن عملية فحص الكمبيوتر للبحث عن الأدلة عبارة عن عملية سهلة ولكن في الحقيقة هي ليس كذلك وتحتاج لخطوات مطولة, إليكم تفاصيلها كالتالي:

بدايةً التحقيق الجنائي الرقمي أداة مهمة لإستخراج الأدلة في هذا الزمان, لأن المحقق الجنائي يكتشف ويستخرج ويسجل الدليل الحاسوبي. حيث يمكن إستخدامه من قبل الحكومات, الجيوش, الشركات التقنية والبنوك… الخ. في هذه القضية لابد من فحص حاسوب الضحية لأنه قد يحتوي على بيانات مهمة قد تدلنا على المجرم مباشرةً, كالصور,المحادثات المسجلة,البريد الالكتروني وخلافه, التي قد تقدم في المحكمة كدليل ضد المذنب. فالإجراء المتخذ في مثل هذا النوع من القضايا يبدأ بالإستعداد بدراسة المعلومات المبدئية المقدمة عن القضية قبل التحقيق بعد ذلك يبدأ التحقيق وتحصيل الأدلة من مسرح الجريمة, وأخيراً التحقيق بشكل مفصل وإستخراج الأدلة الإلكترونية في المختبر الخاص بالمحقق الجنائي الرقمي…

مبدئياً وقبل الذهاب إلى مسرح الجريمة ومن البيانات التي لدينا يظهر لنا بأنه متوقع جداً بأنه قد تكون هناك معلومات مهمة عن عملية القتل في بريد الضحية , المواقع التي زارها, أو أي سجلات محادثة متوفرة مثل: إم إس إن, ياهو ,آي سي كيو, … الخ التي قد تساعد في حل هذه القضية. لا ننسى فحص أي مستندات او اي قصاصات ورقية تحتوي على ملاحظات أو ربما أصابع الذاكرة USB أو أقراص خارجية الموجودة في مسرح الجريمة التي قد تساعد عملية التحقيق. والأهم من ذلك كله يجب على المحقق الجنائي كتابة كل شيء يحدث له سواء كان في مسرح الجريمة أو في المعمل, لأنه في بعض الأحيان وفي بعض القضايا تأخذ سنين لحلها وهذه المذكرات التي يسجلها المحقق قد تذكره لاحقاً اذا أمر بالتحدث للمحكمة أو خلافه.

الآن وبعد الوصول لمسرح الجريمة, على المحقق حماية المنطقة التي يعمل عليها بأي حواجز تمنع دخول أي أحد لمنطقة عمله والعبث بالدليل, ويجب عليه عدم لمس أي شيء في مسرح الجريمة إلا المنطقة المكلف له بالتحقيق فيها, لأن لمس أي شيء او ربما مجرد تحريك طاولة قد يعرقل عملية التحقيق على المحققين الآخرين في القضية. حسناً , بعد ذلك يجب على المحقق أن يقوم بعملية لصق طوابع على جميع الأسلاك الموصولة بالحاسب أو اللابتوب وتسجيل ذلك على الطابعة, فعلى سبيل المثال يكتب على الطابع الملصق على سلك الفأرة ” سلك الفأرة ” . وبعد ذلك يجب عليه أن يصور الحاسب من كل جهة والمكان الموضوع فيه . لماذا؟ حتى في حال لو أردنا تشغيل الحاسب مره أخرى يجب أن يكون في نفس الوضعية التي كان بها وبنفس التوصيل.

 

بعد أن يتم ذلك يبدأ في البحث بجواره الحاسب عن اي ملاحظات على قصاصات ورقية التي قد تحتوي على بيانات مهمة مثل كلمة مرور أو أي شيء يفيدنا, لأن الحصول على مثل هذه المعلومات قد يساعد في تقصير مدة التحقيق على حساب عمليات كسر كلمة المرور وتخطيها في المختبر. الآن وبعد أن يتم جميع ما سبق يجب على المحقق فحص الحاسب, فإذا كان الحاسب مغلق لن يقوم بتشغيله ابداً ! لأن فعل ذلك سوف يحدث سجلات النظام بآخر موعد تشغيل وهذا سوف يفسد علينا القضية بأكملها !, ونفس الحال لو كان النظام يعمل فلن نقوم بإغلاقه ! لإن إغلاقه سوف يحدث سجلات النظام وننتهي في نفس المطاف! فيجب علينا التأكد من وضع الحاسب على سبيل المثال إذا كان محمول عن طريق الإشارات الضوئية للبطارية والهاردسك ووضع التشغيل, فلو كانت تومض وتدل على أن الحاسب يعمل وفي وضع الإستعداد على سبيل المثال فلن نتمكن من تشغيله ويجب على المحقق أن يقوم بنزع البطارية من الجهاز وبعد ذلك فصل سلك الشاحن من نفس الجهاز, لكن لو كان الجهاز يعمل والشاشة على سطح مكتب النظام فالوضع هنا مختلف, حينها يجب على المحقق أن يأخذ صورة للشاشة بإستخدام الكاميرا التي معه, ويدون جميع التطبيقات التي تعمل أمامه , حتى إذا كانت شاشة توقف أو شاشة تطلب تسجيل كلمة المرور يجب عليه تدوين ذلك !

 

لنفترض بأن في الشاشة لدينا مطلوب أن ندخل كلمة مرور.. في هذه الحالة لا نقوم بأي عملية تخمين بل نقوم بسحب سلك الكهرباء الموصل إلى الحاسب وأخذه إلى المختبر, لكن في حال النظام كان يعمل بشكل طبيعي فهنا يجب أن نستمر , على المحقق أن يفعل شيئان فقط لا غير:

  1. إستخدام برنامج مثل COFEE , لإستخراج كافة السجلات الخاصة بالنظام عن طريق USB.
  2. أخذ صورة للذاكرة المؤقتة عن طريق عملية crash dump على سبيل المثال أو بإستخدام برنامج مثل LiveKd أو ربما ملفات عملية الإسبات .

على المحقق عدم العبث والدخول على أي ملف أو البحث في النظام بأي طريقة لأن فعل ذلك سوف يحدث السجلات الخاصة بالملفات والمجلدات وإضعاف الحاسب كدليل في المحكمة. بعد ذلك يجب على المحقق أن يفصل سلك الكهرباء عن الحاسب وتجهيزه للنقل إلى المختبر, مع التأكد بأن جميع الأسلاك الموصولة يوجد طابع عليها لتذكرينا بها وبمكانها بالتحديد.

جميع ماسوف يتم جمعه يجب أن يحفظ في أكياس خاصة ترجمتها الحرفية ” أكياس الدليل – أو حافظة الدليل ” حيث يوضع داخلها كل ما يمكن جمعه من أقراص ليزرية , أصابع ذاكرة USB, … الخ. ويجب التعامل مع كل كيس كأنه ” قابل للكسر ” أي بحذر شديد لأن بدون الدليل لا يوجد لدينا أي قضية. أي جهاز إلكتروني يجب أن يحفظ في أكياس خاصة مضادة للشحنات الساكنة لتجنب إتلافها من قبل المصادر المغناطيسية.

 

حيث يجب أن يكون على الكيس مثل المسودة يتم تسجيل فيها مثلاً الشركة المصنعة والموديل و الرقم التسلسلي ويجب أن تكون هذه المسودة دوماً مع هذا الكيس. وايضاً مسودة أخرى تختص بمن أستلم الدليل ” أي عملية الإستلام والتسليم والنقل ” حيث يتم تسجيل فيها كل شخص أخذ الدليل إلى حين وصولها للمحكمة, يتم تسجيل في هذه المسودة من أخذ الدليل, متى , وماهو الدليل , وأين , وكيف ولماذا ! وهذه المسودة يجب ايضاً ان تكون دوماً برفقة الدليل داخل الكيس !.

الآن وبعد أن تمت عملية جمع الأدلة من مسرح الجريمة وكل الأدلة المطلوبة موجودة لدينا في المختبر, يجب على المحقق إنشاء نسخة من الأدلة التي سوف يعمل عليها, لتجنب أي ضرر ممكن أن يحصل للدليل الأصلي من عملية التحقيق حيث الدليل الأصلي يجب أن يحفظ بعيداً لحين إستخدامه في المحكمة, وهذه الخطوة تعتبر خطوة مهمة حيث ليس من المعقول العمل على النسخة الأصلية من الدليل. ويجب على المحقق التأكد من النسخة المصنوعة من الدليل طبق الأصل تماماً ! ولعمل ذلك يجب علينا إخراج الدليل من الحافظة ( في حالتنا الدليل هو الحاسب ) ويجب علينا فك الحاسب مع تصويره وتدوين جميع ما يحدث قبل وبعد فكه لإستخراج القرص الصلب منه في سبيل عمل نسخة منه أو بالأصح نسختين, النسخة الأولى مكتبية حيث يتم العودة لها في حال حصول أي ضرر للنسخة الأخرى ألا وهي نسخة العمل (هذا لايعني الإهمال لكن مجرد احتياط) مع التأكد بأن النسخة المأخوذة للقرص الصلب نظيفة جنائياً (بدون فيروسات – بدون ملفات تجسس – … الخ) وفي خلال عملية النسخ يجب علينا إستخدام جهاز (مانع الكتابة – Write Blocker) لتجنب كتابة أي بيانات على القرص الصلب الأصلي, حيث يفضل إستخدام نسخة عتادية منه وليس مجرد برنامج.

 

وللتأكد بأن النسخة المأخوذة مطابقة للنسخة الأصلية يجب على المحقق إستخدام طريقة أكواد التشفير ( مثل: md5- sha – …) حيث تكون للصورة المأخوذة من النسخة كاملة ويتم مقارنتها بالقرص الصلب الأصلي. (يفضل عمل نسخ من نوع bit-stream حتى يمكننا إستعادة الملفات المحذوفة لو أضطررنا فعل ذلك)

بعد أن تتم عملية نسخ القرص الصلب والتأكد بأن النسخة مطابقة يستطيع المحقق البدء في استكشاف ملفات القرص الصلب براحة تامة , دون القلق من إتلاف الدليل أو أي سبب آخر يمنعنا من إستخدام القرص الأصلي.

في النهاية, أو أن أذكر الجميع بأن هذه الطريقة قد تختلف قليلاً لأنه في بعض الأحيان قد لا نحتاج لجلب جهاز الضحية إلى المختبر ويتم العمل عليه في مسرح الجريمة مباشرة على حسب أهمية القضية , ومع التنبه بأن في بعض القضايا يتم مسح كافة محتويات القرص الصلب بكبسة زر واحدة إذا لم يكن المحقق متيقظ لذلك ! .

نقطة أخيرة, التحقيقالأمن الجنائي الرقمي ليس فقط لإستخراج الأدلة من حواسيب المشتبه بهم أو الضحايا, بل هناك قضايا آخرى مثل التهديدات الإلكترونية, النصب والإحتيال عن طريق الإنترنت, البرامج المقرصنة, الفيروسات والباكدورات, قضايا الإختراق والتهكير … الخ

المصادر:

عن الكاتب:


ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn