فارنزیک چیست؟ کاربرد فارنزیک در امنیت سایبری

فارنزیک

فارنزیک چیست؟ همه‌چیز درباره جرم شناسی رایانه

تصور کنید مدیر امنیت سازمانی هستید که اطلاعات مهم و حیاتی زیادی دارد که حفاظت از آن‌ها، مهم‌ترین مسئولیت شما است. در چنین شرایطی چه می‌کنید؟ مطمئنا اولین کاری که انجام می‌دهید، اندیشیدن تدابیر امنیتی لازم برای حفاظت از این اطلاعات است. اما در نهایت، با وجود تمام راهکارهای پیشگیرانه ای که اعمال کرده‌اید، باز هم ممکن است سیستم شما مورد نفوذ قرار بگیرد زیرا همان‌طور که می‌دانید، حتی معروف‌ترین سیستم‌ها و شبکه‌ها نیز از حملات هکرها در امان نیستند. حالا اگر بر اثر یکی از این حمله‌ها، بخشی از اطلاعات مهم خود را از دست دادید، چه باید بکنید؟

حالا می‌توانیم سراغ معنی کلمه Forensic برویم. فارنزیک همان چیزی است که در شرایط بالا به شما کمک می‌کند تا بتوانید مدارک و شواهد موجود را شناسایی کنید و با ارائه آن‌ها به دادگاه، برای بازیابی اطلاعات از دست رفته یا لو رفته خود تلاش و مجرم را شناسایی کنید. در واقع منظور از فارنزیک، تمام اقدامات تحلیلی و تحقیقی است که توسط آن‌ها، مدارک معتبر قابل ارائه به دادگاه را جمع‌آوری می‌کنید تا بفهمید که چه کسی سیستم شما را مورد حمله قرار داده است.

در گذشته، مدارک رایانه‌ای و غیر رایانه‌ای از لحاظ اعتبار برای دادگاه تفاوتی نداشتند اما پس از مدتی، معلوم شد که مدارک رایانه‌ای به سادگی قابل تغییر هستند؛ به همین دلیل، اثبات جرم از طریق این مدارک سخت‌تر شد. برای همین، کارشناسان جرم شناسی رایانه باید در پیدا کردن و نگهداری این مدارک، دقت بیشتری به خرج دهند.

از دیگر چالش‌های محققان فارنزیک، می‌توان به سرعت، ناشناس ماندن و شواهد طبیعی زودگذر اشاره کرد که از ماهیت ذاتی رایانه و وابستگی جرایم رایانه ای به آن سرچشمه می‌گیرد.

محقق فارنزیک به شخصی گفته می‌شود که باید فرایند جرم شناسی رایانه را اجرا کند. این فرایند از ابتدای ورود محقق به صحنه جرم آغاز می‌شود، با تجزیه و تحلیل اطلاعات به دست آمده ادامه پیدا می‌کند و با مستندسازی شواهد و آماده‌سازی آن‌ها برای ارسال به دادگاه، پایان می‌یابد.

شواهدی که در بحث جرم‌شناسی رایانه با آن‌ها سر و کار داریم، به قدری حساس‌اند که ممکن است در صورت کار کردن یک فرد بی‌تجربه با آن‌ها، به راحتی از بین بروند. پس بسیار مهم است کسی که به عنوان محقق فارنزیک، در حال تحقیق و بررسی یک جرم سایبری است، بداند چطور باید با صحنه جرم برخورد کند. برای مثال، اولین شخصی که به صحنه جرم وارد می‌شود و اصطلاحاً (First Responder) نامیده می‌شود، باید به این قانون مهم واقف باشد که می‌گوید:

“اگر سیستمی که از طریق آن جرم واقع شده و یا روی آن جرمی صورت گرفته است، روشن بود، نباید خاموش شود و اگر خاموش بود، نباید روشن شود.

این به این دلیل است که برخی شواهد به صورت موقت در سیستم قرار دارند و در صورت خاموش شدن یا راه‌اندازی مجدد سیستم، ممکن است به سرعت حذف شوند.

علاوه بر آن، محقق فارنزیک می‌بایست به هر نحوی که می‌تواند، از ورود بدافزارها به سیستم قربانی جلوگیری کند چراکه در صورت ورود بدافزار به سیستم قربانی، امکان تخریب و از بین رفتن شواهد وجود دارد.

همچنین محقق باید در گردآوری شواهد، نهایت دقت را به خرج دهد و تمام استانداردها را رعایت کند.

یک محقق فارنزیک کیست و چه وظایفی به عهده دارد؟

مراحل تحقیق و بررسی

شواهد و مدارک، ارزشمندترین دارایی ما در مراحل تحقیق و بررسی Forensic می‌باشند پس کاملا واضح است که حفاظت از این شواهد و مدارک، مهم‌ترین بخش از فرایند تحقیق و بررسی است. حالا تصور کنید که یک محقق جرم شناسی رایانه هستید و به عنوان First Responder وارد صحنه جرم شده‌اید. چه کاری باید انجام دهید؟ تحقیق و بررسی جرایم رایانه‌ای، استانداردهایی دارد که باید طبق مراحل زیر انجام شوند:

  • شناسایی جرم رایانه‌ای
  • جمع‌آوری شواهد ابتدایی
  • ضبط تمامی شواهد در صحنه جرم
  • انتقال شواهد به آزمایشگاه Forensic
  • ایجاد دو نسخه کپی از شواهد
  • ذخیره‌سازی شواهد در یک محل امن
  • تحلیل اطلاعات
  • آماده کردن یک گزارش forensic
  • در صورت لزوم، حضور در دادگاه

چند قانون مهم در تحقیقات forensic

  • فرآیند بازرسی از شواهد اصلی را کمینه کنید
  • شواهد را دنبال کنید
  • هیچ تغییری در شواهد ندهید
  • از شواهد حفاظت کنید
  • از سطح دانش خود فراتر نروید چراکه ممکن است به شواهد آسیب بزنید
  • تمامی تغییرات در شواهد را مستند سازی کنید

چطور یک محقق Forensic شویم؟

منابع زیادی وجود دارد که می‌تواند دانش جرم شناسی را در اختیار شما بگذارد. در این خصوص هم کتاب‌های ارزشمندی وجود دارد و هم دوره‌های معتبری که بتوانید در آن‌ها شرکت کنید. یکی از معروف‌ترین دوره‌هایی که در این زمینه برگزار می‌شود، دوره CHFI یا Computer Hacking Forensic Investigator می باشد که اختصاصا به مفاهیم forensic و نحوه انجام آن می‌پردازد. البته نباید انتظار داشته باشید که بعد از خواندن این کتاب‌ها یا دوره‌ها، تبدیل به یک محقق حرفه‌ای خواهید شد و برای این کار، لازم است که در این زمینه تجربه کسب کنید چراکه در این گونه مشاغل، تجربه حرف اول را می‌زند.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *