Заметка Чеда Баутина (Chad Boutin) была опубликована в новостном разделе сайта NIST 12 декабря 2017 года.
Фото: Hanacek/NIST, Brian A Jackson/Shutterstock
Данные, обнаруженные на компьютере подозреваемого, его сотовом телефоне или планшете, могут оказаться ключевым доказательством в судебном деле. Новый набор программных инструментов, разработанный Национальным институтом стандартов и технологий (NIST), нацелен на обеспечение того, чтобы такие электронные доказательства были приняты судом.
Пакет программ, в совокупности известных как «Интегрированные инструменты тестирования» (federated testing tools, https://www.cftt.nist.gov/federated-testing.html ), призван помочь правоохранительным органам и специалистам в области электронной судебно-криминалистической экспертизы на критически-важно первичном этапе сбора доказательств - этапе создания копии данных, содержащихся на захваченном электронном устройстве. Поскольку вина или невиновность подозреваемого могут висеть на волоске, то как обвинение, так и защита должны согласиться с тем, что процесс электронной судебной экспертизы (digital forensic process) не внес в данные каких-либо незамеченных ошибок, и что использованные в рамках экспертизы методы работают в соответствии с ожиданиями.
Ввиду быстрых перемен в электронно-цифровом ландшафте, в котором обитаем мы и наши устройства, извлечение и копирование данных - это рискованный процесс. Для практиков создают проблемы всевозможные различия в данных и форматах между устройствами, возникающие как из-за огромного числа различных производителей, так и из-за частых обновлений программного обеспечения, распространяемых для различным марок и моделей устройств.
«Трудно идти в ногу с этими изменениями», - говорит Барбара Гутман (Barbara Guttman), одна из разработчиков в проекте NIST «Тестирование инструментов электронной судебной экспертизы» (Computer Forensics Tool Testing, https://www.cftt.nist.gov/ ). «Вас вряд ли устраивает риски того, что Ваше программное обеспечение для копирования даст сбой при попытке получить критически-важные для дела данные с какого-то нового компьютера. Мы создали эти инструменты для того, чтобы помочь обеспечить эффективную и прозрачную работу программного обеспечения».
Интегрированные инструменты тестирования позволяют компетентным органам заранее протестировать своё программное обеспечение, используемое в ходе электронной судебно-криминалистической экспертизы, и убедиться, что оно не подведет их, когда принадлежащий подозреваемому персональный компьютер, носитель или устройство попадут в криминалистическую лабораторию. Гутман описывает пакет программ NIST как сочетание трёх ключевых инструментов для сбора и сохранения доказательств, каждый из которых касается одного из аспектов процесса копирования.
Один из инструментов тестирует программное обеспечение для копирования компьютерных дисков, другой - программное обеспечение для извлечения данных из мобильных устройств. Эти два протокола тестирования были доступны и ранее, но теперь пакет дополнен новым третьим тестом для «блокировщиков записи», которые являются своего рода односторонним клапаном в процессе использования программного обеспечения для копирования данных. Эффективный блокировщик пропускает поток данные только с захваченного устройства на копирующий компьютер, но не наоборот. По словам Гутман, последующие обновления пакета будут связаны с поддержкой дополнительных функциональных возможностей, используемых в рамках судебной экспертизы.
Пакет программ представляет собой свободно доступный файл Linux, который любой может скачать (со страницы по адресу https://www.cftt.nist.gov/federated-testing.html ) и записать на чистый CD-диск. Этот диск может быть использован для загрузки рабочей станции и для тестирования своих инструментов копирования с помощью удобного интерфейса.
Программное обеспечение NIST также позволяет различным криминалистическим лабораториям обмениваться результатами своих тестов друг с другом, с тем, чтобы они могли разделить бремя изучения того, насколько хорошо метод копирования работает на конкретной платформе и операционной системе. При работе программного обеспечения NIST формируется отчет, и различные организации могут делиться этими отчетами друг с другом или с внешним миром, информируя о том, обнаружили ли они аномалии во время тестирования или нет.
«Объединение этих прослеживаемых результатов будет означать меньшую нагрузку для любой конкретной лаборатории или организации», - говорит Гутман. «Мы не требуем, чтобы они делились результатами тестов, но прилив должен поднимать все лодки».
Гутман предупредила, что применение инструментария не будут гарантировать безупречность процесса копирования или электронной судебно-криминалистической экспертизы в целом, - а лишь обеспечит четкую видимость для всех результатов проделанной работы.
«Доказательства не обязательно должны быть полными и совершенными, чтобы быть допустимыми в ходе судебного процесса», - говорит она. «Ключевым моментом здесь является то, что копирование не вносит ошибок в данные, которые никто не может обнаружить».
Интерес к интегрированным инструментам тестирования проявляют не только правоохранительные органы, добавила Гутман. Любая организация, которая проводит электронную судебную экспертизу, - например, фирмы, специализирующиеся на вопросах гражданского права и корпоративные службы безопасности, - может найти применение для данного пакета тестирования.
Чед Баутин (Chad Boutin)
Мой комментарий: Как мне кажется, электронные архивисты и специалисты по управлению электронными документами пока что недостаточно обращают внимание на опыт коллег, занимающихся электронной судебной экспертизой. А ведь и те, и другие решают, по сути дела, одну и ту же задачу – обеспечить целостность, аутентичность и сохранность (и, соответственно, юридическую значимость) электронных доказательств.
Источник: сайт NIST
https://www.nist.gov/news-events/news/2017/12/new-nist-forensic-tests-help-ensure-high-quality-copies-digital-evidence
Комментариев нет:
Отправить комментарий