شهد العالم تطورا تقنيا في شتى المجالات, ولعل أبرز هذه المجالات مجال الحساب الآلي والأجهزة الرقمية الذي يشهد تطورا متسارعا ومذهلا. ومع ما جلبه هذا التطور للبشرية من الخيرات والتسهيلات, إلا أنه جلب أيضا أصنافا جديدة من الجرائم لم تكن معهودة من قبل أو ساعد في حدوث بعض الجرائم. وهنا استدعت الحاجة رجال القانون إلى وجوب التعامل مع هذه المستجدات وفقا لأساليب قانونية وبطرق تقنية.
علم الأدلة الجنائية الحاسوبية أو الحاسب الجنائي وهو تعريب للمصطلح
Computer Forensics الذي يعتبر علما جديدا دعت الحاجة إليه مع التطورات المستمرة في المجال التقني.
نبذة عن علم الأدلة الجنائية الحاسوبية:
هو أحد فروع علم الأدلة الجنائية , ويهدف هذا الحقل إلى التعرف على الأدلة الرقمية وحفظها وتحليلها وتقديمها بطريقة مقبولة قانونيا [1].
أو بتعريف آخر هو العلم الذي يضم خليطا من تخصصي القانون وعلوم الحاسب ودوره هو جمع وتحليل البيانات من أنظمة الحاسب والشبكات والاتصالات واجهزة التخزين الرقمية بمختلف أنواعها وتقديم هذه البيانات كدليل يعتد به في الحالات القانونية [2].
وهذا العلم يعتبر من العلوم الحديثة التي بدأ الاهتمام بها يتزياد في الأونة الأخيرة خصوصا مع زيادة الاعتماد على الأجهزة الرقمية بمختلف أنوعها من الحاسبات و أجهزة الجوال إلى غيرها من الأجهزة الرقمية الأخرى. لذلك هذا العلم حتى وان كان اسمه الحاسب الجنائي فهو يشمل كل الأجهزة الرقمية كالجوالات والكاميرات الرقمية بل ويتعدى ذلك إلى بطاقات الائتمان والبطاقات الذكية ونستطيع القول أنه يشمل كل جهاز باستطاعته تخزين المعلومات.
ويمكننا تعريف الدليل الجنائي الرقمي على أنه أي معلومات مخزنة أو منقولة بشكل رقمي وتعد جزء من قضية ما وقد تستخدم كإثبات [3].
ولعل من الأسباب التي دعت لهذا العلم أولا ظهور جرائم جديدة كجرائم المعلوماتية أو ما يطلق عليها Computer crime أو cybercrime. وثانيا أن الدليل الجنائي الرقمي سواء لإثبات الجريمة التقليدية أو الجريمة المعلوماتية يختلف تماماً عن الدليل الجنائي التقليدي, سواء من حيث كم البيانات المدونة في الجهاز الرقمي أوكيفية إثباتها [4].
والأمثلة على هذه الجرائم كثيرة فارسال فيروسات الكمبيوتر جريمة, ومهاجمة المواقع تعتبر أيضا جريمة, وسرقة المعلومات عبر الانترنت تعد من جرائم المعلوماتية.
ويختلف تخصص الحاسب الجنائي عن تخصص أمن المعلومات Information Security الذي يهدف للحماية بعكس هذا التخصص الذي يهدف للحصول على الأدلة واثبات الجرائم [5].
خطوات عملية جمع الأدلة الرقمية:
هناك مجموعة من الخطوات [6] التي ينبغي القيام بها عند جمع الأدلة الرقمية وهي:.
1. التعرف على الدليل:وهي الخطوة الأولى في عملية جمع الأدلة الرقمية. وفي هذه الخطوة يتم التعرف على الدليل وأين تم تخزينه وكيف تم تخزينه.ويجب على خبير الحاسب الجنائي الذي يختبر الدليل أين يكون قادرا على تحديد نوع المعلومات المخزنة وطريقة تخزينها حتى يستطيع اختيار التقنية المناسبة لاستخلاصها.
2. الاحتفاظ بالدليل:في هذه الخطوة يتم الاحتفاظ بالدليل الرقمي مع محاولة عدم حدوث أي تغيير على البيانات الموجودة لأنه في بعض الأحيان هذا التغيير يلغي قانونية الدليل. وفي بعض الحالات لا يمكن منع حدوث تغيير ولو بشكل بسيط على بيانات الدليل المحتفظ عليها لكن لابد من جعل هذا التغيير في حدوده الدنيا. والتغيير يشمل التغيير على البيانات نفسها أو التغيير الفيزيائي على الجهاز الرقمي المأخوذة منه البيانات.
3. تحليل الدليل:
وتعتبر هذه الخطوة أهم الخطوات حيث يتم استخلاص البيانات وتفسيرها بطريقة مفهومة لأغلب الأشخاص. و يتم هنا استخدام مجموعة من التقنيات والأدوات التي سنتحدث عنها لاحقا.
4. تقديم الدليل:وهنا يتم تقديم الدليل إلى المحكمة, وتتضمن هذه الخطوة طريقة التقديم ومؤهلات الخبير وطريقة جمع وتحليل الدليل.
مبادئ رئيسية لجمع الأدلة الرقمية:
لإن هذا العلم كما أوضحنا مسبقا هو خليط من القانون والحاسب , فسنتطرق لبعض المبادئ الرئيسية التي يجب أخذها بعين الاعتبار عند جمع الأدلة الرقمية كما أوضح ذلك دليل الممارسات الأفضل الصادر عن جمعية ضباط الشرطة البريطانيين [7], هذه المبادئ هي:
1. يجب ألا يقوم خبير الحاسب الجنائي بأي تغيير في البيانات الموجودة في الجهاز.
2. في الحالات التي يضطر الخبير فيها للدخول للبيانات أو إجراء تغيير بسيط يجب أن يقدم تفسيرا مقنعا لهذا التغيير.
3. يجب تسجيل وتوثيق كل الخطوات التي قام بها الخبير في عملية جمع وتحليل الأدلة, ولابد من وجود طرف ثالث يختبر هذه الخطوات ويصل لنفس النتيجة التي وصل إليها الخبير.
4. يتحمل خبير الحاسب الجنائي – القائم بالقضية - المسؤولية الكاملة عن تطبيق هذه المبادئ.
التقنيات و الأدوات المستخدمة:
يجب على خبير الحاسب الجنائي استخدام الأدوات التي تساعده في تنفيذ مهامه وفي نفس الوقت لابد من التزام المبادئ والخطوات التي ذكرناها آنفا. وتوجد هناك بعض التقنيات المستخدمة حاليا وتدعمها العديد من الأدوات والبرمجيات التجارية ومفتوحة المصدر أيضا. وسنتطرق لشرح مختصر كل تقنية ثم بعض البرمجيات المستخدمة:
1- تقنيات النسخ techniques Imaging: وتقوم هذه التقنية على أخذ نسخة من محتويات الجهاز الرقمي مع عدم الإضرار أو التعديل على البيانات الموجودة [8]. ومن أمثلة البرامج المستخدمة EnCase – وهو أحد أشهر البرامج وأكثرها تكلفة, ومن البرامج التجارية أيضا SafeBack.ومن البرامج المجانية التي تؤدي نفس الغرض هناك Data dumper.
2- تقنيات التحليل techniques Analysis: وتهدف هذه التقنيات إلى التعرف عن أي بيانات مخفية أو مخبأة أو حتى محذوفة [9]. وتهدف أيضا إلى اكتشاف أية صلات محتملة بين المعلومات الموجودة على الجهاز الرقمي وكذلك تتبع بعض المعلومات الأخرى. ولعل من أبرز البرمجيات المستخدمة هنا md5sum , Grep, SectorSpyXP و Whois.
3- تقنيات التمثيل التخيلي Visualization: وهي من التقنيات الجديدة التي تساعد في تسريع عمليات الحاسب الجنائي التي تكون عادة بطيئة. حيث تستخدم تقنيات التطابق و التمثيل البصري للتعرف على البيانات المخفية أو المشفرة [10]. ولعل من أبرز البرامج المستخدمة لهذه التقنية ,برنامج RUMINT الذي طوره أحد الخبراء المصممين للتنقية.
المراجع:
1.
Marcella, A.J. and R.S. Greenfield, Cyber forensics: a field manual for collecting, examining, and preserving evidence of computer crimes. 2002: Auerbach Publications.
2.
Francia Iii, G., et al., Forensic Data Visualization System: Improving Security through Automation.
3.
Shipley, T.G. and C. Cfe, Collecting Legally Defensible Online Evidence.
4.
حجازي, ع.ا.ب., الإثبات الجنائي في جرائم الكمبيوتر والإنترنت. 2008, المحلة الكبرى دار الكتب القانونية
5.
الخليفة, هند., الحاسب الجنائي في الدول الغربية.. دراسة استطلاعية, في الرياض. 2007.
6.
McKemmish, R. and C. Australian Institute of, What is forensic computing? 1999: Australian Institute of Criminology.
7.
Good Practice for Computer Based Electronic Evidence. 2003, Association of Chief Police Officers.
8.
Shinder, D.L. and E. Tittel, Scene of the cybercrime: Computer forensics handbook. 2002: Syngress Media Inc.
9.
Gray, A.R., et al., Software forensics: Extending authorship analysis techniques to computer programs. 1997: Dept. of Information Science, University of Otago.
10.
Forte, D., Visual Forensics: new or old trend? Computer Fraud & Security, 2009. 2009(4): p. 15-17.
علم الأدلة الجنائية الحاسوبية أو الحاسب الجنائي وهو تعريب للمصطلح
Computer Forensics الذي يعتبر علما جديدا دعت الحاجة إليه مع التطورات المستمرة في المجال التقني.
نبذة عن علم الأدلة الجنائية الحاسوبية:
هو أحد فروع علم الأدلة الجنائية , ويهدف هذا الحقل إلى التعرف على الأدلة الرقمية وحفظها وتحليلها وتقديمها بطريقة مقبولة قانونيا [1].
أو بتعريف آخر هو العلم الذي يضم خليطا من تخصصي القانون وعلوم الحاسب ودوره هو جمع وتحليل البيانات من أنظمة الحاسب والشبكات والاتصالات واجهزة التخزين الرقمية بمختلف أنواعها وتقديم هذه البيانات كدليل يعتد به في الحالات القانونية [2].
وهذا العلم يعتبر من العلوم الحديثة التي بدأ الاهتمام بها يتزياد في الأونة الأخيرة خصوصا مع زيادة الاعتماد على الأجهزة الرقمية بمختلف أنوعها من الحاسبات و أجهزة الجوال إلى غيرها من الأجهزة الرقمية الأخرى. لذلك هذا العلم حتى وان كان اسمه الحاسب الجنائي فهو يشمل كل الأجهزة الرقمية كالجوالات والكاميرات الرقمية بل ويتعدى ذلك إلى بطاقات الائتمان والبطاقات الذكية ونستطيع القول أنه يشمل كل جهاز باستطاعته تخزين المعلومات.
ويمكننا تعريف الدليل الجنائي الرقمي على أنه أي معلومات مخزنة أو منقولة بشكل رقمي وتعد جزء من قضية ما وقد تستخدم كإثبات [3].
ولعل من الأسباب التي دعت لهذا العلم أولا ظهور جرائم جديدة كجرائم المعلوماتية أو ما يطلق عليها Computer crime أو cybercrime. وثانيا أن الدليل الجنائي الرقمي سواء لإثبات الجريمة التقليدية أو الجريمة المعلوماتية يختلف تماماً عن الدليل الجنائي التقليدي, سواء من حيث كم البيانات المدونة في الجهاز الرقمي أوكيفية إثباتها [4].
والأمثلة على هذه الجرائم كثيرة فارسال فيروسات الكمبيوتر جريمة, ومهاجمة المواقع تعتبر أيضا جريمة, وسرقة المعلومات عبر الانترنت تعد من جرائم المعلوماتية.
ويختلف تخصص الحاسب الجنائي عن تخصص أمن المعلومات Information Security الذي يهدف للحماية بعكس هذا التخصص الذي يهدف للحصول على الأدلة واثبات الجرائم [5].
خطوات عملية جمع الأدلة الرقمية:
هناك مجموعة من الخطوات [6] التي ينبغي القيام بها عند جمع الأدلة الرقمية وهي:.
1. التعرف على الدليل:وهي الخطوة الأولى في عملية جمع الأدلة الرقمية. وفي هذه الخطوة يتم التعرف على الدليل وأين تم تخزينه وكيف تم تخزينه.ويجب على خبير الحاسب الجنائي الذي يختبر الدليل أين يكون قادرا على تحديد نوع المعلومات المخزنة وطريقة تخزينها حتى يستطيع اختيار التقنية المناسبة لاستخلاصها.
2. الاحتفاظ بالدليل:في هذه الخطوة يتم الاحتفاظ بالدليل الرقمي مع محاولة عدم حدوث أي تغيير على البيانات الموجودة لأنه في بعض الأحيان هذا التغيير يلغي قانونية الدليل. وفي بعض الحالات لا يمكن منع حدوث تغيير ولو بشكل بسيط على بيانات الدليل المحتفظ عليها لكن لابد من جعل هذا التغيير في حدوده الدنيا. والتغيير يشمل التغيير على البيانات نفسها أو التغيير الفيزيائي على الجهاز الرقمي المأخوذة منه البيانات.
3. تحليل الدليل:
وتعتبر هذه الخطوة أهم الخطوات حيث يتم استخلاص البيانات وتفسيرها بطريقة مفهومة لأغلب الأشخاص. و يتم هنا استخدام مجموعة من التقنيات والأدوات التي سنتحدث عنها لاحقا.
4. تقديم الدليل:وهنا يتم تقديم الدليل إلى المحكمة, وتتضمن هذه الخطوة طريقة التقديم ومؤهلات الخبير وطريقة جمع وتحليل الدليل.
مبادئ رئيسية لجمع الأدلة الرقمية:
لإن هذا العلم كما أوضحنا مسبقا هو خليط من القانون والحاسب , فسنتطرق لبعض المبادئ الرئيسية التي يجب أخذها بعين الاعتبار عند جمع الأدلة الرقمية كما أوضح ذلك دليل الممارسات الأفضل الصادر عن جمعية ضباط الشرطة البريطانيين [7], هذه المبادئ هي:
1. يجب ألا يقوم خبير الحاسب الجنائي بأي تغيير في البيانات الموجودة في الجهاز.
2. في الحالات التي يضطر الخبير فيها للدخول للبيانات أو إجراء تغيير بسيط يجب أن يقدم تفسيرا مقنعا لهذا التغيير.
3. يجب تسجيل وتوثيق كل الخطوات التي قام بها الخبير في عملية جمع وتحليل الأدلة, ولابد من وجود طرف ثالث يختبر هذه الخطوات ويصل لنفس النتيجة التي وصل إليها الخبير.
4. يتحمل خبير الحاسب الجنائي – القائم بالقضية - المسؤولية الكاملة عن تطبيق هذه المبادئ.
التقنيات و الأدوات المستخدمة:
يجب على خبير الحاسب الجنائي استخدام الأدوات التي تساعده في تنفيذ مهامه وفي نفس الوقت لابد من التزام المبادئ والخطوات التي ذكرناها آنفا. وتوجد هناك بعض التقنيات المستخدمة حاليا وتدعمها العديد من الأدوات والبرمجيات التجارية ومفتوحة المصدر أيضا. وسنتطرق لشرح مختصر كل تقنية ثم بعض البرمجيات المستخدمة:
1- تقنيات النسخ techniques Imaging: وتقوم هذه التقنية على أخذ نسخة من محتويات الجهاز الرقمي مع عدم الإضرار أو التعديل على البيانات الموجودة [8]. ومن أمثلة البرامج المستخدمة EnCase – وهو أحد أشهر البرامج وأكثرها تكلفة, ومن البرامج التجارية أيضا SafeBack.ومن البرامج المجانية التي تؤدي نفس الغرض هناك Data dumper.
2- تقنيات التحليل techniques Analysis: وتهدف هذه التقنيات إلى التعرف عن أي بيانات مخفية أو مخبأة أو حتى محذوفة [9]. وتهدف أيضا إلى اكتشاف أية صلات محتملة بين المعلومات الموجودة على الجهاز الرقمي وكذلك تتبع بعض المعلومات الأخرى. ولعل من أبرز البرمجيات المستخدمة هنا md5sum , Grep, SectorSpyXP و Whois.
3- تقنيات التمثيل التخيلي Visualization: وهي من التقنيات الجديدة التي تساعد في تسريع عمليات الحاسب الجنائي التي تكون عادة بطيئة. حيث تستخدم تقنيات التطابق و التمثيل البصري للتعرف على البيانات المخفية أو المشفرة [10]. ولعل من أبرز البرامج المستخدمة لهذه التقنية ,برنامج RUMINT الذي طوره أحد الخبراء المصممين للتنقية.
المراجع:
1.
Marcella, A.J. and R.S. Greenfield, Cyber forensics: a field manual for collecting, examining, and preserving evidence of computer crimes. 2002: Auerbach Publications.
2.
Francia Iii, G., et al., Forensic Data Visualization System: Improving Security through Automation.
3.
Shipley, T.G. and C. Cfe, Collecting Legally Defensible Online Evidence.
4.
حجازي, ع.ا.ب., الإثبات الجنائي في جرائم الكمبيوتر والإنترنت. 2008, المحلة الكبرى دار الكتب القانونية
5.
الخليفة, هند., الحاسب الجنائي في الدول الغربية.. دراسة استطلاعية, في الرياض. 2007.
6.
McKemmish, R. and C. Australian Institute of, What is forensic computing? 1999: Australian Institute of Criminology.
7.
Good Practice for Computer Based Electronic Evidence. 2003, Association of Chief Police Officers.
8.
Shinder, D.L. and E. Tittel, Scene of the cybercrime: Computer forensics handbook. 2002: Syngress Media Inc.
9.
Gray, A.R., et al., Software forensics: Extending authorship analysis techniques to computer programs. 1997: Dept. of Information Science, University of Otago.
10.
Forte, D., Visual Forensics: new or old trend? Computer Fraud & Security, 2009. 2009(4): p. 15-17.
