الجنس : العمر : 45 المدينة المنورة التسجيل : 21/10/2011عدد المساهمات : 177
موضوع: الحاسب الجنائي... أدلة شاهدة خلال المحاكمات الجمعة 11 نوفمبر 2011, 12:02 am
الحاسب الجنائي... أدلة شاهدة خلال المحاكمات تخصص شيق يجمع بين علم الأدلة الجنائية والحاسب الآلي. شهد تخصص الحاسب الجنائي في السنوات الماضية اهتماماً واسعاً من قبل العديد من المؤسسات الأمنية حول العالم نظراً لانتشار استخدام أجهزة الحاسب الآلي وشبكة الانترنت كوسائط تخزينية ووسائل لتبادل البيانات ونقلها. وأضحت هذه الأجهزة التقنية تستخدم كأدلة شاهدة خلال المحاكمات في الجرائم الحاسوبية التي تهدد الأمن القومي أو التي تسيء استعمال الحاسب أو حتى لحل النزاعات المدنية. يضاف إلى ذلك التطور الحاصل في الجرائم الحاسوبية وتنوع طرقها ووسائلها مما أجبر الأجهزة الأمنية والكيانات الأكاديمية المختصة بأمن المعلومات بطلب استحداث برنامج أكاديمي متفرع من تخصص علوم الحاسب موجه لدراسة وتحري الجرائم المعلوماتية، أطلق عليه تخصص الحاسب الجنائي (Computer Forensics).
وقد عكفت العديد من المؤسسات التعليمية حول العالم والمدعومة من قبل الإدارات الأمنية على تطوير مناهج أكاديمية في تخصص الحاسب الجنائي والمتفرع من علوم الحاسب، بحيث يغطي المنهج التعليمي جميع الجوانب الأخلاقية والقانونية والعلمية للتخصص، وتمنح المتقدم بعدها درجة علمية محددة ( دبلوم أو بكالوريوس أو ماجستير) .
مقدمة
أضحى استخدام جهاز الحاسب الآلي سمة بارزة لهذا العصر والذي يعكس التطورات التقنية الحاصلة في القرنين العشرين والواحد والعشرين. فلم يعد استخدام الحاسب الآلي محصوراً على مراكز البحث العلمي والشركات، بل أصبح بمقدور أي شخص يملك المقومات المادية الحصول على جهاز حاسب آلي أو أكثر.
ومن الملاحظ أن النظرة العامة لجهاز الحاسب الآلي هو اعتباره كوسيط تخزيني ووسيلة للاتصال بفضل وجود شبكة الانترنت، مما جلب معه أيضاً جانباً آخر وهو جانب الجرائم المعلوماتية. ففي إحصائية تقريبية للقضايا المعروضة في المحاكم الأمريكية، وُجد أن 85% من هذه القضايا تطلبت وجود أدلة رقمية [1].
وثمة توجه من قبل الكيانات الأكاديمية لإدماج مقرر الحاسب الجنائي في برامجها التعليمية المتخصصة في علوم الحاسب وذلك عن طريق: إما إعطاء مقرر أو أكثر ضمن الخطة الدراسية للدرجة العلمية، أو تخصيص درجة علمية كاملة (دبلوم أو بكالوريوس أو ماجستير) تفرد لتدريس هذا التخصص [1].
أما خارج الكيانات الأكاديمية فيمكن الحصول على مهارات الحاسب الجنائي عن طريق برمجيات تعليمية مثل التي تقدمها شركة VTC أو برامج تدريبية تابعة لمؤسسات وجمعيات متخصصة مثل ما تقدمه الجمعية الدولية لامتحانات الحاسب الجنائي (ISFCE).
كما إن الاهتمام الحاصل في مجال الحاسب الجنائي قد ازداد خلال السنوات الخمس الماضية وخاصة في الولايات المتحدة لعدة أسباب منها تداعيات أحداث الحادي عشر من سبتمبر والفضيحة المالية لشركة أنرون Enron، فقد كانت لهذه الحادثتين وغيرها الأثر في توظيف برامج أكاديمية في مجال الحاسب الجنائي قادرة على تخريج كفاءات مؤهلة تقنياً وجنائياً للتحقيق والتحري في جرائم الحاسب والانترنت. وحتى يتطور هذا المجال لابد من بناء مناهج دراسية وفق أسس وقواعد علمية تسهم في عملية تطوير مجال الحاسب الجنائي.
في هذه المقالة سأعمل على التعريف بمجال الحاسب الجنائي وتحديد أهدافه والمتطلبات والبرامج الأكاديمية المطروحة في هذا التخصص، والأدوات والبرمجيات المستخدمة.
الحاسب الجنائي: ماهيته وأهميته
نشأ مجال الحاسب الجنائي منذ ثورة الحواسيب الشخصية في الثمانينات [2]، ويهتم هذا المجال بالعمل على تحديد وحفظ واسترجاع وتحليل وتوثيق البيانات الحاسوبية التي يزعم أنها استخدمت في الجرائم المرتكبة بواسطة جهاز الحاسب [3].
يعتبر تخصص الحاسب الجنائي علم تطبيقي متفرع من علم الأدلة الجنائية (Forensics science) والتي لها جذورها في الطب الشرعي، لذا فهو يختلف في أهدافه عن تخصص أمن الحاسبات (Computer security) الذي يهدف لحماية أجهزة الحاسب والشبكات من الأعمال التخريبية والاختراقات [3]. كما يتفرع من تخصص الحاسب الجنائي تخصص دقيق مهتم بالشبكات والانترنت يسمى تخصص الشبكات/الانترنت الجنائي (Network/Internet forensics) يهتم بالتحري والتحقيق بجرائم الشبكات [4].
وهناك ستة نماذج منهجية عند التحقيق في جرائم الحاسب لخصها كومبي وورن [5] في التالي: • نموذج لوسنت (Lucent Model): أو ما أطلق عليه نموذج (Three A’s) ويتكون من: الاكتساب(Acquire) والتصديق (authenticate) والتحليل (analyze). • نموذج (KPMG): وقد اقترحه الضابط Rodney McKemmish من الشرطة الاسترالية، ويتكون النموذج من أربع عناصر عند التحقيق وهي: التعرف على الدليل الرقمي، والاحتفاظ بالدليل الرقمي، تحليل الدليل الرقمي، وعرض الدليل الرقمي. • نموذج (Dittrich and Brezinski): وينسب هذا النموذج لشخصين الأول Brezinski ويعمل في مركز الاستخبارات الأمريكية والثاني يدعى Dittrichويعمل كخبير أمني في جامعة واشنطن. يتكون النموذج من ست خطوات هي: إعداد الخطة، وحماية مكان الجريمة، وتوثيق الموجود في مكان الجريمة، والبحث عن أدلة، والاحتفاظ بها ثم معالجتها. • نموذج جامعة ييل (Yale University): قام بصياغة هذا النموذج Eoghan Casey المشرف الأمني لأنظمة جامعة ييل. النموذج مكون من ست خطوات هي: الإعدادات القبلية، التخطيط، التمييز، الاحتفاظ والتوثيق والجمع، التصنيف والمقارنة وأخيراً إعادة بناء الجريمة. • نموذج (Mitre): مقترح هذا النموذج هو Gary Palmer من شركة Mitre الأمنية، ويتكون النموذج من عنصرين هما: علاقة الأدلة بالجريمة وموثوقية الأدلة المستخلصة. • نموذج مكتب العدل الأمريكية (US Department of Justice): في التشريع الموجود في دليل مكتب العدل الأمريكية عن الجرائم الالكترونية، ذكر الدليل أربع إجراءات متبعة عند البحث في أجهزة الحاسب وهي: البحث في جهاز الحاسب وطباعة محتوياتها أثناء التحري، البحث في جهاز الحاسب وعمل نسخ من محتويات بعض ملفاته، عمل نسخة من محتويات الجهاز في موقع الجريمة وبعدها، فصل جميع الأجهزة المتصلة بالحاسب وجمعها لأخذها لمعمل الحاسب الجنائي.
وعلى الرغم من اختلاف هذه النماذج في إجراءاتها إلا أنها تتفق جميعاً في كون أي تحقيق في الحاسب الجنائي يتبع الإجراءات التالية هي: استخلاص وكشف البيانات والاحتفاظ بها، وتحليلها ثم توثيقها وعرضها كأدلة جنائية.
وتوضح الصورة 1 الأطراف المكونة لمجال الحاسب الجنائي وهي: 1) العلم بمجال الحاسب والإنترنت وكيفية استخدامهما بكفاءة في التحقيق والتحري واستخلاص الأدلة، 2) الدليل وذلك بمعرفة ما يمكن استخدامه كدليل في المحكمة، 3) القانون وهي معرفة الخطوات اللازمة لتجريم المشتبه به .
صورة 1: الأطراف المكونة لمجال الحاسب الجنائي
ويرجع السبب في الاهتمام الشديد بمثل هذا التخصص في وقتنا الحالي تحديداً، إلى زيادة الجرائم الإلكترونية والتهديدات المحتملة باستخدام أجهزة الحاسب والانترنت سواء كان ذلك على مستوى الشركات أو مستوى الدول. وقد بدأ هذا المجال بالازدهار في الدول الغربية، خاصة في الولايات المتحدة والمملكة المتحدة وذلك مع تصاعد التهديدات الأمنية على تلك الدول.
الأدوار العملية
يمكن تقسيم الأدوار العملية الذي يقوم بها العامل في مجال الحاسب الجنائي إلى أربعة أقسام وفقاً لتقسيمات ياسينساك وآخرون [7] وهي كالتالي:
1) فني حاسب جنائي (Technician): وهو شخص يملك مهارات فنية وتقنية لاستخلاص الأدلة الرقمية، وقد يحمل درجة الدبلوم أو البكالوريوس في تخصص الحاسب الجنائي. 2) صناع القرارات المؤسسية (Enterprise policy maker): وهم أشخاص مخولين لصنع القرارات داخل المؤسسة، ويتطلب ذلك معرفة جيدة بالحاسب والعلوم الجنائية. 3) محترف حاسب جنائي (Forensics professional): بالرغم من وجود تخصص فني حاسب جنائي إلا أن وجود محترف حاسب جنائي مهم ليكون حلقة الوصل بين الفني وصناع القرار في أي كيان إداري. فالمحترف يعمل على ترجمة سياسات أي مؤسسة أو كيان أمني إلى إجراءات فعلية يقوم بها الفني. 4) الباحثون (Researchers): وهم أشخاص من حملة الماجستير أو الدكتوراه يقومون بأبحاث لتطوير مجال الحاسب الجنائي.
البرامج الأكاديمية
في السنوات الماضية زاد الطلب على وجود كوادر بشرية مؤهلة في تخصص الحاسب الجنائي، وقد انعكس هذا الزخم في الطلب على البرامج الأكاديمية المطروحة في المؤسسات الأكاديمية. في هذا الجزء من الورقة سأقوم باستعراض لأنواع البرامج المطروحة و الدرجات العلمية الممنوحة بناءً على دراسة حديثة قام بها تيلور وآخرون ودراسة سابقة قام بها قوتستوك وآخرون .
1) برنامج الدبلوم (مدته سنتان) يزود برنامج الدبلوم في الحاسب الجنائي المتدرب بالمهارات الكافية للعمل كفني حاسب جنائي. يعني ذلك أن البرنامج يعمل على تأهيل الملتحق فنياً، وذلك بتدريبه على الأدوات المستخدمة في التحري الرقمي، ومعرفياًً وذلك بتزويده بالمهارات المطلوبة للعمل كفني في الحاسب الجنائي.
معظم المواد المدرسة في الدبلوم عبارة عن مواد مستلة من تخصص علوم الحاسب، مثل أنظمة التشغيل وأمن المعلومات. كما أن هذه الدبلومات لا تتعمق في تدريس البرمجة وخوارزمياتها مثل مادة تراكيب البيانات (Data Structures).
من المؤسسات الأكاديمية التي تقدم مثل هذه البرامج: كلية المجتمع في مقاطعة بتلر (Butler County Community College) [4] و كلية سبوكين للمجتمع (Spokane Falls Community College) [5]. وللحصول على قائمة شاملة لبرامج الدبلوم المطروحة في الولايات المتحدة يمكن الرجوع للورقة [6].
2) درجة البكالوريوس
تختلف برامج البكالوريوس في الحاسب الجنائي اعتماداً على القسم الذي يقدم هذا البرنامج. فأقسام مثل المحاسبة و الاقتصاد و القانون و الحاسب الآلي، كلها تمنح درجة البكالوريوس في الحاسب الجنائي بحيث يتناول الجانب الكبير من هذه الدرجة أصل التخصص مع التركيز على جزء الحاسب الجنائي، أو أن يكون برنامج البكالوريوس مخصص كليةً للحاسب الجنائي كما سنرى لاحقاً في هذه الورقة. وغالباً ما تكون المواد المطروحة في مثل هذه البرامج عبارة عن مواد هجينة من تخصصات كعلوم الحاسب والأدلة الجنائية والقانون والعلوم الإنسانية والأمنية.
من الجامعات التي تقدم مثل هذه البرامج: كلية بردو (Purdue College) وجامعة جون هوبكنز (John Hopkins University). وللمزيد حول برامج البكالوريوس يمكن زيارة موقع .e-Evidence
3) درجة الماجستير على العكس من الدرجات السابقة، لاحظ تيلور وآخرون أن درجة الماجستير ليس لها برنامج معياري محدد، وذلك نابع من اختلاف التخصص الأم الذي يأتي منه الملتحق بهذا البرنامج. فبعض برامج الماجستير تتطلب من الملتحق أن يقوم بدراسة بعض المواد كمتطلبات سابقة قبل الشروع في الدرجة العلمية، مثل مادة الأدلة الجنائية، والعدالة القانونية وأمن الحاسبات وغيرها.
من الجامعات التي تقدم مثل هذه البرامج: جامعة بردو (Purdue University) وجامعة جورج واشنطن (George Washington University).
4) شهادات متخصصة تمنح بعض الجامعات ومراكز التدريب شهادات متخصصة في الحاسب الجنائي، ولكن هذه الشهادات لا يقابلها أي درجة علمية بل تعامل معاملة الدورات القصيرة والشهادات الدولية. فيما يلي عرض لبعض منها:
1) شهادة مختبر/فاحص للحاسب Certified Computer Examiner (CCE): هذه الشهادة تقدمها الجمعية الدولية لامتحانات الحاسب الجنائي (ISFCE). من متطلبات هذه الشهادة أن يكون المتقدم ممن ليست لديهم سوابق جنائية وأن يجتاز ثلاثة اختبارات في هذا المجال. يحتوي الامتحان على جزأين: تحريري و آخر عملي، ويجب على المتقدم لهذا الامتحان أن يكون قد أتم وحدات تدريبية في مجال الحاسب الجنائي، أو يملك خبرة عملية كافية. وتبدو هذه الشهادة واحدة من أكثر الشهادات شعبية ومعترف بها على نطاق واسع [1].
2) شهادة محلل حاسب جنائي GIAC Certified Forensics Analyst (CFA): تقدم منظمة GIAC شهادة محلل حاسب جنائي، الغرض منها هو الاعتراف بأن الشخص الحاصل على هذه الشهادة لديه المعرفة والقدرة والمهارة المتطورة للتعامل مع سيناريوهات الحوادث الجنائية الرقمية، وإجراء التحريات الجنائية على شبكة الإنترنت أو الأجهزة الشخصية. وعلى المرشح لهذه الشهادة أن يكمل امتحانين على الانترنت يحتوي على 75 سؤالاً متعدد الاختيار. كما يجب على حامل الشهادة أن يجدد الاختبار كل أربع سنوات.
3) شهادة محقق جرائم حاسوبية وشهادة فني حاسب جنائي Certified Computer Crime Investigator (CCCI) and Certified Computer Forensics Technician (CCFT) تعتبر شبكة الجريمة التكنولوجية العليا (High Tech Crime network) إحدى المجموعات غير الربحية المكونة من مختصين في إنفاذ القانون (law enforcement) وأمن المعلومات من 15 دولة. تمنح هذه المجموعة عدد من الشهادات المعتمدة في الحاسب الجنائي منها شهادة محقق جرائم حاسب (CCCI) وشهادة فني حاسب جنائي (CCFT) وغيرها. وتشمل احتياجات الحصول على شهادة من هذه المجموعة إتمام بعض الدورات التدريبية في التحقيق والتحري في جرائم الحاسوب وتوثيقها.
4) شهادة مختبر/فاحص حاسب جنائي Certified Forensic Computer Examiner (CFCE): توفر الرابطة الدولية لأخصائيي التحقيقات الحاسوبية (IACIS) تدريب للموظفين المكلفين بإنفاذ القوانين وغيرهم من التأهل لعضوية الرابطة. تتضمن متطلبات الحصول على الشهادة اختبار تحريري أو الالتحاق في دورة تدريبية لمدة أسبوعين يمنح بعدها الملتحق شهادة مختبر/فاحص حاسب جنائي.
5) شهادة محلل جرائم إنترنت (CSFA Cyber Security Forensics Analyst): في هذه الشهادة يجب على الملتحق أن ينهي ثلاث متطلبات هي: تزكية من مكتب التحقيقات الفدرالية FBI بعدم وجود سوابق إجرامية، والاتفاق على ميثاق أخلاقيات المهنة واجتياز الاختبار التحريري على مدى ثلاثة أيام. يتضمن الاختبار التحريري على أسئلة اختيار متعدد تغطي سيناريوهات فعلية لما سيوجهه المحقق في العالم الفعلي.
على الرغم من وجود هذا التنوع في الشهادات المتخصصة إلا أن هناك جهود في الولايات المتحدة وبإيعاز من المجلس التشريعي لشهادات الأدلة الجنائية الرقمية (Digital Forensic Certification Board (DFCB)) لتوحيد هذه الشهادات الممنوحة من مختلف الجهات تحت مظلة ومنهج موحد يشرف على إعداده أطراف من الكيانات الأمنية في الدولة وجهات أكاديمية وأخرى خاصة تخضع لمعايير قياسية للجودة والكفاءة [1].
الأدوات والبرمجيات المستخدمة
كما أسلفت، فإن مجال الحاسب الجنائي هو علم عملي تطبيقي بحاجة لتجهيزات معملية تضم أدوات ومعدات معدة خصيصاً للقيام بالإجراءات التطبيقية. فإلى جانب وجود أجهزة الحاسب بمختلف أنواعها (أجهزة شخصية، خادمات، موجهات، جدران نارية، إلخ) وملحقاتها (طابعات، وحدات تخزين مستقلة، أقراص مرنة ومدمجة، إلخ) فالمعمل بحاجة إلى برامج متخصصة أيضاً سواء كانت أنظمة تشغيل (ويندوز، ماكنتوش، لينكس/يونكس) أو برمجيات تقليدية (مثل برنامج الأوفس) أو حتى أدوات للتحري.
تنقسم الأدوات المستخدمة في مختبر الحاسب الجنائي إلى فئتين: برامج مجانية ومفتوحة المصدر وبرامج تجارية. كما أن فرنسيا وكلينتون [8] في ورقتهم التي تحدثوا فيها عن متطلبات تجهيز معمل حاسب جنائي مثالي بناءً على دراسة مستفيضة لتجارب سابقة، قد قسموا البرامج المستخدمة في معمل الحاسب الجنائي إلى ثلاثة أقسام هي: برامج النسخ المطابق (Imaging)، وبرامج التحليل (Analysis)، وبرامج التمثيل البصري (Visualization). • برامج النسخ المطابق: تعمل هذه البرامج على أخذ نسخة طبق الأصل من البيانات الموجودة في الجهاز الإلكتروني من دون الإضرار بتكاملية أو مصداقية البيانات. • برامج التحليل: تعمل برامج التحليل على عملية الكشف واكتشاف الأدلة والمعلومات التي قد لا تكون واضحة تماما أو قد تكون مخبأة. بعض هذه البرامج تعتمد على تقنية تنقيب البيانات والتي تساعد في التنبؤ بالأحداث أو اكتشاف أنماط إجرامية معينة في البيانات. • برامج التمثيل البصري: تساعد مثل هذه البرامج على تصوير أنماط البيانات بشكل بصري ليسهل على المحقق فهم تمثيل البيانات وترابطها.
موضوع: الحاسب الجنائي... أدلة شاهدة خلال المحاكمات 
الجمعة 11 نوفمبر 2011, 12:02 am