روافد / حمدان الغامدي :
استعرضت اليوم بالو ألتو نتوركس، دور التحاليل الرقمية الجنائية في معاينة الكمبيوترات التي تعرّضت لحذف بياناتها عمداً بهدف إخفاء بعض الأدلة والأنشطة غير القانونية فيها.
ويعتقد الكثير من الناس أن حذف البيانات من الكمبيوتر يشبه عملية إحراق نسخ المستندات الورقية بغرض إتلافها – أي كأن الذي “فات قد مات”، كما قد يقوم البعض باتخاذ إجراءات إضافية للتأكد أن البيانات قد تم حذفها إلى غير رجعة، ربما بغرض إخفاء أي أثر للممارسات تتعلق بسلوك إجرامي. إلا أننا على الطرف المقابل من ذلك سنجد مجموعة أخرى تحاول جمع هذه البيانات واستعادتها لتشكل معا خيطا من الأدلة يمكن اقتفاء أثرها.
استخدام التحاليل الجنائية الرقمية لاستعادة البيانات المحذوفة
كل إجراء يقوم به المستخدم يترك بصمة رقمية على الكمبيوتر. ويستخدم خبراء التحاليل الجنائية الرقمية أدوات وتقنيات تعمل على اقتفاء هذه الأثار من خلال إلقاء نظرة على البيانات على مستوى القرص الصلب أو القرص الخاص. فعلى سبيل المثال، يمكن لمحللي الأدلة الجنائية الرقمية تحديد وقت اتصال المستخدم بشبكة واي-فاي لدى أحد المقاهي، وكشف سجل الدردشة ما بين زميلين في العمل، وتحديد أجهزة التخزين الخارجية التي تم توصيلها في السابق، وغيرها من الإجراءات. ويمكن للتحاليل الجنائية الرقمية أن تروي تفاصيل عن تعامل المستخدم مع كمبيوتره الشخصي، لا سيما عندما يتعلق الأمر بالإجراءات التي أقدم عليها المستخدم لإخفاء أو حذف البيانات. وفي عالم التقنيات الرقمية، فإن الذي “فات” لا يعني بالضرورة أن يكون فعلا قد “مات”.
أمثلة على عمل التحاليل الجنائية الرقمية في عمليات استعادة البيانات
استعرضت بالو ألتو نتوركس مثالين من حالات كشف التحاليل الجنائية للتفاصيل ورصدها لممارسات كيديّة.
المثال الأول: عمليات استعادة البيانات تكشف عن محاولات إخفاء سرقة فكرية
في المثال الأول، إحدى الموظفات تستقيل من عملها وتنضم للعمل مع شركة منافسة تعمل على مشروع مشابه. تشتبه الشركة السابقة أن الموظفة ربما قد شاركت بعض المعلومات الخاصة بالمؤسسة مع المنافس الجديد قبل التقدّم بالاستقالة رسميا. إلا أن الموظفة قد أعادت بالفعل كمبيوترها الشخصي بعد أن “حذفت” جميع البيانات الخاصة بالمستخدم. وتمكنت عمليات التحاليل الجنائية الرقمية من الكشف في نهاية المطاف عن سرقة الملكية الفكرية وإتلاف البيانات. فقد تمكن خبير في التحاليل الجنائية الرقمية من استعادة شظايا متفرقة من ملفات إضافة إلى بعض الآثار الأخرى تمّ حذفها سابقا من الكمبيوتر الشخصي لموظّف سابق. وكشفت نتائج التحليل عن أدلة تشير إلى استخدام قرص ذاكرة فلاش خارجية للاطلاع على ملفات مراجعات للتصاميم، وخطط النشر، وغيرها من المعلومات التي تعدّ ملكيّة فكريّة للشركة، وذلك أثناء اتصال الكمبيوتر بشبكة الشركة المنافسة (الشركة التي انتقلت الموظفة للعمل معها) بعد يومين من التقّدم بالاستقالة.
إلا أن الضّرر الأكبر الذي كشفت عنه التحاليل الجنائية الرقمية تمثّل في الشوط الطويل نسبيا الذي قطعته هذه الموظفة السابقة لدى محاولتها إزالة أي أثر لفعلتها من خلال حذف الملفات بصورة جماعية. وقبل أيام فقط من إعادتها كمبيوترها إلى الشركة، أقدمت الموظفة السابقة على تثبيت أداة لتسجيل الدخول عن بعد واستقبلت اتصالا من رقم بروتوكول إنترنت تبيّن لاحقا أنه أحد المواقع الخاصة بمتعهد صيانة خارجي لدى الشركة، كان يشتبه بمشاركته في هذه الجريمة. وبعد ثوانٍ فقط من نجاح عملية الاتصال، تمت عمليات حذف البيانات بالجملة من الكمبيوتر. ولولا الاستعانة بالتحاليل الجنائية الرقمية، لما كان بإمكان الشركة كشف وإثبات هذه الممارسات غير المشروعة التي أقدمت عليها الموظّفة السابقة بالتواطؤ مع متعهد الصيانة الخارجي.
المثال الثاني: التحاليل الجنائية الرقمية تُثبت سرقة ملفات
في قضية أخرى، اشتبهت إحدى الشركات بأن موظفا سابقة قد أقدم على انتهاك حقوق الملكية الفكرية للشركة بسرقتها قبل أن يستقبل مؤخرا من العمل لديها، لكن الشركة لم تمتلك الدليل الذي يثبت ذلك. وبعد إجراء فحص مبدئي على جهاز كمبيوتر “ماك” الذي استخدمه الموظف، تبيّن حذف معظم الملفات والمجلدات. إلا أن عمليات التحاليل الجنائية الرقمية أثبتت أن الموظف السابق قام بالدخول على حسابه الخاص على حساب iCloud الشّخصي الخاص به، وأتمّ مزامنة عدد من المجلدات التي تضمنت بيانات من ملكية الشركة الفكرية، ثم قام بحذف ذات المجلدات من كمبيوتره الشخصي قبل أيام فقط من تقديم استقالته. ونجح الخبراء في تحليل أثر الأدلة الجنائية الرقمية وسجلات النظام التي احتفظت بسجلات تاريخية سابقة لهذه المجلدات، والزمن التقريبي الذي استغرقته عملية مزامنتها مع حساب iCloud ومن ثمّ عملية حذفها من الكمبيوتر. وأثبتت التحاليل الجنائية الرقمية أن البيانات قد تم نسخها احتياطيا خلال الفترة نفسها تقريبا. هذه النتائج عزّزت من الأساس القانوني الذي مكّن محامي الشركة من طلب فحص الأجهزة الشخصية للموظّف السابق.
كما يتّضح من المثالين السابقين، فإن مجرد حذف البيانات لا يعني بالضرورة أنها اختفت كليا. إذ أتاحت عمليات التحاليل الجنائية الرقمية رواية تفاصيل مختلفة عن إقدام كل من الموظّفين السابقين على سرقة معلومات تعود ملكيتها الفكرية للشركات التي سبق وأن عملا لديها، ومحاولتهما بعد ذلك إتلاف وإخفاء أي أثر لأفعالهم. ومن المحتمل أن الجناة في كلا الحالتين لم يدركا ما يمكن لخبراء التحاليل الجنائية الرقمية القيام به، وقدرة هؤلاء الخبراء على تتبع أثر إجراءاتهم الرقمية والكشف عن الحقيقة.