CIP direktors Džons Brennans 2015. gada martā paziņoja par jauna CIP Digitālās inovācijas direktorāta izveidi, kas ir pirmais jaunais CIP direktorāts dažās piecās desmitgadēs. Jaunais sadalījums tika izveidots, lai pilnveidotu digitālās kriminālistikas paņēmienus - kriminālistikas pīlāru, kas saistīts ar digitālajās ierīcēs atrodamo datu un metadatu (datu par datiem) izpētes un atkopšanas darbībām, kā arī lai uzlabotu CIP spēju izsekot “Digitālie putekļi”, kas atstāti ikdienas rutīnas darbību laikā. Kā Brennans 28. aprīlī runā izlūkošanas un Nacionālās drošības alianses vadības vakariņās paskaidroja: “Visur, kur mēs dodamies, visu darām, mēs atstājam dažus digitālos putekļus, un tiešām ir grūti rīkoties slepeni, daudz mazāk slepeni, kad jūs” atstājot jūsu modē digitālos putekļus. ”
Digitālās kriminālistikas galvenais mērķis ir tāda digitālā artefakta stāvokļa novērtēšana, kuru potenciāli varētu izmantot jebkurā datorsistēmas izmeklēšanā. Izmantojot digitālās kriminālistikas paņēmienus, izmeklētājs var iegūt digitālus pierādījumus, tos analizēt un ziņot par šīs analīzes rezultātiem. Digitālo kriminālistikas rīku un citu pat modernāku metožu izstrādei vajadzētu dot valdībām un privātiem uzņēmumiem iespēju veiksmīgi izpētīt digitālos putekļus, ko atstājuši tie - aizdomās turēti vai citi interesenti, kas saistīti ar aizdomām par nelikumīgām kiberaktivitātēm.
Metodikas.
Digitālās kriminālistikas metodoloģijas izmanto dažādās situācijās, jo īpaši tiesībaizsardzības iestāžu locekļiem vai citām oficiālajām iestādēm, lai savāktu pierādījumus krimināllietā vai civillietā vai privātiem uzņēmumiem, lai palīdzētu veikt iekšēju izmeklēšanu. Termins digitālā kriminālistika ir ārkārtīgi vispārīgs un to var izmantot, lai raksturotu daudzas specializācijas atkarībā no konkrētās izmeklēšanas jomas. Piemēram, tīkla kriminālistika ir saistīta ar datortīkla trafika analīzi, savukārt mobilo ierīču kriminālistika galvenokārt attiecas uz digitālo pierādījumu atgūšanu no viedtālruņiem un planšetdatoriem. Iespējams, ka ciparu kriminālistikai ir bezgalīgas metodoloģijas, taču visbiežāk izmantotās metodes ietver atslēgvārdu meklēšanu visā digitālajā datu nesējā, izdzēsto failu atkopšanu, nepiešķirtās vietas analīzi un reģistra informācijas iegūšanu (piemēram, izmantojot pievienotas USB ierīces).
Darījumos ar digitālajiem pierādījumiem ir svarīgi nodrošināt, ka izmeklēšanas posmos netiek ietekmēta datu un metadatu integritāte un autentiskums. Tāpēc ir ārkārtīgi svarīgi izvairīties no pierādījumu izmaiņām, ko izraisījis izmeklētāju darbs, un nodrošināt, lai savākti dati būtu “autentiski” - tie visādā ziņā būtu identiski oriģinālajai informācijai. Kaut arī kibernoziedzības cīnītāji filmās un televīzijā var gudri identificēt interesējošās personas paroli un pēc tam tieši pieteikties mērķa datorā vai citā viedajā ierīcē, reālajā pasaulē šāda tieša darbība varētu mainīt oriģinālu tādā veidā, ka tas liek atrast visu, kas atrodams ierīci nelietojamu vai vismaz nepieņemamu tiesā.
Iegūšanas posms, ko sauc arī par “eksponātu attēlveidošanu”, sastāv no datora vai citas ierīces satura attēla iegūšanas. Galvenā digitālā multivides problēma ir tā, ka tie ir viegli modificējami; pat mēģinājums piekļūt failiem vai datora atmiņas saturam var mainīt to stāvokli. Tāpēc ir jāizvairās no tiešas piekļuves, izveidojot precīzu gaistošās atmiņas un analizējamās sistēmas disku attēlu. To var panākt, iegūstot datu nesēja “bitu kopiju” (precīzu dublētu pavairošanu), izmantojot specializētus rakstīšanas bloķēšanas rīkus, kas “atspoguļo” datus, vienlaikus novēršot jebkādas izmaiņas multivides sākotnējā saturā.
Datu nesēju lieluma palielināšanās un tādu paradigmu kā mākoņdatošana izplatīšanās prasa pieņemt jaunas ieguves tehnikas, kas ļauj izmeklētājiem nofotografēt “loģisku” datu kopiju, nevis pilnīgu fiziskās atmiņas ierīces attēlu. Koncentrēti cenšoties nodrošināt datu integritāti, izmeklētāji izmanto “sajaukšanas” mehānismus, kas ģenerē īsākas, fiksēta garuma vērtības, kas apzīmē garāko vai sarežģītāko oriģinālu. Sajauktās vērtības ļauj veikt ātrāku meklēšanu un ļauj pētniekiem novērtēt katru mirkli attiecībā uz pētāmā digitālā satura konsekvenci. Jebkuras satura izmaiņas varētu izraisīt izmaiņas digitālajā artefaktā, kuras var viegli pamanīt, neveicot meklēšanu visā datu bāzē.
![Irānas revolūcija [1978–1979]](https://images.thetopknowledge.com/img/world-history/8/iranian-revolution-19781979.jpg "Irānas revolūcija [1978–1979]")
