През март 2015 г. директорът на ЦРУ Джон Бренан обяви създаването на нова дирекция за цифрови иновации на ЦРУ - първата нова дирекция на ЦРУ за около пет десетилетия. Новото подразделение е създадено с цел усъвършенстване на техниките в дигиталната криминалистика, стълб на криминалистиката, свързана с дейностите по разследване и възстановяване на данни и метаданни (данни за данните), открити в цифрови устройства, и за подобряване на способността на ЦРУ да проследява "Цифров прах", оставен по време на рутинни киберативни действия. Както Бренън обясни на 28 април в реч по време на вечеря на ръководството на Алианса за разузнаване и национална сигурност: оставя дигитален прах след себе си."
Основната цел на цифровата криминалистика е оценка на състоянието на цифров артефакт, който потенциално би могъл да бъде използван при всяко разследване на компютърна система. Използвайки техниките на цифровата криминалистика, следователят може да придобие цифрови доказателства, да ги анализира и да отчете резултатите от този анализ. Разработването на цифрови криминалистични инструменти и други дори по-модерни техники трябва да даде възможност на правителствата и частните компании да изучават успешно цифровия прах, оставен от тези - заподозрян или друго лице, представляващо интерес - свързано със заподозрени незаконни киберативни действия.
Методологии.
Дигиталните криминалистични методологии се прилагат в различни ситуации, най-вече от членове на органите на реда или от други официални органи за събиране на доказателства по наказателно или гражданско дело или от частни компании, които да подпомогнат провеждането на вътрешно разследване. Терминът цифрова криминалистика е изключително общ и може да се използва за характеризиране на множество специализации, в зависимост от конкретната област на разследване. Например мрежовата криминалистика е свързана с анализа на компютърния мрежов трафик, докато криминалистиката на мобилните устройства се занимава предимно с възстановяване на цифрови доказателства от смартфони и таблетни компютри. Има потенциално безкрайни методологии за цифрова криминалистика, но най-често използваните техники включват провеждане на търсене на ключови думи в дигиталните медии, възстановяване на изтрити файлове, анализ на неразпределено пространство и извличане на информация в регистъра (например, чрез използване на прикачени USB устройства).
Когато се работи с цифрови доказателства, е от съществено значение да се гарантира, че целостта и достоверността на данните и метаданните не са засегнати по време на фазите на разследване. По този начин е изключително важно да се избягват всякакви промени в доказателствата, причинени от работата на разследващите, и да се гарантира, че събраните данни са „автентични“ - т.е. идентични по всякакъв начин с оригиналната информация. Въпреки че борците за киберпрестъпност във филми и по телевизията могат умело да идентифицират паролата на интересуващ човек и след това да влязат директно в компютъра на целта или друго умно устройство, в реалния свят подобно пряко действие може да промени оригинала по такъв начин, че да направи всичко, което се намира на устройството неизползваемо или поне недопустимо в съда.
Фазата на придобиване, наричана още „изобразяване на експонати“, се състои в получаване на изображение на съдържанието на компютъра или друго устройство. Основният проблем на цифровите носители е, че те лесно се променят; дори опитът да се получи достъп до файлове или до съдържанието на паметта на компютъра може да промени състоянието им. Следователно е необходимо да се избягва директен достъп чрез създаване на точно изображение на летливата памет и на дисковете на анализираната система. Това може да бъде постигнато чрез получаване на „битово копие“ (точно бит-битово възпроизвеждане) на медиите чрез използване на специализирани средства за блокиране на запис, които „огледално“ дават данни, като същевременно предотвратяват всякакви промени в оригиналното съдържание на медията.
Нарастването на размера на носителите за съхранение и разпространението на парадигми като изчисляване в облак изискват приемането на нови техники за придобиване, които позволяват на изследователите да направят „логично“ копие на данните, а не цялостно изображение на физическото устройство за съхранение. За да концентрират усилията си, за да гарантират целостта на данните, изследователите използват механизми за „хеширане“, които генерират по-къси стойности с фиксирана дължина, които представляват по-дългия или по-сложен оригинал. Хешираните стойности позволяват по-бързо търсене и дават възможност на изследователите да оценяват всеки момент за последователност в изследваното цифрово съдържание. Всяка промяна в съдържанието би довела до промяна в хеша на цифровия артефакт, която може лесно да бъде забелязана, без да е необходимо да се търси цялата база данни.
![Битката за соловата европейска история [1545]](https://images.thetopknowledge.com/img/world-history/5/battle-solent-european-history-1545.jpg "Битката за соловата европейска история [1545]")
