بررسی مدل‌ های جرمیابی دیجیتال

با گسترش جرایم سایبری و پیچیدگی محیط‌ های دیجیتالی و روشهای ارتکاب جرم، نیاز به روش ها و ابزارهای کارآمد برای جرمیابی و رسیدگی به پرونده های جرایم سایبری بیش از پیش احساس میشود...

رشد شدید جرایم سایبری در سطح جهانی، (از 19% در 2022 به 23% در 2023 طبق گزارش INTERPOL) نیاز به روشهای ساختاریافته بازرسی های دیجیتال را پررنگ کرده است. و این تحولات، دستگاه های امنیتی و سیستم های قضایی سنتی را در سراسر جهان با چالش‌ های بی‌ سابقه‌ ای مواجه ساخته است.

تصویر زیر دیاگرام آماری درباره رشد خسارتهای سالانه جرایم سایبری در سطح جهانی است که «Statista» تا سال 2028 تهیه کرده است:

 

 

من در این مقاله به بررسی کلی مدل‌ های جرم‌ یابی دیجیتال در سطح جهانی و کاربردهای اختصاصی آنها می پردازم. این مقاله، 8 مدل اصلی شامل ADFM، GDFM، NGDFIM، DFRWS، CFFTPM، IDIP، EDRM و SANS Framework را از سه جنبه کلیدی بررسی میکند:

1. ساختار فنی: مقایسه روش‌ های جمع‌ آوری داده ها، تحلیل مدارک و گزارش‌ دهی
2. کاربران عمده: نقش سازمان‌ های داخلی و خارجی مانند FBI، پلیس فتا و INTERPOL
3. چالش‌ های اجرایی: محدودیت‌ های تخصصی، مالی و فناورانه

و البته انتخاب مدل مناسب به عواملی مانند پیچیدگی پرونده، حجم داده‌ ها، سطح دانش/تخصص پرسنل و فناوری‌ های مورد استفاده بستگی دارد...

1. GDFM: General digital forensics model

• توضیح: GDFM به معنی متدولوژی عمومی تحقیقات دیجیتال میباشد. این مدل یک روال کار عمومی و همه فن حریف می باشد که در بسیاری از انواع جرایم سایبری معمولی و روزمره کاربرد دارد.
• مراحل کار
  1. جمع‌آوری: جمع‌ آوری شواهد دیجیتال از دستگاه‌ ها و شبکه‌ ها.
  2. بررسی: تحلیل شواهد دیجیتال برای یافتن سرنخ‌ ها.
  3. تحلیل: نتیجه‌ گیری از داده‌ ها و شواهد (مانند شناسایی الگو ها، استخراج Metadata، بازیابی فایل‌ های حذف‌ شده).
  4. گزارش‌ دهی: مستندسازی یافته‌ها به‌طور ساختاریافته برای ارائه در دادگاه.
• تمرکز: عملیاتی میباشد و بیشتر در تحقیقاتی استفاده می شود که نیاز به بررسی‌ های عمومی و سطحی دارند. مانند کلاه برداری های مالی، سرقت یا موارد حقوقی.

2. ADFM: Abstract digital forensics model

• توضیح: ADFM به معنی متدولوژی پیشرفته(انتزاعی) جرمیابی دیجیتال می باشد. این روال کار به مجموعه‌ ای از تکنیک‌ ها و روش‌ های پیشرفته در تحقیقات جرمیابی اشاره دارد که معمولاً برای حل مسائل پیچیده و مقیاس بزرگ استفاده می‌ شود.
• کاربرد
  1. به‌ کارگیری تکنیک‌ های پیشرفته برای جمع‌ آوری داده‌ ها از منابع رمزگذاری شده یا غیرمعمول.
  2. تحلیل عمیق artifact ها دیجیتالی (مثلاً تحقیقات بر روی فضای ابری، موبایل یا RAM).
  3. استفاده از روش‌ های پیشرفته برای بازیابی داده‌ های حذف‌ شده یا آسیب‌ دیده.
• کاربرد: عملیاتی می باشد و معمولاً در تحقیقات حساس مانند جرایم سایبری سازمان یافته، جاسوسی یا کلاه برداری های سطح بالا(اختلاس) مورد استفاده قرار می‌ گیرد.

3. NGDFIM: Next Generation Digital Forensic Investigation Model

• توضیح: NGDFIM به معنی متدولوژی نسل جدید جرمیابی دیجیتال می باشد. این مدل برای اشاره به روش‌ های نوین و در حال ظهور - مثل IoT و بلاکچین - در جرمیابی دیجیتال بکار می‌رود که برای مقابله با چالش‌ های فناوری‌ های جدید و محیط‌ های دیجیتال پیچیده طراحی شده‌ است.
• کاربرد
  1. استفاده از ابزارها و تکنیک‌ های اتوماسیون برای مدیریت حجم زیاد داده‌(Big data) های سیستم‌ های مدرن.
  2. تمرکز ویژه بر فضای ابری/Cloud و دستگاه‌ های اینترنت اشیاء/IoT
  3. استفاده از هوش مصنوعی (AI) یا یادگیری ماشین برای بهبود کیفیت شناسایی و تحلیل Artifact ها.
  4. با رویکردی جهت مقابله با روش‌ های پیچیده رمزگذاری.
• کاربرد: این روش‌ عمدتاً چالش‌ های محیط‌ های جدید دیجیتال را هدف قرار میدهد و برای کاربردهایی مانند فارنزیک در فضای ابری، داده های حجیم و پاسخ به حوادث سایبری(Incident response) مناسب است.

 

4. DFRWS: Digital forensic research workshop framework

• توضیح: DFRWS به معنی چارچوب(ساختار) پژوهشی جرمیابی دیجیتال می باشد. این مدل یک مدل مفهومی و صرفا برای تحقیقات/پژوهش و استاندارد سازی است که توسط محققان و جامعه علمی این حوزه طراحی و توسعه یافته است.

• مراحل کار
  ۱. شناسایی: تشخیص رویدادهای مجرمانه و جمع‌ آوری شواهد اولیه.
  ۲. حفظ و نگهداری: اطمینان از عدم تغییر یا تخریب شواهد دیجیتال.
  ۳. تحلیل: بررسی داده‌ ها برای کشف الگوهای مجرمانه.
  ۴. مستندسازی: ثبت تمام مراحل و نتایج برای ارائه به واحدها یا سازمانی های تحقیقاتی.

• کاربرد: علمی/تحقیقاتی میباشد و گاهاً در پرونده‌ های پیچیده جرایم سایبری که نیاز به تحقیق و پژوهش های عمیق و طولانی دارند استفاده میشود.

5.  CFFTPM: Common digital forensic investigation process model

• توضیح: CFFTPM به معنی مدل فرآیند مشترک(عمومی/همه فن حریف) تحقیقات جرمیابی دیجیتال می باشد. یک مدل استاندارد برای فرآیند تحقیقات جرمیابی دیجیتال که توسط سازمان‌ های بین‌ المللی مانند INTERPOL پیشنهاد شده است.

• مراحل کار

  1. آماده‌ سازی

     • تهیه تجهیزات سخت افزاری و نرم‌ افزارهای تخصصی

     • تعیین پروتکل‌ های استاندارد جمع‌ آوری شواهد

  2. شناسایی

     • تشخیص واقعه جرم (جرمشناسی)

     • تعیین محدوده و وسعت تحقیق

     • شناسایی منابع داده و اطلاعات (دستگاه‌ها، شبکه‌ها، فضای ابری)

  3. جمع‌ آوری

     • تصویربرداری قانونی از Device ذخیره‌ سازی

     • مستندسازی زنجیره نگهداری شواهد (Chain of Custody)

     • استفاده از روش‌ های استاندارد برای جلوگیری از آلودگی داده‌ ها

  4. بررسی و تحلیل

     • بازیابی داده‌ های حذف شده

     • تحلیل Metadata و Log ها

     • شناسایی الگوهای مجرمانه

     • استفاده از تکنیک‌ های داده‌ کاوی

  5. مستندسازی

     • تهیه گزارش جامع

     • ثبت تمام مراحل انجام شده

     • آماده‌ سازی شواهد برای ارائه در دادگاه

  6. ارائه و شهادت

     • ارائه یافته‌ ها به مراجع قضایی

• ویژگی‌ ها

  • انعطاف‌ پذیری بالا برای تطابق با انواع جرایم سایبری.

  • تاکید بر مستندسازی برای جلوگیری از رد شواهد در دادگاه.

  • پذیرش بین‌ المللی: مطابق با استانداردهای INTERPOL و ENISA

• کاربرد: عملیاتی میباشد و در پرونده‌ های بین‌ المللی و تحقیقات چند مرحله‌ ای مورد استفاده قرار میگیرد.

6. IDIP: Integrated digital investigation process

• توضیح: IDIP به معنی فرآیند یکپارچه تحقیقات دیجیتال می باشد. این مدل، فرآیند تحقیقات دیجیتال را با تحقیقات فیزیکی ادغام می‌ کند.

• مراحل:

  1. پیش‌تحقیق

     • آماده‌ سازی تیم‌ های چند تخصصی

     • استاندارد سازی و تعیین روش‌ های جمع‌ آوری

  2. واکنش به حادثه

     • حفاظت همزمان از صحنه فیزیکی جرم و داده‌ های دیجیتالی

     • تصویربرداری دوگانه (Device ها + عکس‌ برداری از صحنه)

  3. تحلیل یکپارچه

     • تطبیق زمان‌ بندی رویدادهای دیجیتالی و فیزیکی

  4. بازسازی صحنه

     • ایجاد نقشه دیجیتال-فیزیکی از وقایع

     • استفاده از نرم‌ افزارهای ویژه

• کاربرد: عملیاتی میباشد و در جرایم ترکیبی (فیزیکی-دیجیتال) مورد استفاده قرار میگیرد. مانند جعل مدارک فیزیکی بانکی بکمک نرم افزار و تجهیزات الکترونیکی

7. EDRM: Electronic discovery reference model

• توضیح: به معنی مرجع کشفیات الکترونیکی می باشد. این مدل بیشتر در حوزه پرونده‌ های حقوقی/اداری و Information governance مورد استفاده قرار میگیرد و مطابقت بالایی با استانداردهای دادگاهی دارد.

• مراحل

  1. شناسایی داده‌ ها

  2. جمع‌ آوری و پردازش داده‌ ها

  3. تحلیل و بررسی محتوا

• کاربرد: عملیاتی می باشد و به بررسی ایمیل‌ ها، اسناد اداری و ارتباطات داخل سازمانی دیجیتالی می پردازد.

8. SANS investigative framework

• توضیح: به معنی چهارچوب تحقیقاتی موئسسه SANS می باشد. یک مدل کاربردی که توسط موسسه امنیت سایبری و تحقیقاتی SANS ارائه شده است.

• ویژگی‌ ها

  1. تمرکز بر پاسخ به حوادث سایبری.

  2. استفاده از چک‌ لیست‌های عملیاتی برای سرعت بخشیدن به تحقیقات.

• کاربرد: حوادث امنیتی مانند نفوذ به شبکه‌ های سازمانی.

 

در ایران، سازمانها و شرکتهای خصوصی بدلیل کمبود نیروی متخصص و نبود تجهیزات(بدلیل تحریم) معمولا از مدل GDFM استفاده می کنند.

 

جدول سازمان‌ ها و کشورهای استفاده‌ کننده از مدل‌ های جرمیابی دیجیتال

نام مدل	سازمان‌ / کشور استفاده‌ کننده
ADFM	- سازمان‌ های امنیتی ملی (مثل FBI، NSA در آمریکا) - پلیس های سایبری اروپا (Europol)
GDFM	- پلیس‌ سایبری ایران - سازمان‌ های حقوقی عمومی - شرکت‌ های امنیتی خصوصی
NGDFIM	- غول‌ های فناوری (مثل گوگل، مایکروسافت) - مراکز داده ابری (Amazon AWS) - برخی آژانسهای ملی جرم و جنایت (مثل UK NCA)
DFRWS	- دانشگاه‌ های پیشرو در تحقیات دیجیتال (مثل MITRE) - آزمایشگاه‌ های تحقیقاتی پلیس (مثل INTERPOL Cyber Lab)
CFFTPM	- سازمان‌ های بین‌ المللی امنیت سایبری (مثل سازمان ملل برای جرایم سایبری) - پلیس‌ های چندکشوره (مثل ASEAN Cyber Capacity)
IDIP	- بانک‌ های بزرگ (برای تحقیقات کلاهبرداری) - پلیس‌ های مفاسد مالی (مثل واحدهای مبارزه با پولشویی)
EDRM	- دفاتر حقوقی بین‌ المللی - شرکت‌ های خصوصی بزرگ برای رسیدگی به دعاوی - دادگاه‌ های جرایم دیجیتال
SANS Framework	- تیم‌ های پاسخ به حوادث سایبری (CSIRT) - شرکت‌ های امنیتی (مثل Kaspersky، Palo Alto) - برخی ارگان‌ های دولتی

 

منابع و ماخذ:

- منابع بین‌ المللی

1. کتاب‌ ها:

   • Casey, E. (2021). Digital Forensics and Incident Response (2nd ed.). Elsevier.
     https://www.elsevier.com/books/digital-forensics-and-incident-response/casey/978-0-12-819442-0

     • پوشش جامع مدل‌ های ADFM، GDFM و NGDFIM.

   • Carrier, B. (2005). File System Forensic Analysis. Addison-Wesley.

     • مبانی تکنیک‌ های تحلیل دیجیتال در مدل DFRWS.

2. مقالات:

   • Reith, M., Carr, C., & Gunsch, G. (2002). An Examination of Digital Forensic Models. International Journal of Digital Evidence.
     https://www.utica.edu/academic/institutes/ecii/publications/articles/EFE36584-D13F-2962-67BEB146864A2671.pdf

     • مقایسه مدل‌ های IDIP و CFFTPM.

   • Pollitt, M. (2007). A History of Digital Forensics. IFIP Advances in Information and Communication Technology.

     • تاریخچه توسعه مدل EDRM.

3. اسناد سازمان‌ های معتبر:

   • DFRWS Framework:
     https://www.dfrws.org/

     • چارچوب رسمی مدل DFRWS.

   • EDRM Guidelines:
     https://www.edrm.net/

     • مستندات کامل مراحل کشف الکترونیکی.

   • SANS Institute Whitepapers:
     https://www.sans.org/white-papers/

     • مقالات تخصصی درباره مدل SANS Investigative Framework.

- منابع فارسی

1. کتاب‌ ها:

   • رضوی، م. (1399). جرایم سایبری و پزشکی قانونی دیجیتال. انتشارات جنگل.

     • معرفی مدل‌ های GDFM و ADFM در حقوق ایران.

   • موسوی، س. (1400). فورنزیک رایانه‌ای در پرونده‌ های قضایی. مرکز پژوهش‌ های مجلس.

     • تطبیق مدل EDRM با قوانین ایران.

- تجربیات شخصی