بررسی مدل‌ های جرمیابی دیجیتال

با گسترش جرایم سایبری و پیچیدگی محیط‌ های دیجیتالی و روشهای ارتکاب جرم، نیاز به مدل ها و ابزارهای کارآمد برای جرمیابی و رسیدگی به پرونده های جرایم سایبری بیش از پیش احساس میشود...

رشد شدید جرایم سایبری در سطح جهانی، (از 19% در 2022 به 23% در 2023 طبق گزارش INTERPOL) نیاز به مدلهای ساختاریافته بازرسی های دیجیتال را پررنگ کرده است. و این تحولات، دستگاه های امنیتی و سیستم های قضایی سنتی را در سراسر جهان با چالش‌ های بی‌ سابقه‌ ای مواجه ساخته است.

تصویر زیر دیاگرام آماری درباره رشد خسارتهای سالانه جرایم سایبری در سطح جهانی است که «Statista» تا سال 2028 تهیه کرده است:

 

 

من در این مقاله به بررسی کلی مدل‌/روش های جرم‌ یابی دیجیتال در سطح جهانی و کاربردهای اختصاصی آنها می پردازم. این مقاله، 8 مدل اصلی شامل ADFM، GDFM، NGDFIM، DFRWS، CFFTPM، IDIP، EDRM و SANS Framework را از سه جنبه کلیدی بررسی میکند:

1. ساختار فنی: مقایسه روش‌ های جمع‌ آوری داده ها، تحلیل مدارک و گزارش‌ دهی
2. کاربران عمده: نقش سازمان‌ های داخلی و خارجی مانند FBI، پلیس فتا و INTERPOL
3. چالش‌ های اجرایی: محدودیت‌ های تخصصی، مالی و فناورانه

و البته انتخاب مدل مناسب به عواملی مانند پیچیدگی پرونده، حجم داده‌ ها، سطح دانش/تخصص پرسنل و فناوری‌ های مورد استفاده بستگی دارد. و نکته جالب این است که اگر به همه مدلها از سطح بالا نگاه کنیم، همه آنها در 4 فاز اصلی خلاصه می شوند: شناسایی و جمع آوری، بررسی و تحلیل، مستند سازی، گزارش و ارائه

 

1- GDFM: General digital forensics model

• توضیح: GDFM به معنی متدولوژی عمومی تحقیقات دیجیتال میباشد. این مدل یک روال کار عمومی و همه فن حریف می باشد که در بسیاری از انواع جرایم سایبری معمولی و روزمره کاربرد دارد.
• مراحل کار
  1. جمع‌آوری: جمع‌ آوری شواهد دیجیتال از دستگاه‌ ها و شبکه‌ ها.
  2. بررسی: تحلیل شواهد دیجیتال برای یافتن سرنخ‌ ها.
  3. تحلیل: نتیجه‌ گیری از داده‌ ها و شواهد (مانند شناسایی الگو ها، استخراج Metadata، بازیابی فایل‌ های حذف‌ شده).
  4. گزارش‌ دهی: مستندسازی یافته‌ها به‌طور ساختاریافته برای ارائه در دادگاه.
• تمرکز: عملیاتی میباشد و بیشتر در تحقیقاتی استفاده می شود که نیاز به بررسی‌ های عمومی و سطحی دارند. مانند کلاه برداری های مالی، سرقت یا موارد حقوقی.
• چالش‌ ها
  1. کلی بودن: به دلیل طراحی سطحی و کلی، کاربرد عملی در فناوری‌ های خاص (مثل IoT یا Cloud یا Metaverse) دشوار است.
  2. عدم انعطاف‌ پذیری: سازگاری با محیط‌ ها و بسترهای پویا و پیچیده دیجیتال محدود است.
  3. عدم توجه به روند‌های جدید: مانند رمزگذاری پیشرفته یا بلاکچین.

در ایران، سازمانها و شرکتهای خصوصی بدلیل کمبود نیروی متخصص، تفکر سنتی، ترس از تغییر و نبود تجهیزات(بدلیل تحریم) اغلب از مدل GDFM استفاده می کنند.

2- ADFM: Abstract digital forensics model

• توضیح: ADFM به معنی متدولوژی پیشرفته(انتزاعی) جرمیابی دیجیتال می باشد. این روال کار به مجموعه‌ ای از تکنیک‌ ها و روش‌ های پیشرفته در تحقیقات جرمیابی اشاره دارد که معمولاً برای حل مسائل پیچیده و مقیاس بزرگ استفاده می‌ شود.
• مراحل
  • تعیین نیازها (Identification)
  • جمع‌آوری (Collection)
  • تحلیل (Analysis)
  • ارائه (Presentation)
• شیوه کار
  1. به‌ کارگیری تکنیک‌ های پیشرفته برای جمع‌ آوری داده‌ ها از منابع رمزگذاری شده یا غیرمعمول.
  2. تحلیل عمیق artifact ها دیجیتالی (مثلاً تحقیقات بر روی فضای ابری، موبایل یا RAM).
  3. استفاده از روش‌ های پیشرفته برای بازیابی داده‌ های حذف‌ شده یا آسیب‌ دیده.
• کاربرد: عملیاتی می باشد و معمولاً در تحقیقات حساس مانند جرایم سایبری سازمان یافته، جاسوسی یا کلاه برداری های سطح بالا(اختلاس) مورد استفاده قرار می‌ گیرد.

• چالش‌ ها

  1. عدم تخصصی بودن: برای موارد خاص (مانند جرمیابی Cloud) کافی نیست.

  2. وابستگی زیاد به انسان: نیاز به تحلیل دستی در مراحل حساس.

  3. مدیریت BigData: در مواجه با حجم زیاد داده‌ های مدرن کارایی کمی دارد.

3- NGDFIM: Next Generation Digital Forensic Investigation Model

• توضیح: NGDFIM به معنی متدولوژی نسل جدید جرمیابی دیجیتال می باشد. این مدل جدید برای اشاره به روش‌ های نوین و در حال ظهور - مثل IoT و بلاکچین - در جرمیابی دیجیتال بکار می‌رود که برای مقابله با چالش‌ های فناوری‌ های جدید و محیط‌ های دیجیتال پیچیده طراحی شده‌ است.
• شیوه کار
  1. استفاده از ابزارها و تکنیک‌ های اتوماسیون برای مدیریت حجم زیاد داده‌(Big data) های سیستم‌ های مدرن.
  2. تمرکز ویژه بر فضای ابری/Cloud و دستگاه‌ های اینترنت اشیاء/IoT
  3. استفاده از هوش مصنوعی (AI) یا یادگیری ماشین برای بهبود کیفیت شناسایی و تحلیل Artifact ها.
  4. با رویکردی جهت مقابله با روش‌ های پیچیده رمزگذاری.
• کاربرد: این روش‌ عمدتاً چالش‌ های محیط‌ های جدید دیجیتال را هدف قرار میدهد و برای کاربردهایی مانند فارنزیک در فضای ابری، داده های حجیم و پاسخ به حوادث سایبری(Incident response) مناسب است.

• چالش‌ ها

  1. ادغام با هوش مصنوعی: نیاز به حجم زیادی از داده‌ های Train کیفیت بالا و واقعی.

  2. استاندارد سازی: عدم توافق جهانی روی ابزارها و روش‌ ها بدلیل نوپا بودن.

ابزارها و فناوری‌ های کلیدی مدل NGDFIM در هر مرحله

4- DFRWS: Digital forensic research workshop framework

• توضیح: DFRWS به معنی چارچوب(ساختار) پژوهشی جرمیابی دیجیتال می باشد. این مدل یک مدل مفهومی و صرفا برای تحقیقات/پژوهش و استاندارد سازی است که توسط محققان و جامعه علمی این حوزه طراحی و توسعه یافته است.

• مراحل کار
  ۱. شناسایی: تشخیص رویدادهای مجرمانه و جمع‌ آوری شواهد اولیه.
  ۲. حفظ و نگهداری: اطمینان از عدم تغییر یا تخریب شواهد دیجیتال.
  ۳. تحلیل: بررسی داده‌ ها برای کشف الگوهای مجرمانه.
  ۴. مستندسازی: ثبت تمام مراحل و نتایج برای ارائه به واحدها یا سازمانی های تحقیقاتی.

• کاربرد: علمی/تحقیقاتی میباشد و گاهاً در پرونده‌ های پیچیده جرایم سایبری که نیاز به تحقیق و پژوهش های عمیق و طولانی دارند استفاده میشود.

• چالش‌ ها

  • عدم تمرکز بر مراحل قانونی: گزارش‌ دهی ممکن است با الزامات و چهارچوب های قضایی تطابق نداشته باشد.

  • وابستگی به منابع تحقیقاتی: بروزرسانی مداوم نیاز است.

5-  CFFTPM: Common digital forensic investigation process model

• توضیح: CFFTPM به معنی مدل فرآیند مشترک(عمومی/همه فن حریف) تحقیقات جرمیابی دیجیتال می باشد. یک مدل استاندارد برای فرآیند تحقیقات جرمیابی دیجیتال که توسط سازمان‌ های بین‌ المللی مانند INTERPOL پیشنهاد شده است.

• مراحل کار

  1. آماده‌ سازی

     • تهیه تجهیزات سخت افزاری و نرم‌ افزارهای تخصصی

     • تعیین پروتکل‌ های استاندارد جمع‌ آوری شواهد

  2. شناسایی

     • تشخیص واقعه جرم (جرمشناسی)

     • تعیین محدوده و وسعت تحقیق

     • شناسایی منابع داده و اطلاعات (دستگاه‌ها، شبکه‌ها، فضای ابری)

  3. جمع‌ آوری

     • تصویربرداری قانونی از Device ذخیره‌ سازی

     • مستندسازی زنجیره نگهداری شواهد (Chain of Custody)

     • استفاده از روش‌ های استاندارد برای جلوگیری از آلودگی داده‌ ها

  4. بررسی و تحلیل

     • بازیابی داده‌ های حذف شده

     • تحلیل Metadata و Log ها

     • شناسایی الگوهای مجرمانه

     • استفاده از تکنیک‌ های داده‌ کاوی

  5. مستندسازی

     • تهیه گزارش جامع

     • ثبت تمام مراحل انجام شده

     • آماده‌ سازی شواهد برای ارائه در دادگاه

  6. ارائه و شهادت

     • ارائه یافته‌ ها به مراجع قضایی

• ویژگی‌ ها

  • انعطاف‌ پذیری بالا برای تطابق با انواع جرایم سایبری.

  • تاکید بر مستندسازی برای جلوگیری از رد شواهد در دادگاه.

  • پذیرش بین‌ المللی: مطابق با استانداردهای INTERPOL و ENISA

• کاربرد: عملیاتی میباشد و در پرونده‌ های بین‌ المللی و تحقیقات چند مرحله‌ ای مورد استفاده قرار میگیرد.

• چالش‌ ها

  • پیچیدگی فرآیند: نیاز به تخصص چند حوزه فنی، قانونی و امنیتی.

6- IDIP: Integrated digital investigation process

• توضیح: IDIP به معنی فرآیند یکپارچه تحقیقات دیجیتال می باشد. این مدل، فرآیند تحقیقات دیجیتال را با تحقیقات فیزیکی ادغام می‌ کند.

• مراحل:

  1. پیش‌تحقیق

     • آماده‌ سازی تیم‌ های چند تخصصی

     • استاندارد سازی و تعیین روش‌ های جمع‌ آوری

  2. واکنش به حادثه

     • حفاظت همزمان از صحنه فیزیکی جرم و داده‌ های دیجیتالی

     • تصویربرداری دوگانه (Device ها + عکس‌ برداری از صحنه)

  3. تحلیل یکپارچه

     • تطبیق زمان‌ بندی رویدادهای دیجیتالی و فیزیکی

  4. بازسازی صحنه

     • ایجاد نقشه دیجیتال-فیزیکی از وقایع

     • استفاده از نرم‌ افزارهای ویژه

• کاربرد: عملیاتی میباشد و در جرایم ترکیبی (فیزیکی-دیجیتال) مورد استفاده قرار میگیرد. مانند جعل مدارک فیزیکی بانکی بکمک نرم افزار و تجهیزات الکترونیکی

7- EDRM: Electronic discovery reference model

• توضیح: به معنی مرجع کشفیات الکترونیکی می باشد. این مدل بیشتر در حوزه پرونده‌ های حقوقی/اداری و Information governance مورد استفاده قرار میگیرد و مطابقت بالایی با استانداردهای دادگاهی دارد.

• مراحل

  1. شناسایی داده‌ ها

  2. جمع‌ آوری و پردازش داده‌ ها

  3. تحلیل و بررسی محتوا

• کاربرد: عملیاتی می باشد و به بررسی ایمیل‌ ها، اسناد اداری و ارتباطات داخل سازمانی دیجیتالی می پردازد.

8- SANS investigative framework

• توضیح: به معنی چهارچوب تحقیقاتی موئسسه SANS می باشد. یک مدل کاربردی که توسط موسسه امنیت سایبری و تحقیقاتی SANS ارائه شده است.

• ویژگی‌ ها

  1. تمرکز بر پاسخ به حوادث سایبری.

  2. استفاده از چک‌ لیست‌های عملیاتی برای سرعت بخشیدن به تحقیقات.

• کاربرد: حوادث امنیتی مانند نفوذ به شبکه‌ های سازمانی.

• چالش‌ ها

  1. تمرکز بر پاسخ به حادثه: کمتر بر تحلیل جرمیابی عمیق تأکید دارد.

  2. عدم انعطاف‌ پذیری در محیط‌ های خاص: مثل سیستم‌ های IoT یا بلاکچین یا Metaverse.

  3. سرعت پاسخ‌ دهی: در حملات پیچیده و چندلایه کافی نیست و نیاز به فرایندهای دستی خارج از چهارچوب دارد.

  4. وابستگی زیاد به تیم متخصص: نیاز به آموزش مداوم پرسنل و بروز رساندن.​​​​​​​

​​​​​​​​​​​​​​

جدول سازمان‌ ها و کشورهای استفاده‌ کننده از مدل‌ های جرمیابی دیجیتال

نام مدل	سازمان‌ / کشور استفاده‌ کننده
ADFM	- سازمان‌ های امنیتی ملی (مثل FBI، NSA در آمریکا) - پلیس های سایبری اروپا (Europol)
GDFM	- پلیس‌ سایبری ایران - سازمان‌ های حقوقی عمومی - شرکت‌ های امنیتی خصوصی
NGDFIM	- غول‌ های فناوری (مثل گوگل، مایکروسافت) - مراکز داده ابری (Amazon AWS) - برخی آژانسهای ملی جرم و جنایت (مثل UK NCA)
DFRWS	- دانشگاه‌ های پیشرو در تحقیات دیجیتال (مثل MITRE) - آزمایشگاه‌ های تحقیقاتی پلیس (مثل INTERPOL Cyber Lab)
CFFTPM	- سازمان‌ های بین‌ المللی امنیت سایبری (مثل سازمان ملل برای جرایم سایبری) - پلیس‌ های چندکشوره (مثل ASEAN Cyber Capacity)
IDIP	- بانک‌ های بزرگ (برای تحقیقات کلاهبرداری) - پلیس‌ های مفاسد مالی (مثل واحدهای مبارزه با پولشویی)
EDRM	- دفاتر حقوقی بین‌ المللی - شرکت‌ های خصوصی بزرگ برای رسیدگی به دعاوی - دادگاه‌ های جرایم دیجیتال
SANS Framework	- تیم‌ های پاسخ به حوادث سایبری (CSIRT) - شرکت‌ های امنیتی (مثل Kaspersky، Palo Alto) - برخی ارگان‌ های دولتی

 

منابع و ماخذ:

- منابع بین‌ المللی

1. کتاب‌ ها:

   • Casey, E. (2021). Digital Forensics and Incident Response (2nd ed.). Elsevier.
     https://www.elsevier.com/books/digital-forensics-and-incident-response/casey/978-0-12-819442-0

     • پوشش جامع مدل‌ های ADFM، GDFM و NGDFIM.

   • Carrier, B. (2005). File System Forensic Analysis. Addison-Wesley.

     • مبانی تکنیک‌ های تحلیل دیجیتال در مدل DFRWS.

2. مقالات:

   • Reith, M., Carr, C., & Gunsch, G. (2002). An Examination of Digital Forensic Models. International Journal of Digital Evidence.
     https://www.utica.edu/academic/institutes/ecii/publications/articles/EFE36584-D13F-2962-67BEB146864A2671.pdf

     • مقایسه مدل‌ های IDIP و CFFTPM.

   • Pollitt, M. (2007). A History of Digital Forensics. IFIP Advances in Information and Communication Technology.

 

 

• https://www.geeksforgeeks.org/abstract-digital-forensic-model
• تاریخچه توسعه مدل EDRM.

1. اسناد سازمان‌ های معتبر:

   • DFRWS Framework:
     https://www.dfrws.org/

     • چارچوب رسمی مدل DFRWS.

   • EDRM Guidelines:
     https://www.edrm.net/

     • مستندات کامل مراحل کشف الکترونیکی.

   • SANS Institute Whitepapers:
     https://www.sans.org/white-papers/

     • مقالات تخصصی درباره مدل SANS Investigative Framework.

- منابع [ضعیف] فارسی

1. کتاب‌ ها:

   • رضوی، م. (1399). جرایم سایبری و پزشکی قانونی دیجیتال. انتشارات جنگل.

     • معرفی مدل‌ های GDFM و ADFM در حقوق ایران.

   • موسوی، س. (1400). فورنزیک رایانه‌ای در پرونده‌ های قضایی. مرکز پژوهش‌ های مجلس.

     • تطبیق مدل EDRM با قوانین ایران.

- تجربیات شخصی