مصطفي كامل
عدد المساهمات : 5015
نقــاط المشاركة : 8721
تاريخ التسجيل : 17/08/2010
 |  موضوع: مسرح الجريمة الإلكترونية Electronic crime scene  الإثنين أبريل 06, 2015 9:20 pm | |
| مسرح الجريمة الإلكترونية
Electronic crime scene - عند الشروع في جمع الأدلة من مسرح جريمة من الجرائم المتعلقة بشبكة الانترنت ينبغي التعامل معه على أنه مسرحين هما:
1. مسرح تقليدي: ويقع خارج بيئة الحاسب الآلي والانترنت، ويتكون بشكل رئيسي من المكونات المادية المحسوسة للمكان الذي وقعت فيه الجريمة، وهو أقرب ما يكون إلى مسرح أية جريمة تقليدية، قد يترك فيها الجاني آثار عدة، كالبصمات وغيرها، وربما ترك متعلقات شخصية أو وسائط تخزين رقمية، ويتعامل أعضاء فريق التحقيق مع الأدلة الموجودة فيه كل بحسب اختصاصه.
2. مسرح سيبراني" افتراضي": ويقع داخل بيئة الحاسب الآلي وشبكة الانترنت، ويتكون من البيانات الرقمية التي تتواجد وتنقل داخل بيئة الحاسوب وشبكاته، في ذاكرته وفي الأقراص الصلبة الموجودة بداخله، والتعامل مع الأدلة الموجودة في هذا المسرح يجب أن يتم على يد خبير متخصص في التعامل مع الأدلة الرقمية .
أ. معاينة مسرح الجريمة المتعلقة بشبكة الإنترنت
مع التسليم بأهمية المعاينة في كشف غموض الكثير من الجرائم التقليدية وجدارتها بتبوء مكان الصدارة والأولوية فيما عدا حالات استثنائية على ما عداها من الإجراءات الاستقصائية الأخرى، إلا أن دورها في مجال كشف غموض الجرائم المعلوماتية وضبط الأشياء التي قد تفيد في إثبات وقوعها ونسبتها إلى مرتكبها لا ترقَى إلى نفس الدرجة من الأهمية ، ومرد ذلك اعتبارين هما:
الأول : أن الجرائم التي تقع على نظم المعلومات والشبكات قلما يخلف عن ارتكابها آثاراً مادية، والثاني : هو أن عدداً كبيراً من الأشخاص قد يتردد على المكان أو مسرح الجريمة خلال الفترة الزمنية الطويلة نسبياً والتي تتوسط عادة بين زمن ارتكاب الجريمة وبين اكتشافها ،مما يفسح المجال لحدوث تغير أو إتلاف أو عبث بالآثار المادية أو زوال بعضها وهو ما يلقي ظلالاً من الشك على الدليل المستمد من المعاينة، وحتى يكون للمعانية في الجرائم المتعلقة بشبكة الانترنت فائدة في كشف الحقيقة عنها وعن مرتكبها ينبغي مراعاة عدة قواعد وإرشادات فنية أبرزها ما يلي :
- تصوير الحاسب الآلي والأجهزة الطرفية المتصلة به والمحتويات العامة بمكانه، مع التركيز خاصة على تصوير الأجزاء الخلفية للحاسب وملحقاته ومراعاة تسجيل وقت وتاريخ ومكان التقاط كل صورة.
- العناية البالغة بملاحظة الطريقة التي تم بها إعداد النظام والآثار الإلكترونية الخاصة بالتسجيلات الإلكترونية التي تتزود بها شبكات المعلومات ،بموافقة موقع الاتصال ونوع الجهاز الذي تم عن طريقه الولوج إلى النظام أو الموقع .
- ملاحظة وإثبات حالة التوصيلات والكابلات المتصلة بكل مكونات النظام حتى يمكن إجراء عملية المقارنة والتحليل عند عرض الأمر فيما بعد على القضاء.
- وضع مخطط تفصيلي للمنشأة الواقعة بها الجريمة مع كشف تفصيلي بالمسئولين بها ودور كل واحد منهم.
- فصل الكهرباء عن موقع المعاينة لشل فاعلية الجاني في القيام بأي فعل من شأنه التأثير على أثار الجريمة.
- إبعاد الموظفين عن أجهزة الحاسب الآلي، وكذلك عن الأماكن الأخرى التي توجد بها أجهزة للحاسب الآلي.
- عدم نقل أي معلومة من مسرح الجريمة إلا بعد التأكد من خلو المحيط الخارجي لموقع الحاسب الآلي من آي مجال مغناطيسي يمكن أن يتسبب في محو البيانات المسجلة.
- التحفظ عما قد يوجد بسلة المهملات من الأوراق الملقاة أو الممزقة أو أوراق الكربون المستعملة والأشرطة والأقراص الممغنطة غير السليمة، وفحصها ورفع البصمات المحتمل اتصالها بالجريمة .
- التحفظ على مستندات الإدخال والمخرجات الورقية للحاسب ذات الصلة بالجريمة لرفع البصمات.
- قصر مباشرة المعاينة على فئة معينة من الباحثين والمحققين الذين تتوافر لديهم الكفاءة العلمية والخبرة الفنية في مجال الحاسب الآلي والشبكات ونظم المعلومات واسترجاع المعلومات، والذين تلقوا تدريباً كافياً على التعامل مع نوعية الآثار والأدلة التي يحتويها مسرح الجريمة المعلوماتية، ففي فرنسا مثلاً يقوم فريق مكون من 13 شرطي بالإشراف على تنفيذ المهمات التي يعهد بها إليه وكلاء النيابة والمحققين وجمعيهم تلقوا تدريب متخصص إلى جانب اختصاصهم الأساسي في مجال التكنولوجيا الحديثة، وهم يقومون بمرافقة المحققين أثناء التفتيش حيث يقومون بفحص كل جهاز وينقلون نسخة من الاسطوانة الصلبة وبيانات البريد الإلكتروني ثم يقومون بتحريرتقرير يرسل إلى القاضي الذي يتولى التحقيق .
أما عن المعدات والبرامج فهم يستخدمون برامج تستطيع استعادة المعلومات من على الاسطوانة الصلبة ،كما يمكنها قراءة الاسطوانات المرنة والصلبة التالفة، كما يوجد تحت تصرفهم برامج تمكنهم من قراءة الحاسبات المحمولة،ومن المهم هنا أن يتم توثيق مسرح الجريمة ووصفه بكامل محتوياته بشكل جيد، مع توثيق كل دليل على حدى بما فيها الأدلة الرقمية، بحيث يتم توضيح مكان الضبط والهيئة التي كان عليها ومن قام برفعه وتحريزه وكيف ومتى تم ذلك، و البعض يرى أن التوثيق يجب أن يشمل المصادر المتاحة على الشبكة التي ترتبط بها الأجهزة محل التحقيق.
ولعل من أبرز الأماكن التي يحتمل وجود الأدلة الجنائية المتعلقة بجرائم الانترنت فيها ما يلي:
- الورق: على الرغم من ان وجود أجهزة الحاسب الآلي، قلل من حجم الأوراق والملفات التقليدية المستخدمة حيث يتم حفظ المعلومات والبيانات على أجهزة الحاسب الآلي، نجد الكثيرين ممن يقوموا بطابعة المعلومات لأغراض المراجعة أو التأكد من الشكل العام للمستند أو الرسالة أو الرسومات، وبالتالي فهي تعتبر من الأدلة التي ينبغي الاهتمام بها في البحث عن الحقيقة .
- جهاز الحاسب الآلي وملحقاته: وجود جهاز الحاسب الآلي هام جداً للقول بأن الجريمة الواقعة هي جريمة معلوماتية أو جريمة حاسوبية، وإنها مرتبطة بالمكان أو الشخص الحائز على الجهاز، ولأجهزة الحاسب الآلي أشكال وأحكام وألوان مختلفة وخبير الحاسب الآلي وحده الذي يستطيع أن يتعرف على الحاسب الآلي ومواصفاته بسرعة فائقة.
- البرمجيات Software: إذا كان الدليل الرقمي ينشأ باستخدام برنامج خاص أو ليس واسع الانتشار، فإن أخذ الأقراص الخاصة بتثبيت وتنصيب هذا البرنامج أمر في غاية الأهمية عند فحص الدليل .
- وسائط التخزين المتحركة: كالأقراص المدمجة "أقراص الليزر" والأقراص المرنة والأشرطة المغناطيسية والفلاش ديسك ـ ميموري ـ وغيرها، وتعد هذه الوسائط جزاء من الجريمة الإنترنتية متى كانت محتوياتها عنصر من عناصر الجريمة .
- المراشد Manuals: الخاصة بالمكونات المادية والمنطقية للحاسب الآلي والتي تفيد في معرفة التفاصيل الدقيقة لكيفية عملها.
- المودم Modem: وهو الوسيلة التي تمّكن أجهزة الحاسب الآلي من الاتصال ببعضها البعض، عبر خطوط الهاتف، وفي الوقت الحالي تطورت المودم لتكون أجهزة إرسال واستقبال فاكس والرد على المكالمات الهاتفية وتبادل البيانات وتعديلها .
- الطابعات: والتي قد تحتوي على ذاكرة تحتفظ ببعض الصفحات التي سبق طباعتها.
ب. التفتيش:
ويعرّف التفتيش بوجه عام بأنه عبارة عن إجراء من إجراءات التحقيق التي تهدف إلى البحث عن أدلة مادية لجناية أو جنحة تحقق وقوعها في محل يتمتع بحرمة المسكن أو الشخص، وذلك بهدف إثبات ارتكابها أو نسبتها إلى المتهم وفقاً لإجراءات قانونية محددة ، وفي الجرائم المتعلقة بشبكة الانترنت نجد أن الدخول غير المشروع إلى الأنظمة المعلوماتية للبحث والتنقيب في البرامج المستخدمة أو في ملفات البيانات المخزنة عما قد يتصل بجريمة وقعت، إجراء يفيد في كشف الحقيقة عنها وعن مرتكبها، وتقتضيه مصلحة وظروف التحقيق في الجرائم المعلوماتية، وهو إجراء جائز قانوناً ولو لم ينص عليه صراحة باعتباره يدخل في نطاق التفتيش بمعناه القانوني واللغوى.
- قابلية مكونات وشبكات الحاسب الآلي للتفتيش:
للحاسب الآلي مكونات مادية Hardware، وأخرى منطقية Software، كما أن له شبكات اتصال بعدية Networks Telecommunication سلكية ولا سلكية محلية ودولية،فما مدى قابلية تلك المكونات للتفتيش؟
- المكونات المادية للحاسب الآلي :
لا يختلف اثنان في أن الولوج إلى المكونات المادية للحاسب الآلي بحثاً عن شيء ما يتصل بجريمة معلوماتية وقعت يفيد في كشف الحقيقة عنها وعن مرتكبها يخضع للإجراءات القانونية الخاصة بالتفتيش، بمعنى أن حكم تفتيش تلك المكونات المادية يتوقف على طبيعة المكان الموجودة فيه تلك المكونات وهل هو من الأماكن العامة أو من الأماكن الخاصة، حيث أن لصفة المكان وطبيعته أهمية قصوى خاصة في مجال التفتيش، فإذا كانت موجودة في مكان خاص كمسكن المتهم أو أحد ملحقاته كان لها حكمه فلا يجوز تفتيشها إلا في الحالات التي يجوز فيها تفتيش مسكنه وبنفس الضمانات والإجراءات المقررة قانوناً في التشريعات المختلفة مع مراعاة التمييز بين ما إذا كانت مكونات الحاسب المراد تفتيشها منعزلة عن غيرها من الحاسبات الأخرى أم أنها متصلة بحاسب آلي أخر أو بنهاية طرفية Terminal في مكان أخر كمسكن غير المتهم مثلاً، فإذا كانت كذلك وكانت هناك بيانات مخزنة في أوعية هذا النظام الأخير من شأنها كشف الحقيقة تعين مراعاة القيود والضمانات التي يستلزمها المشرع لتفتيش هذه الأماكن أما لو وجد شخص يحمل مكونات الحاسب الآلي المادية أو كان مسيطراً عليها أو حائزاً لها في مكان ما من الأماكن العامة سواء أكانت عامة بطبيعتها كالطرق العامة والميادين والشوارع، أو كانت من الأماكن العامة بالتخصيص كالمقاهي والمطاعم والسيارات العامة، فإن تفتيشها لا يكون إلا في الحالات التي يجوز فيها تفتيش الأشخاص وبنفس الضمانات والقيود المنصوص عليها في هذا المجال .
ـ المكونات المنطقية للحاسب الآلي ومدي قابليتها للتفتيش:
تفتيش المكونات المنطقية للحاسب الآلي أثار خلافاً كبيراً في الفقه بشأن جواز تفتيشها، فذهب رأي إلى جواز ضبط البيانات الإلكترونية بمختلف أشكالها، ويستند هذا الرأي في ذلك إلى أن القوانين الإجرائية عندما تنص على إصدار الإذن بضبط "أي شيء" فإن ذلك يجب تفسيره بحيث يشمل بيانات الحاسب المحسوسة وغير المحسوسة بينما ذهب رأي آخر إلى عدم انطباق المفهوم المادي على بيانات الحاسب غير المرئية أو غير الملموسة، ولذلك فإنه يقترح مواجهة هذا القصور التشريعي بالنص صراحة على أن تفتيش الحاسب الآلي لابد أن يشمل "المواد المعالجة عن طريق الحاسب الآلي أو بيانات الحاسب الآلي"، بحيث تصبح الغاية الجديدة من التفتيش بعد التطور التقني الذي حدث بسبب ثورة الاتصالات عن بعد تتركز في البحث عن الأدلة المادية أو أي مادة معالجة بواسطة الحاسب ،وفي مقابل هذين الرأيين يوجد رأي آخر نأى بنفسه عن البحث عما إذا كانت كلمة شيء تشمل البيانات المعنوية لمكونات الحاسب الآلي أم لا، فذهب إلى ان النظر في ذلك يجب أن يستند إلى الواقع العملي والذي يتطلب أن يقع الضبط على بيانات الحاسب الآلي إذا اتخذت شكلاً مادياً ويذهب رأي فقهي إلى أنه في تحديد مدلول الشيء بالنسبة لمكونات الحاسب الآلي يجب عدم الخلط بين الحق الذهني للشخص على البرامج والكيانات المنطقية وبين طبيعة هذه البرامج والكيانات، وإنما يتعين الرجوع في ذلك إلى تحديد مدلول كلمة المادة في العلوم الطبيعية، فإذا كانت المادة تعرف بأنها كل ما يشغل حيزاً مادياً في فراغ معين وأن الحيز يمكن قياسه والتحكم فيه، وكانت الكيانات المنطقية أو البرامج تشغل حيزاً مادياً في ذاكرة الحاسب الآلي ويمكن قياسها بمقياس معين، وإنها أيضاً تأخذ شكل نبضات إلكترونية تمثل الرقمين صفر أو واحد، فإنها تعد طبقاً لذلك ذات كيان مادي وتتشابه مع التيار الكهربائي الذي اعتبره الفقه والقضاء في فرنسا ومصر من قبيل الأشياء المادية .
ـ شبكات الحاسب الآلي ومدى خضوعها للتفتيش "التفتيش عن بعد"
إن طبيعة التكنولوجيا الرقمية قد عقَّدت من التحدي أمام أعمال التفتيش والضبط ، فالبيانات التي تحتوي على أدلة قد تتوزع عبر شبكة حاسوبية في أماكن مجهولة بعيدة تماماً عن الموقع المادي للتفتيش، وإن ظل من الممكن الوصول إليها من خلال حواسيب تقع في الأبنية الجاري تفتيشها، وقد يكون الموقع الفعلي للبيانات داخل اختصاص قضائي آخر أو حتى في بلد آخر، وفي حين أن السلطات في بعض البلدان قد لا تنزعج من أن تقودها تحقيقاتها إلكترونياً إلى اختصاص قضائي سيادي آخر، إلا أن السلطات في ذلك الاختصاص السيادي قد تشعر ببالغ الانزعاج، وهذا يزيد من تعقيد مشاكل الجريمة السيبرانية العابرة للحدود ويزيد من أهمية تبادل المساعدة القانونية، ونستطيع أن نميز في هذه الصورة بين ثلاثة احتمالات على النحو التالي:
اـ الاحتمال الأول: اتصال حاسب المتهم بحاسب آخر أو نهاية طرفية موجودة في مكان آخر داخل الدولة، يُثار التساؤل حول مدى إمكانية امتداد الحق في التفتيش إذا تبين أن الحاسب أو النهاية الطرفية في منزل المتهم متصلة بجهاز أو نهاية طرفية في مكان آخر مملوك لشخص غير المتهم؟
يرى الفقه الألماني إمكانية امتداد التفتيش إلى سجلات البيانات التي تكون في موقع آخر استناداً إلى مقتضيات القسم 103 من قانون الإجراءات الجزائية الألماني ،ونجد إنعكاسات هذا الرأي في المادة 88 من قانون تحقيق الجنايات البلجيكي التي تنص على " إذا أمر قاضي التحقيق بالتفتيش في نظام معلوماتي، أو في جزء منه فإن هذا البحث يمكن أن يمتد إلى نظام معلوماتي آخر يوجد في مكان آخر غير مكان البحث الأصلي، ويتم هذا الامتداد وفقا لضابطين :
"أ" إذا كان ضرورياً لكشف الحقيقة بشأن الجريمة محل البحث.
"ب" إذا وجدت مخاطر تتعلق بضياع بعض الأدلة نظراً لسهولة عملية محو أو إتلاف أو نقل البيانات محل البحث وذات الشيء نجده في القانون الاتحادي الأسترالي حيث لم تعد صلاحيات التفتيش المتصلة بالأدلة الحاسوبية تقتصر على مواقع محددة، فقد توخى قانون الجرائم السيبرنية لعام 2001 إمكانية أن تتوزع بيانات الأدلة على شبكة حواسيب، ويسمح هذا القانون بعمليات تفتيش البيانات خارج المواقع التي يمكن اختراقها من خلال حواسيب توجد في الأبنية الجاري تفتيشها ، ويشير مصطلح "البيانات المحتجزة في حاسوب ما " إلى " أية بيانات محتجزة في جهاز تخزين على شبكة حواسيب يشكِّل الحاسوب جزءاً منها"، فلا توجد حدود جغرافية محددة، ولا أي اشتراط بالحصول على موافقة طرف ثالث ، غير أن المادة 3LB بقانون الجرائم لعام 1914، والتي أدرجها قانون الجرائم السيبرنية، تشترط إخطار شاغل المبنى قدر الإمكان عملياً، وهذا قد يكون أكثر تعقيداً مما يبدو عليه، إذ أنه في مسار إجراء عملية بحث من خلال بيئة مرتبطة شبكياً، فإن المرء لا يكون متأكداً دائماً من مكان وجوده
ب ـ الاحتمال الثاني: اتصال حاسب المتهم بحاسب آخر أو نهاية طرفية موجودة في مكان آخر خارج الدولة
من المشاكل التي تواجه سلطة الادعاء في جمع الأدلة قيام مرتكبي الجرائم بتخزين بياناتهم في أنظمة تقنية خارج الدولة مستخدمين في ذلك شبكة الاتصالات البعدية مستهدفين عرقلة الادعاء في جمع الأدلة والتحقيقات وفي هذه الحالة فإن امتداد الإذن بالتفتيش إلى خارج الإقليم الجغرافي للدولة التي صدر من جهتها المختصة الإذن ودخوله في المجال الجغرافي للدولة أخرى وهو ما يسمي بالولوج أو التفتيش عبر الحدود قد يتعـذر القيام به بسبب تمسك كل دولة بسيادتها،لذا فإن جانب من الفقه يرى بأن التفتيش الإلكتروني العابـر للحدود لا بد وأن يتم في إطار اتفاقيات خاصة ثنائية أو دولية تجيز هذا الامتداد تعقد بين الدول المعنية، وبالتالي فإنه لا يجوز القيام بذلك التفتيش العابر للحدود في غياب تلك الاتفاقية، أو على الأقل الحصول على إذن الدولة الأخرى، وهذا يؤكد على أهمية التعاون الدولي في مجال مكافحة الجرائم السيبيرية كما سبق ذكره اعلاه .
وكتطبيق لهذا الإجراء الأخير: فقد حدث في ألمانيا أثناء جمع إجراءات التحقيق عن جريمة غش وقعت في بيانات حاسب آلي، فقد تبين وجود اتصال بين الحاسب الآلي المتواجد في ألمانيا وبين شبكة اتصالات في سويسرا حيث يتم تخزين بيانات المشروعات فيها، وعندما أرادت سلطات التحقيق الألمانية ضبط هذه البيانات، فلم تتمكن من ذلك إلا عن طريق التماس المساعدة، الذي تم بالتبادل بين الدولتين ومع ذلك أجازت المادة 32 من الاتفاقية الأوربية بشأن الجرائم المعلوماتية السالف ذكرها ، إمكانية الدخول بغرض التفتيش والضبط في أجهزة أو شبكات تابعة لدولة أخرى بدون إذنها في حالتين: الأولى إذا تعلق التفتيش بمعلومات أو بيانات مباحة للجمهور، والثانية إذا رضي صاحب أو حائز هذه البيانات بهذا التفتيش
ج ـ الاحتمال الثالث: التنصت والمراقبة الإلكترونية لشبكات الحاسب الآلي
التنصت والأشكال الأخرى للمراقبة الإلكترونية رغم أنها مثيرة للجدل إلا أنه مسموح بها تحت ظروف معينة في جميع الدول تقريباً، فالقانون الفرنسي الصادر في 10/7/1991م ،يجيز اعتراض الاتصالات البعدية بما في ذلك شبكات تبادل المعلومات ، وفي هولندا أجاز المشرع لقاضي التحقيق أن يأمر بالتنصت على شبكات الاتصالات إذا كانت هناك جرائم خطيرة ضالع فيها المتهم وتشمل هذه الشبكة التلكس والفاكس ونقل البيانات ، وفي اليابان أقرت محكمة مقاطعة KOFU سنة 1991م شرعية التنصت على شبكات الحاسب للبحث عن دليل
وتفتيش نظم الحاسب الآلي يمكن أن يتم بطرق عدة، فمثلاً المرشد الفيدرالي الأمريكي ، جاء بأربع طرق أساسية للتفتيش ممكنة التحقق هي:
1. تفتيش الحاسب الآلي وطبع نسخة ورقية من ملفات معينة في ذات الوقـــــت.
2. تفتيش الحاسب الآلي وعمل نسخة إلكترونية من ملفات معينة في ذات الوقت.
3.عمل نسخة إلكترونية طبق الأصل من جهاز التخزين بالكامل في الموقع، وبعد ذلك يتم إعادة عمل نسخة
من جهاز التخزين خارج الموقع للمراجعة.
4. ضبط الجهاز وإزالة ملحقاته ومراجعة محتوياته خارج الموقع.
ـ الوسائل والبرمجيات المساعدة في التحقيق في الجرائم المتعلقة بالإنترنت:
عند القيام بالتحقيق في الجريمة ، يجب على المحقق الالتزام بقوانين وتشريعات ولوائح مفسرة، وقواعد فنية تحقق الشرعية، وسهولة الوصول إلى الجاني،و يتم ذلك بالاعتماد على مجموعة وسائل، وفي هذا المجال هي :
الوسائل المادية:
وهي الأدوات الفنية التي غالباً ما تستخدم في بنية نظم المعلومات والتي يمكن باستخدامها تنفيذ إجراءات وأساليب التحقيق المختلفة والتي تثبت وقوع الجريمة وتساعد على تحديد شخصية مرتكبها ومن أهمها :
أ. عناوين IP، والبريد الإلكتروني، وبرامج المحادثة: عنوان الإنترنت هو المسئول عن تراسل حزم البيانات عبر شبكة الإنترنت وتوجيهها إلى أهدافها، وهو يشبه إلى حد كبير عنوان البريد العادي، حيث يتيح للموجهات والشبكات المعنية نقل الرسالة، وهو يوجد بكل جهاز مرتبط بالإنترنت، ويتكون من أربعة أجزاء، كل جزء يتكون من أربع خانات، فيكون المجموع اثنا عشر خانة كحد أقصى، حيث يشير الجزء الأول من اليسار إلى المنطقة الجغرافية، والجزء الثاني لمزود الخدمة، والثالث لمجموعة الحاسبات الآلية المرتبطة، والرابع يحدد الحاسب الآلي الذي تم الاتصال منه ،وفي حالة وجود أي مشكلة أو أية أعمال تخريبية فإن أول ما يجب أن يقوم به المحقق هو البحث عن رقم الجهاز وتحديد موقعه لمعرفة الجاني الذي قام بتلك الأعمال غير القانونية، ويمكن لمزود خدمة الإنترنت أن يراقب المشترك، كما يمكن للشبكة التي تقدم خدمة الاتصال الهاتفي أن تراقبه أيضاً إذا ما توافرت لديها أجهزة وبرامج خاصة لذلك .
هذا وتوجد أكثر من طريقة يمكن من خلالها معرفة هذا العنوان الخاص بجهاز الحاسب الآلي في حالة الاتصال المباشر، منها على سبيل المثال ما يستخدم في حالة العمل على نظام تشغيل WINDOWS حيث يتم كتابة WINPCFG في أمر التشغيل ليظهر مربع حوار يبين فيه عنوان IP، مع ملاحظة أن عنوان الإنترنت قد يتغير مع كل اتصال بشبكة الإنترنت،أما في حالة استخدام أحد البرامج التحادثية كأداة للجريمة فإنه يتطلب تحديد هوية المتصل، كما تحدد رسالة البريد الإلكتروني عنوان شخصية مرسلها حتى ولو لم يدون معلوماته في خانة المرسل شريطة أن تكون تلك المعلومات التي وضعت في مرحلة إعدادات البريد الإلكتروني معلومات صحيحة
ب. البروكسي PROXY: يعمل البروكسي كوسيط بين الشبكة ومستخدميها بحيث تضمن الشركات الكبرى المقدمة لخدمة الاتصال بالشبكات قدرتها لإدارة الشبكة، وضمان الأمن وتوفير خدمات الذاكرة الجاهزة Cache Memory. وتقوم فكرة البروكسي على تلقى مزود البروكسي طلباً من المستخدم للبحث عن صفحة ما ضمن ذاكرة Cache المحلية المتوفرة فيتحقق البروكسي فيما إذا كانت هذه الصفحة قد جرى تنزيلها من قبل، فيقوم بإعادة إرسالها إلى المستخدم بدون الحاجة إلى إرسال الطلب إلى الشبكة العالمية أم إنه لم يتم تنزيلها من قبل فيتم إرسال الطلب إلي الشبكة العالمية، وفي هذه الأخيرة يعمل البروكسي كمزود زبون ويستخدم أحد عناوين IP ومن أهم مزايا مزود البروكسي أن ذاكرة Cache المتوفرة لديه يمكن أن تحتفظ بتلك العمليات التي تمت عليها مما يجعل دوره قوى في الإثبات عن طريق فحص تلك العمليات المحفوظة بها والتي تخص المتهم والموجودة عند مزود الخدمة
ج. برامج التتبع: تقوم هذه البرامج بالتعرف على محاولات الاختراق التي تتم، وتقدم بيان شامل بها إلى المستخدم الذي تم اختراق جهازه، ويحتوي هذا البيان على اسم الحدث وتاريخ حدوثه وعنوان IP التي تمت من خلاله عملية الاختراق، واسم الشركة المزودة لخدمة الإنترنت المستضيفة للمخترق، وأرقام مداخلها ومخارجها على شبكة الإنترنت ومعلومات أخرى.
د. نظام كشف الاختراق Intrusion Detection System: ويرمز له اختصاراً بالأحرف IDS وهذه الفئة من البرامج تتولي مراقبة بعض العمليات التي يجري حدوثها على أجهزة الحاسب الآلي أو الشبكة مع تحليلها بحثاً عن أية إشارة قد تدل على وجود مشكلة قد تهدد أمن الحاسوب أو الشبكة ، ويتم ذلك من خلال تحليل رزم البيانات أثناء انتقالها عبر الشبكة ومراقبة بعض ملفات نظام التشغيل الخاصة بتسجيل الأحداث فور وقوعها في جهاز الحاسب الآلي أو الشبكة، ومقارنة نتائج التحليل بمجموعة من الصفات المشتركة للاعتداءات على الأنظمة الحاسوبية والتي يطلق عليها أهل الاختصاص مصطلح التوقيع، وفي حال اكتشف النظام وجود أحد هذه التواقيع يقوم بإنذار مدير النظام بشكل فوري وبطرق عده ويسجل البيانات الخاصة بهذا الاعتداء في سجلات حاسوبية خاصة ، والتي يمكن أن تقدم معلومات قيمة لفريق التحقيق تساعدهم على معرفة طريقة ارتكاب الجريمة وأسلوبها وربما مصدرها .
هـ. نظام جرة العسل Honey Pot: : وهو نظام حاسوبي مصمم خصيصاً لكي يتعرض لأنواع مختلفة من الهجمات عبر الشبكة دون أن يكون عليه أية بيانات ذات أهمية، ويعتمد على خداع من يقوم بالهجوم وإعطائه انطباعاً خاطئاً بسهولة الاعتداء على هذا النظام بهدف إغرائه بمهاجمته ليتم منعه من الاعتداء على أي جهاز آخر في الشبكة، في الوقت الذي يتم جمع أكبر قدر ممكن من المعلومات عن الأساليب التي يتبعها المهاجم في محاولة الاعتداء، وتحليلها وبالتالي اتخاذ إجراء وقائي فعال وهذه المعلومات التي تم جمعها تفيد في تحليل أبعاد الجريمة في حال وقوعها ويهتم فريق التحقيق بالعديد من البيانات التي توضح معالم الجريمة .
و. أدوات تدقيق ومراجعة العمليات الحاسوبية Auditing Tools:وهي أدوات خاصة تقوم بمراقبة العمليات المختلفة التي تجري على ملفات ونظام تشغيل حاسوب معين ،وتسجيلها في ملفات خاصة يطلق عليها Logs هذه الأدوات تأتي مضمنة في أنظمة التشغيل المختلفة، وبعضها يأتي كبرامج مستقلة يتم تركيبها على أنظمة التشغيل بعد إعدادها للعمل، كل ما يلزم هو قيام مدير الشبكة أو النظام بإعدادها للعمل في وقت سابق لارتكاب الجريمة حتى تقوم بتسجيل المعلومات التي لها علاقة بالحادثة وربما ساعدت في كشف أسلوب الجريمة و مرتكبها ومن أمثلة هذه الأدوات أداة Event Viewer لبيئة النوافذ وأداة Syslog لبيئة يونيكس .
ح أدوات الضبط: هي أدوات تعتبر من الوسائل المادية التي تساعد في ضبط الجريمة المعلوماتية، منها على سبيل المثال برامج الحماية وأدوات المراجعة، وأدوات مراقبة المستخدمين للشبكة، وبرامج التنصت على الشبكة، والتقارير التي تنتجها نظم أمن البيانات، ومراجعة قاعدة البيانات، وبرامج النسخ الاحتياطي، والتسجيل وغيرها من الأدوات مثل [IDS,MNM4,******* MANGEMEN .
ط. الوسائل المساعدة للتحقيق: من هذه الوسائل الأدوات المستخدمة في استرجاع المعلومات من الأقراص التالفة، وبرامج كسر كلمات المرور، وبرامج الضغط وفك الضغط، وبرامج البحث عن الملفات العادية والمخفية وبرامج تشغيل الحاسب، وبرامج نسخ البيانات، أيضاً من الأدوات المهمة والتي تساعد جداً في عملية التحقيق في برامج منع الكتابة على القرص الصلب وذلك بعد ارتكاب الجريمة مما يساعد في المحافظة على مسرح الجريمة، وهناك البرامج التي تساعد على استرجاع الملفات والمعلومات التي قد يلجأ الجاني إلى حذفها نهائياً من الحاسب الآلي وهناك أيضا برمجيات تحرير الملفات الست عشرية Hexadecimal Editors وهي برامج تمكن المحقق من الاطلاع على محتوى كل ملف حاسوبي بشكله الثنائي، متيحه له المزيد من القدرة على تحليل الملف والتعرف على طبيعة البيانات التي يحتويها، خاصة وأن بعض الأنظمة قد لا تستطيع تحديد إلى أية فئة من الملفات ينتمي هذا الملف، وقد يتطلب الأمر استخدام هذا النوع من برامج التحرير التي تعتمد على أن الكثير من الملفات تحتوى على مجموعة من الرموز ذات الدلالة تتواجد في بداية الملف، ويستطيع الخبير الحاسوبي من خلالها تحديد نوع الملف بدقة ، وهناك برمجيات البحث عن المفردات النصية والتي تستخدم في البحث عبر البيانات عن تلك الملفات التي تحتوى على مفردات معينة عادة ما تكون لها علاقة بالقضية ،كذلك توجد برمجيات استعراض الصور والتي تستخدم في عرض الصور الرقمية على شاشة الجهاز وبالتالي فهي تقدم خدمة جيدة للمحقق من خلال تمكينه من مشاهدة واستعراض الصور الرقمية المخزنة داخل أجهزة الحاسب الآلي أو وسائط التخزين الخارجية، حيث تبرز الحاجة لهذه البرمجيات في الجرائم الإباحية "نشر مواد ذات طابع إباحي" .
ي. أدوات فحص ومراقبة الشبكات : هذه الأدوات تستخدم في فحص بروتوكول TCP/IP وذلك لمعرفة ما قد يصيب الشبكة من مشاكل، ومعرفة العمليات التي تتعرض لها، ومن هذه الأدوات:
- أداة ARP: ووظيفتها تحديد مكان الحاسب الآلي فيزيائياً على الشبكة.
- برنامج Visual Route 5.2a: وهو عبارة عن برنامج يلتقط أي عملية فحص عملت ضد الشبكة، فيقوم بتقديم أجوبة تبين المعلومات التي حدث فيها مسح، والمناطق التي مر فيها الهجوم، وبعد معرفة عنوان IP أو اسم الجهة يرسم البرنامج خط يوضح من خلاله مسار الهجوم بين مصدره والجهة التي استهدفها الهجوم .
- أداة TRACER: تقوم هذه الأداة برسم مسار بين جهازين تظهر فيه كل التفاصيل عن مسار الرزم والعناوين التي زارها الجاني وتوجه من خلالها والوقت والفترات التي قضاها، وهي تسمح برؤية المسار الذي اتخذه IP من مضيف إلى آخر، وتستخدم هذه الأداة الخيار Time To Live TTL التي تكون ضمن IP لكي تستقبل من كل موجه رسالة وبذلك يكون هو العدد الحقيقي للوثبات، ويتم بذلك تحديد وبشكل دقيق المسار التي تسلكه الرزمة، وهذه الأداة تستخدم في الأساس للمسح الميداني للشبكات المراد التخطيط للهجوم عليها، إذ أنه يبين الشبكة وتخطيطها والجدران النارية المستخدمة ونظام الترشيح ونقاط الضعف، ولكن يمكن أيضاً من خلالها معرفة مكان الخلل والمشاكل التي تعرضت لها الشبكة والاختراقات التي وقعت عليها.
- أداة NET STAT: هي أداة لفحص حالة الاتصال الحالي للبرتوكول TCP/IP، ولها عدد من المهام من أهمها عرض جميع الاتصالات الحالية، ومنافذ التنصت، وعرض المنافذ والعناوين بصورة رقمية وعرض كامل لجدول التوجيه.المصدر : [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] | |
|
