I marts 2015 annoncerede CIA-direktør John Brennan oprettelsen af et nyt CIA-direktorat for digital innovation, det første nye CIA-direktorat på omkring fem årtier. Den nye afdeling blev oprettet for at fremme teknikker inden for digital forensik, en søjle i retsmedicinsk videnskab relateret til aktiviteterne til undersøgelse og gendannelse af data og metadata (data om data), der findes i digitale enheder, og for at forbedre CIA's evne til at spore "Digitalt støv" efterladt under rutinemæssige cyberaktiviteter. Som Brennan forklarede den 28. april i en tale på en ledelsesmiddag for efterretnings- og National Security Alliance, ”Overalt hvor vi går, alt hvad vi gør, efterlader vi noget digitalt støv, og det er virkelig svært at operere hemmeligt, meget mindre skjult, når du” igen efterlader digitalt støv i kølvandet. ”
Hovedformålet med digital kriminalteknologi er evalueringen af tilstanden for en digital artefakt, der potentielt kunne bruges i enhver undersøgelse af et computersystem. Ved hjælp af teknikkerne til digital forensik kan en efterforsker erhverve digital bevis, analysere den og rapportere resultaterne af denne analyse. Udviklingen af digitale retsmedicinske værktøjer og andre endnu mere avancerede teknikker skulle gøre det muligt for regeringer og private virksomheder med succes at studere det digitale støv, der er efterladt af dem - en mistænkt eller en anden person af interesse - forbundet med mistanke om ulovlige cyberaktiviteter.
Metoder.
Digitale retsmedicinske metoder anvendes i en række situationer, især af medlemmer af retshåndhævelse eller af andre officielle myndigheder for at indsamle bevis i en kriminel eller civilretlig sag eller af private virksomheder til at hjælpe i forfølgelsen af en intern efterforskning. Udtrykket digital forensics er ekstremt generelt og kan bruges til at karakterisere adskillige specialiseringer, afhængigt af det særlige undersøgelsesområde. For eksempel er netværksforensik relateret til analysen af computernetværkstrafik, mens mobilapparatsforensik primært er optaget af at gendanne digitale bevis fra smartphones og tabletcomputere. Der er potentielt uendelige metoder til digital forensik, men de mest almindeligt anvendte teknikker inkluderer udførelse af nøgleordssøgninger på tværs af digitale medier, gendannelse af slettede filer, analyse af ikke-allokeret plads og udtræk af registeroplysninger (f.eks. Ved hjælp af vedhæftede USB-enheder).
Når man håndterer digital bevismateriale, er det vigtigt at sikre, at integriteten og ægtheden af dataene og metadataene ikke påvirkes i undersøgelsesfaserne. Derfor er det vigtigt at undgå enhver ændring af bevismaterialet, der er forårsaget af efterforskernes arbejde, og at sikre, at de indsamlede data er "autentiske" - ja, identisk på alle måder med den originale information. Selvom cyberkriminalitetskæmpere i film og tv kan kloge at identificere en person med interesse's adgangskode og derefter logge direkte ind på målets computer eller anden smart enhed, i den virkelige verden kan en sådan direkte handling ændre originalen på en sådan måde, at alt findes på enheden ubrugelig eller i det mindste afvises for retten.
Erhvervelsesfasen, også kaldet "billeddannelse af udstillinger", består i at få et billede af indholdet af computeren eller anden enhed. Det største problem med digitale medier er, at de let kan ændres; selv forsøget på at få adgang til filer eller indholdet af en computers hukommelse kan ændre deres tilstand. Det er derfor nødvendigt at undgå direkte adgang ved at skabe et nøjagtigt billede af den flygtige hukommelse og diske i systemet, der er under analyse. Dette kan opnås ved at opnå en "bit kopi" (en nøjagtig bit-for-bit gengivelse) af medierne ved hjælp af specialiserede skriveblokeringsværktøjer, der "spejler" dataene, samtidig med at enhver modifikation af mediets originale indhold forhindres.
Væksten i størrelse af lagringsmedier og spredningen af paradigmer såsom cloud computing kræver vedtagelse af nye erhvervelsesteknikker, der giver efterforskere mulighed for at tage en "logisk" kopi af dataene snarere end et komplet billede af den fysiske lagerenhed. I en koncentreret indsats for at sikre integriteten af dataene bruger efterforskere “hashing” -mekanismer, der genererer kortere, fast længde-værdier, der repræsenterer den længere eller mere komplekse original. De hashede værdier tillader hurtigere søgninger og gør det muligt for forskere at evaluere hvert øjeblik for konsistens i det digitale indhold, der undersøges. Enhver ændring af indholdet ville medføre en ændring i hash'en for den digitale artefakt, som let kunne opdages uden behov for at søge i hele databasen.
