V březnu 2015 ředitel CIA John Brennan oznámil založení nového ředitelství CIA pro digitální inovace, prvního nového ředitelství CIA za přibližně pět desetiletí. Nová divize byla vytvořena s cílem zdokonalit techniky v digitální forenzní činnosti, pilíř forenzní vědy související s činnostmi v oblasti výzkumu a obnovy dat a metadat (dat o datech) nalezených v digitálních zařízeních, a zlepšit schopnost CIA sledovat „Digitální prach“, který zůstal během rutinních kybernetických činností. Jak Brennanová vysvětlila 28. dubna v projevu na večeři vedení Aliance zpravodajských služeb: „Kamkoli jdeme, všechno, co děláme, zanecháváme nějaký digitální prach, a je opravdu obtížné pracovat tajně, mnohem méně tajně, když opouští digitální prach po brázdě. “
Hlavním účelem digitální forenzní analýzy je zhodnocení stavu digitálního artefaktu, který by mohl být použit při jakémkoli vyšetřování na počítačovém systému. Pomocí technik digitální forenzní techniky může vyšetřovatel získat digitální důkazy, analyzovat je a podat zprávu o výsledcích této analýzy. Vývoj digitálních forenzních nástrojů a dalších ještě vyspělejších technik by měl umožnit vládám a soukromým společnostem úspěšně studovat digitální prach, který po sobě zanechají ti - podezřelí nebo jiná zájmová osoba - spojená s podezřelými nezákonnými kybernetickými aktivitami.
Metodiky.
Digitální forenzní metodologie jsou používány v různých situacích, zejména členy donucovacích orgánů nebo jinými oficiálními orgány při shromažďování důkazů v trestním nebo občanskoprávním soudním řízení nebo soukromými společnostmi na pomoc při provádění interního vyšetřování. Termín digitální forenzní služba je extrémně obecný a lze jej použít k charakterizaci řady specializací v závislosti na konkrétní oblasti zkoumání. Například síťová forenzní analýza souvisí s analýzou provozu v počítačové síti, zatímco forenzní technika pro mobilní zařízení se primárně zabývá získáváním digitálních důkazů z chytrých telefonů a tabletů. Existují potenciálně nekonečné metodologie pro digitální forenzní analýzu, ale nejčastěji používané techniky zahrnují vyhledávání klíčových slov na digitálním médiu, obnovu smazaných souborů, analýzu nepřiděleného prostoru a extrahování informací z registru (např. Pomocí připojených zařízení USB).
Při nakládání s digitálními důkazy je nezbytné zajistit, aby integrita a autentičnost údajů a metadat nebyla během fází vyšetřování ovlivněna. Je proto zásadní vyhnout se jakékoli změně důkazů způsobené prací vyšetřovatelů a zajistit, aby shromážděné údaje byly „autentické“ - tj. Identické ve všech ohledech s původními informacemi. Ačkoli bojovníci proti počítačové kriminalitě ve filmech a v televizi dokáží chytře identifikovat heslo zájmové osoby a poté se přihlásit přímo do cílového počítače nebo jiného inteligentního zařízení, v reálném světě by taková přímá akce mohla změnit originál takovým způsobem, aby na něm cokoli našlo zařízení je nepoužitelné nebo alespoň nepřípustné u soudu.
Fáze akvizice, také nazývaná „zobrazování exponátů“, spočívá v získání obrazu o obsahu počítače nebo jiného zařízení. Hlavním problémem digitálních médií je to, že jsou snadno upravitelná; i pokus získat přístup k souborům nebo k obsahu paměti počítače může změnit jejich stav. Je proto nutné zabránit přímému přístupu vytvořením přesného obrazu těkavé paměti a disků analyzovaného systému. Toho lze dosáhnout získáním „bitové kopie“ (přesné bit-by-bitové reprodukce) média pomocí specializovaných nástrojů pro blokování zápisu, které „zrcadlí“ data a zároveň zabraňují jakékoli změně původního obsahu média.
Nárůst velikosti paměťového média a šíření paradigmat, jako je cloud computing, vyžaduje přijetí nových technik akvizice, které umožňují vyšetřovatelům pořídit spíše „logickou“ kopii dat, než úplný obrázek fyzického paměťového zařízení. Ve soustředěné snaze zajistit integritu dat vyšetřovatelé používají „hashovací“ mechanismy, které generují kratší hodnoty s pevnou délkou, které představují delší nebo složitější originál. Hodnoty hash umožňují rychlejší vyhledávání a umožňují výzkumným pracovníkům vyhodnotit každý okamžik konzistence zkoumaného digitálního obsahu. Jakákoli změna obsahu by způsobila změnu v hašiši digitálního artefaktu, který by mohl být snadno spatřen, aniž by bylo nutné prohledávat celou databázi.
