home *** CD-ROM | disk | FTP | other *** search

---

/ WINMX Assorted Textfiles / Ebooks.tar / Text - Tech - Hacking - Recovering and Examining Computer Forensic Evidence.txt

< prev

next >

Wrap

Text File  |  2003-02-22  |  29KB  |  461 lines

---

1. Recovering and Examining Computer Forensic Evidence by Noblett et al. (Forensic Science Communications, October 2000)U.S. 
2.           Department of Justice 
3.           Federal Bureau of Investigation  
4.  
5.        
6.        
7.        
8.  
9.  
10.  
11.  
12.  
13.  
14.  
15.  
16.  
17.  
18.         
19.       October 2000   Volume 2   Number 4
20.       Recovering and Examining
21.       Computer Forensic Evidence
22.       Michael G. Noblett
23.       Senior Associate
24.       Booz-Allen & Hamilton
25.       Falls Church, Virginia
26.       Mark M. Pollitt
27.       Unit Chief
28.       Computer Analysis and Response Team
29.       Federal Bureau of Investigation
30.       Washington, DC
31.       Lawrence A. Presley
32.       Training Instructor
33.       Forensic Science Training Unit
34.       Quantico, Virginia
35.             Read about . . .
36.               Introduction
37.               Computer Forensic Science
38.                 Background
39.                 A New Relationship
40.                 Forensic Results
41.                 Common Goals
42.               Examining Computer Evidence
43.               Conclusion
44.               References
45.  
46.       Introduction
47.       The world is becoming a smaller place in which to live and work. A 
48.       technological revolution in communications and information exchange has 
49.       taken place within business, industry, and our homes. America is 
50.       substantially more invested in information processing and management than 
51.       manufacturing goods, and this has affected our professional and personal 
52.       lives. We bank and transfer money electronically, and we are much more 
53.       likely to receive an E-mail than a letter. It is estimated that the 
54.       worldwide Internet population is 349 million (CommerceNet Research Council 
55.       2000).
56.             In this information technology age, the needs of law enforcement are 
57.             changing as well. Some traditional crimes, especially those 
58.             concerning finance and commerce, continue to be upgraded 
59.             technologically. Paper trails have become electronic trails. Crimes 
60.             associated with the theft and manipulations of data are detected 
61.             daily. Crimes of violence also are not immune to the effects of the 
62.             information age. A serious and costly terrorist act could come from 
63.             the Internet instead of a truck bomb. The diary of a serial killer 
64.             may be recorded on a floppy disk or hard disk drive rather than on 
65.             paper in a notebook.
66.  
67.                   FBI computer evidence examiners
68.                   review the contents of a computer
69.                   hard drive.
70.  
71.  
72.       Just as the workforce has gradually converted from manufacturing goods to 
73.       processing information, criminal activity has, to a large extent, also 
74.       converted from a physical dimension, in which evidence and investigations 
75.       are described in tangible terms, to a cyber dimension, in which evidence 
76.       exists only electronically, and investigations are conducted online.
77.       Computer Forensic Science
78.       Computer forensic science was created to address the specific and 
79.       articulated needs of law enforcement to make the most of this new form of 
80.       electronic evidence. Computer forensic science is the science of 
81.       acquiring, preserving, retrieving, and presenting data that has been 
82.       processed electronically and stored on computer media. As a forensic 
83.       discipline, nothing since DNA technology has had such a large potential 
84.       effect on specific types of investigations and prosecutions as computer 
85.       forensic science.
86.       Computer forensic science is, at its core, different from most traditional 
87.       forensic disciplines. The computer material that is examined and the 
88.       techniques available to the examiner are products of a market-driven 
89.       private sector. Furthermore, in contrast to traditional forensic analyses, 
90.       there commonly is a requirement to perform computer examinations at 
91.       virtually any physical location, not only in a controlled laboratory 
92.       setting. Rather than producing interpretative conclusions, as in many 
93.       forensic disciplines, computer forensic science produces direct 
94.       information and data that may have significance in a case. This type of 
95.       direct data collection has wide-ranging implications for both the 
96.       relationship between the investigator and the forensic scientist and the 
97.       work product of the forensic computer examination.
98.       Background
99.       Computer forensic science is largely a response to a demand for service 
100.       from the law enforcement community. As early as 1984, the FBI Laboratory 
101.       and other law enforcement agencies began developing programs to examine 
102.       computer evidence. To properly address the growing demands of 
103.       investigators and prosecutors in a structured and programmatic manner, the 
104.       FBI established the Computer Analysis and Response Team (CART) and charged 
105.       it with the responsibility for computer analysis. Although CART is unique 
106.       in the FBI, its functions and general organization are duplicated in many 
107.       other law enforcement agencies in the United States and other countries.
108.       An early problem addressed by law enforcement was identifying resources 
109.       within the organization that could be used to examine computer evidence. 
110.       These resources were often scattered throughout the agency. Today, there 
111.       appears to be a trend toward moving these examinations to a laboratory 
112.       environment. In 1995, a survey conducted by the U.S. Secret Service 
113.       indicated that 48 percent of the agencies had computer forensic 
114.       laboratories and that 68 percent of the computer evidence seized was 
115.       forwarded to the experts in those laboratories. As encouraging as these 
116.       statistics are for a controlled programmatic response to computer forensic 
117.       needs, the same survey reported that 70 percent of these same law 
118.       enforcement agencies were doing the work without a written procedures 
119.       manual (Noblett 1995).
120.       Computer forensic examinations are conducted in forensic laboratories, 
121.       data processing departments, and in some cases, the detective's squad 
122.       room. The assignment of personnel to conduct these examinations is based 
123.       often on available expertise, as well as departmental policy. Regardless 
124.       of where the examinations are conducted, a valid and reliable forensic 
125.       examination is required. This requirement recognizes no political, 
126.       bureaucratic, technological, or jurisdictional boundaries.
127.       There are ongoing efforts to develop examination standards and to provide 
128.       structure to computer forensic examinations. As early as 1991, a group of 
129.       six international law enforcement agencies met with several U.S. federal 
130.       law enforcement agencies in Charleston, South Carolina, to discuss 
131.       computer forensic science and the need for a standardized approach to 
132.       examinations. In 1993, the FBI hosted an International Law Enforcement 
133.       Conference on Computer Evidence that was attended by 70 representatives of 
134.       various U.S. federal, state, and local law enforcement agencies and 
135.       international law enforcement agencies. All agreed that standards for 
136.       computer forensic science were lacking and needed. This conference again 
137.       convened in Baltimore, Maryland, in 1995, Australia in 1996, and the 
138.       Netherlands in 1997, and ultimately resulted in the formation of the 
139.       International Organization on Computer Evidence. In addition, a Scientific 
140.       Working Group on Digital Evidence (SWGDE) was formed to address these same 
141.       issues among federal law enforcement agencies.
142.       Back to the top
143.       A New Relationship
144.       Forensic science disciplines have affected countless criminal 
145.       investigations dramatically and have provided compelling testimony in 
146.       scores of trials. To enhance objectivity and to minimize the perception of 
147.       bias, forensic science traditionally has remained at arms length from much 
148.       of the actual investigation. It uses only those specific details from the 
149.       investigation that are necessary for the examination. These details might 
150.       include possible sources of contamination at the crime scene or 
151.       fingerprints of individuals not related to the investigation who have 
152.       touched the evidence. Forensic science relies on the ability of the 
153.       scientists to produce a report based on the objective results of a 
154.       scientific examination. The actual overall case may play a small part in 
155.       the examination process. As a case in point, a DNA examination in a rape 
156.       case can be conducted without knowledge of the victim's name, the subject, 
157.       or the specific circumstances of the crime.
158.       Conversely, computer forensic science, to be effective, must be driven by 
159.       information uncovered during the investigation. With the average storage 
160.       capacity in a personally owned microcomputer approaching 30 gigabytes (GB; 
161.       Fischer 1997), and systems readily available that have 60-GB storage 
162.       capacity or more, it is likely to be impossible from a practical 
163.       standpoint to completely and exhaustively examine every file stored on a 
164.       seized computer system. In addition, because computers serve such wide and 
165.       varied uses within an organization or household, there may be legal 
166.       prohibitions against searching every file. Attorney or physician computers 
167.       may contain not only evidence of fraud but probably also client and 
168.       patient information that is privileged. Data centrally stored on a 
169.       computer server may contain an incriminating E-mail prepared by the 
170.       subject as well as E-mail of innocent third parties who would have a 
171.       reasonable expectation of privacy.
172.       As difficult as it would be to scan a directory of every file on a 
173.       computer system, it would be equally difficult for law enforcement 
174.       personnel to read and assimilate the amount of information contained 
175.       within the files. For example, 12 GB of printed text data would create a 
176.       stack of paper 24 stories high. For primarily pragmatic reasons, computer 
177.       forensic science is used most effectively when only the most probative 
178.       information and details of the investigation are provided to the forensic 
179.       examiner. From this information, the examiner can create a list of key 
180.       words to cull specific, probative, and case-related information from very 
181.       large groups of files. Even though the examiner may have the legal right 
182.       to search every file, time limitations and other judicial constraints may 
183.       not permit it. The examination in most cases should be limited to only 
184.       well-identified probative information.
185.       Forensic Results
186.       Forensic science has historically produced results that have been judged 
187.       to be both valid and reliable. For example, DNA analysis attempts to 
188.       develop specific identifying information relative to an individual. To 
189.       support their conclusions, forensic DNA scientists have gathered extensive 
190.       statistical data on the DNA profiles from which they base their 
191.       conclusions. Computer forensic science, by comparison, extracts or 
192.       produces information. The purpose of the computer examination is to find 
193.       information related to the case. To support the results of a computer 
194.       forensic examination, procedures are needed to ensure that only the 
195.       information exists on the computer storage media, unaltered by the 
196.       examination process. Unlike forensic DNA analysis or other forensic 
197.       disciplines, computer forensic science makes no interpretive statement as 
198.       to the accuracy, reliability, or discriminating power of the actual data 
199.       or information.
200.       Beyond the forensic product and the case-related information needed to 
201.       efficiently perform the work, there is another significant difference 
202.       between most traditional forensic science and computer forensic science. 
203.       Traditional forensic analysis can be controlled in the laboratory setting 
204.       and can progress logically, incrementally, and in concert with widely 
205.       accepted forensic practices. In comparison, computer forensic science is 
206.       almost entirely technology and market driven, generally outside the 
207.       laboratory setting, and the examinations present unique variations in 
208.       almost every situation.
209.       Common Goals
210.       These dissimilarities aside, both the scientific conclusions of 
211.       traditional forensic analyses and the information of computer forensic 
212.       science are distinctive forensic examinations. They share all the legal 
213.       and good laboratory practice requirements of traditional forensic sciences 
214.       in general. They both will be presented in court in adversarial and 
215.       sometimes very probing proceedings. Both must produce valid and reliable 
216.       results from state-of-the-art procedures that are detailed, documented, 
217.       and peer-reviewed and from protocols acceptable to the relevant scientific 
218.       community (ASCLD/LAB 1994).
219.       As laboratories begin to examine more computer-related evidence, they must 
220.       establish policies regarding computer forensic examinations and, from 
221.       these policies, develop protocols and procedures. The policies should 
222.       reflect the broad, community-wide goal of providing valid and reproducible 
223.       results, even though the submissions may come from diverse sources and 
224.       present novel examination issues. As the laboratory moves from the policy 
225.       statement to protocol development, each individual procedure must be 
226.       well-documented and sufficiently robust to withstand challenges to both 
227.       the results and methodology.
228.       However, computer forensic science, unlike some of its traditional 
229.       forensic counterparts, cannot rely on receiving similar evidence in every 
230.       submission. For instance, DNA from any source, once cleared of 
231.       contaminants and reduced to its elemental form, is generic. From that 
232.       point, the protocols for forensic DNA analysis may be applied similarly to 
233.       all submissions. The criminal justice system has come to expect a valid 
234.       and reliable result using those DNA protocols. For the following reasons, 
235.       computer forensic science can rarely expect these same elements of 
236.       standardized repetitive testing in many of its submissions:
237.         Operating systems, which define what a computer is and how it works, 
238.         vary among manufacturers. For example, techniques developed for a 
239.         personal computer using the Disk Operating System (DOS) environment may 
240.         not correspond to operating systems such as UNIX, which are multi-user 
241.         environments.
242.  
243.  
244.         Applications programs are unique.
245.  
246.  
247.         Storage methods may be unique to both the device and the media. 
248.       Typical computer examinations must recognize the fast-changing and diverse 
249.       world in which the computer forensic science examiner works.
250.       Back to the top
251.       Examining Computer Evidence
252.       Computer evidence represented by physical items such as chips, boards, 
253.       central processing units, storage media, monitors, and printers can be 
254.       described easily and correctly as a unique form of physical evidence. The 
255.       logging, description, storage, and disposition of physical evidence are 
256.       well understood. Forensic laboratories have detailed plans describing 
257.       acceptable methods for handling physical evidence. To the extent that 
258.       computer evidence has a physical component, it does not represent any 
259.       particular challenge. However, the evidence, while stored in these 
260.       physical items, is latent and exists only in a metaphysical electronic 
261.       form. The result that is reported from the examination is the recovery of 
262.       this latent information. Although forensic laboratories are very good at 
263.       ensuring the integrity of the physical items in their control, computer 
264.       forensics also requires methods to ensure the integrity of the information 
265.       contained within those physical items. The challenge to computer forensic 
266.       science is to develop methods and techniques that provide valid and 
267.       reliable results while protecting the real evidenceùthe informationùfrom 
268.       harm. 
269.       To complicate the matter further, computer evidence almost never exists in 
270.       isolation. It is a product of the data stored, the application used to 
271.       create and store it, and the computer system that directed these 
272.       activities. To a lesser extent, it is also a product of the software tools 
273.       used in the laboratory to extract it.
274.       Computer forensic science issues must also be addressed in the context of 
275.       an emerging and rapidly changing environment. However, even as the 
276.       environment changes, both national and international law enforcement 
277.       agencies recognize the need for common technical approaches and are 
278.       calling for standards (Pollitt 1998). Because of this, a model (see Figure 
279.       1) must be constructed that works on a long-term basis even when 
280.       short-term changes are the rule rather than the exception. The model that 
281.       we describe is a three-level hierarchical model consisting of the 
282.       following:
283.         An overarching concept of the principles of examination,
284.  
285.  
286.         Policies and practices, and
287.  
288.  
289.         Procedures and techniques. 
290.       Principles of examinations are large-scale concepts that almost always 
291.       apply to the examination. They are the consensus approaches as to what is 
292.       important among professionals and laboratories conducting these 
293.       examinations. They represent the collective technical practice and 
294.       experience of forensic computer examiners.
295.       Organizational policy and practices are structural guidance that applies 
296.       to forensic examinations. These are designed to ensure quality and 
297.       efficiency in the workplace. In computer forensic science, these are the 
298.       good laboratory practices by which examinations are planned, performed, 
299.       monitored, recorded, and reported to ensure the quality and integrity of 
300.       the work product.
301.       Procedures and techniques are software and hardware solutions to specific 
302.       forensic problems. The procedures and techniques are detailed instructions 
303.       for specific software packages as well as step-by-step instructions that 
304.       describe the entire examination procedure (Pollitt 1995).
305.       As an overall example, a laboratory may require that examinations be 
306.       conducted, if possible and practical, on copies of the original evidence. 
307.       This requirement is a principle of examination. It represents a logical 
308.       approach taken by the computer forensic science community as a whole, and 
309.       it is based on the tenet of protecting the original evidence from 
310.       accidental or unintentional damage or alteration. This principle is 
311.       predicated on the fact that digital evidence can be duplicated exactly to 
312.       create a copy that is true and accurate.
313.       Creating the copy and ensuring that it is true and accurate involves a 
314.       subset of the principle, that is, policy and practice. Each agency and 
315.       examiner must make a decision as to how to implement this principle on a 
316.       case-by-case basis. Factors in that decision include the size of the data 
317.       set, the method used to create it, and the media on which it resides. In 
318.       some cases it may be sufficient to merely compare the size and creation 
319.       dates of files listed in the copy to the original. In others, it may 
320.       require the application of more technically robust and mathematical 
321.       rigorous techniques such as a cyclical redundancy check (CRC) or 
322.       calculating a message digest (MD).
323.       CRC and MD are computer algorithms that produce unique mathematical 
324.       representations of the data. They are calculated for both the original and 
325.       the copy and then compared for identity. The selection of tools must be 
326.       based on the character of the evidence rather than simply laboratory 
327.       policy. It is likely that examiners will need several options available to 
328.       them to perform this one function.
329.       An examiner responsible for duplicating evidence must first decide an 
330.       appropriate level of verification to weigh time constraints against large 
331.       file types. The mathematical precision and discriminating power of these 
332.       algorithms are usually directly proportional to the amount of time 
333.       necessary to calculate them. If there were 1 million files to be 
334.       duplicated, each less than 1 kilobyte in size, time and computational 
335.       constraints would likely be a major determining factor. This circumstance 
336.       would probably result in a decision to use a faster, but less precise and 
337.       discriminating, data integrity algorithm.
338.       Having decided how best to ensure the copy process will be complete and 
339.       accurate, the next step is the actual task. This is a subset of the policy 
340.       and practice, that is, procedures and techniques. These most closely 
341.       represent the standard cookbook approach to protocol development. They are 
342.       complete and contain required detailed steps that may be used to copy the 
343.       data, verify that the operation was complete, and ensure that a true and 
344.       accurate copy has been produced.
345.       Again, as Figure 1 illustrates, a principle may spawn more that one 
346.       policy, and those policies can accept many different techniques. The path 
347.       an examiner takes in each case is well-documented and technologically 
348.       sound for that particular case. It may not, however, be the same path the 
349.       examiner takes with the next case. Traditional forensic examinations, such 
350.       as the DNA examination of blood recovered from a crime scene, lend 
351.       themselves to a routine and standardized series of steps that can be 
352.       repeated in case after case. There is generally no such thing as generic 
353.       computer evidence procedures. The evidence is likely to be significantly 
354.       different every time a submission is received by the laboratory and will 
355.       likely require an examination plan tailored to that particular evidence. 
356.       Although this situation may present a recurrent consideration of 
357.       management checks and controls within the laboratory setting, it is a 
358.       consideration that must be addressed and improved if this emerging 
359.       forensic discipline is to remain an effective and reliable tool in the 
360.       criminal justice system.
361.       Back to the top
362.       Conclusion
363.       Valid and reliable methods to recover data from computers seized as 
364.       evidence in criminal investigations are becoming fundamental for law 
365.       enforcement agencies worldwide. These methods must be technologically 
366.       robust to ensure that all probative information is recovered. They must 
367.       also be legally defensible to ensure that nothing in the original evidence 
368.       was altered and that no data was added to or deleted from the original. 
369.       The forensic discipline of acquiring, preserving, retrieving, and 
370.       presenting data that has been processed electronically and stored on 
371.       computer media is computer forensic science.
372.       This article examined issues surrounding the need to develop laboratory 
373.       protocols for computer forensic science that meet critical technological 
374.       and legal goals. Computer forensic scientists need to develop ongoing 
375.       relationships with the criminal justice agencies they serve. The reasons 
376.       for these relationships include the following:
377.         In their efforts to minimize the amount of data that must be recovered 
378.         and to make their examinations more efficient and effective, computer 
379.         forensic scientists must have specific knowledge of investigative 
380.         details. This is a clear requirement that is generally more demanding 
381.         than traditional forensic science requests, and it places more reliance 
382.         on case information.
383.  
384.  
385.         Courts are requiring that more information rather than equipment be 
386.         seized. This requires cooperative efforts between law enforcement 
387.         officers and the computer forensic scientist to ensure that the 
388.         technical resources necessary for the execution of the search warrant 
389.         are sufficient to address both the scope and complexity of the search.
390.  
391.  
392.         Computers may logically contain both information identified in the 
393.         warrant as well as information that may be constitutionally protected. 
394.         The computer forensic scientist is probably the most qualified person to 
395.         advise both the investigator and prosecutor as to how to identify 
396.         technical solutions to these intricate situations. 
397.       Developing computer examination protocols for forensic computer analysis 
398.       is unique for several reasons:
399.         Unlike some traditional forensic analyses that attempt to gather as much 
400.         information as possible from an evidence sample, computer forensic 
401.         analysis attempts to recover only probative information from a large 
402.         volume of generally heterogenous information.
403.  
404.  
405.         Computer forensic science must take into account the reality that 
406.         computer forensic science is primarily market driven, and the science 
407.         must adapt quickly to new products and innovations with valid and 
408.         reliable examination and analysis techniques.
409.  
410.  
411.         The work product of computer forensic science examinations also differs 
412.         from most traditional forensic work products. Traditional forensic 
413.         science attempts to develop a series of accurate and reliable facts. For 
414.         example, the DNA extracted from blood found at a crime scene can be 
415.         matched to a specific person to establish the fact that the blood was 
416.         shed by that person to the exclusion of all other individuals. Computer 
417.         forensic science generally makes no interpretive statement as to the 
418.         accuracy or reliability of the information obtained and normally renders 
419.         only the information recovered. 
420.       Computer forensic science protocols should be written in a hierarchical 
421.       manner so that overarching principles remain constant, but examination 
422.       techniques can adapt quickly to the computer system to be examined. This 
423.       approach to computer forensic protocols may differ from those developed 
424.       for many traditional forensic disciplines, but it is necessary to 
425.       accommodate a unique forensic examination.
426.       References
427.       American Society of Crime Laboratory Directors/Laboratory Accreditation 
428.       Board (ASCLD/LAB). ASCLD/LAB Manual. American Society of Crime Laboratory 
429.       Directors/Laboratory Accreditation Board, Garner, North Carolina, 1994, 
430.       pp. 29û30.
431.       CommerceNet Research Council. 2000 Industry Statistics. Available at 
432.       http://www.commerce.net/research/stats/wwstats.html
433.       Fischer, L. M. I.B.M. plans to announce leap in disk-drive capacity, New 
434.       York Times (December 30, 1997), p. C-2.
435.       Noblett, M. G. Report of the Federal Bureau of Investigation on 
436.       development of forensic tools and examinations for data recovery from 
437.       computer evidence. In: Proceedings of the 11th INTERPOL Forensic Science 
438.       Symposium, Lyon, France. The Forensic Sciences Foundation Press, Boulder, 
439.       Colorado, 1995.
440.       Pollitt, M. The Federal Bureau of Investigation report on computer 
441.       evidence and forensics. In: Proceedings of the 12th INTERPOL Forensic 
442.       Science Symposium, Lyon, France. The Forensic Sciences Foundation Press, 
443.       Boulder, Colorado, 1998.
444.       Pollitt, M. Computer Evidence Examinations at the FBI. Unpublished 
445.       presentation at the 2nd International Law Enforcement Conference on 
446.       Computer Evidence, Baltimore, Maryland, April 10, 1995.
447.  
448.       Back to the top
449.        
450.       FORENSIC SCIENCE COMMUNICATIONS     OCTOBER 2000   VOLUME 2   NUMBER 4
451.             CURRENT ISSUEBACK ISSUESSEARCH
452.             ALL ISSUESJOURNAL
453.             DESCRIPTIONEDITORS
454.  
455.             INSTRUCTIONS
456.             FOR AUTHORSLINKSHANDBOOK OF
457.             FORENSIC SERVICESLAB HOMEFBI
458.             PUBLICATIONS
459.  
460.  
461.