V marci 2015 riaditeľ spoločnosti CIA John Brennan oznámil založenie nového riaditeľstva digitálnej inovácie CIA, prvého nového riaditeľstva CIA za posledných päť desaťročí. Nová divízia bola vytvorená s cieľom zdokonaliť techniky v oblasti digitálnej forenznej analýzy, piliera forenznej vedy týkajúcej sa činnosti v oblasti vyšetrovania a obnovy údajov a metaúdajov (údaje o údajoch) nachádzajúcich sa v digitálnych zariadeniach a na zlepšenie schopnosti CIA sledovať „Digitálny prach“, ktorý zostal počas bežných kybernetických aktivít. Ako Brennanová vysvetlila 28. apríla v prejave na večere vedenia Aliancie spravodajských služieb a národnej bezpečnosti: „Kamkoľvek ideme, všetko, čo robíme, zanechávame nejaký digitálny prach a je skutočne ťažké pracovať tajne, oveľa menej skryto, keď ste“ opúšťate digitálny prach po brázde. “
Hlavným účelom digitálnej forenznej analýzy je vyhodnotenie stavu digitálneho artefaktu, ktorý by sa potenciálne mohol použiť pri akomkoľvek vyšetrovaní počítačového systému. Použitím techník digitálnej forenznej služby môže vyšetrovateľ získať digitálne dôkazy, analyzovať ich a oznámiť zistenia tejto analýzy. Vývoj digitálnych forenzných nástrojov a ďalších, ešte pokročilejších techník by mal vládam a súkromným spoločnostiam umožniť, aby úspešne študovali digitálny prach, ktorý zanechali tí - podozriví alebo iní záujemcovia - súvisiaci s podozrením na nezákonnú kybernetickosť.
Metodík.
Digitálne forenzné metodiky sa používajú v rôznych situáciách, najmä členovia orgánov činných v trestnom konaní alebo iné úradné orgány na zhromažďovanie dôkazov v trestnom alebo občianskom súdnom konaní alebo súkromné spoločnosti na pomoc pri vykonávaní vnútorného vyšetrovania. Pojem digitálna forenzia je extrémne všeobecný a môže sa použiť na charakterizáciu mnohých špecializácií v závislosti od konkrétnej oblasti skúmania. Napríklad forenzná analýza súvisí s analýzou sieťovej prevádzky, zatiaľ čo forenzná analýza mobilných zariadení sa primárne zaoberá získavaním digitálnych dôkazov zo smartfónov a tabletových počítačov. Existujú potenciálne nekonečné metodiky pre digitálnu forenznú analýzu, ale najbežnejšie používané techniky zahŕňajú vyhľadávanie kľúčových slov na digitálnom médiu, obnovovanie odstránených súborov, analýzu neprideleného priestoru a extrahovanie informácií z registra (napr. Pomocou pripojených zariadení USB).
Pri zaobchádzaní s digitálnymi dôkazmi je nevyhnutné zabezpečiť, aby integrita a autentickosť údajov a metaúdajov neboli počas fáz vyšetrovania ovplyvnené. Preto je nevyhnutné vyhnúť sa akýmkoľvek zmenám dôkazov spôsobeným prácou vyšetrovateľov a zabezpečiť, aby zozbierané údaje boli „autentické“ - tj identické vo všetkých smeroch s pôvodnými informáciami. Hoci bojovníci proti počítačovej kriminalite vo filmoch a v televízii dokážu inteligentne identifikovať heslo osoby, ktorá je predmetom záujmu, a potom sa prihlásiť priamo do cieľového počítača alebo iného inteligentného zariadenia, v skutočnom svete by takáto priama akcia mohla zmeniť originál tak, aby sa na ňom našlo čokoľvek zariadenie je nepoužiteľné alebo aspoň neprípustné na súde.
Fáza akvizície, tiež nazývaná „zobrazovanie exponátov“, spočíva v získaní obrazu o obsahu počítača alebo iného zariadenia. Hlavným problémom digitálnych médií je to, že sú ľahko modifikovateľné; ich pokus môže zmeniť aj pokus o prístup k súborom alebo k obsahu pamäte počítača. Je preto nevyhnutné vyhnúť sa priamemu prístupu vytvorením presného obrazu prchavej pamäte a diskov analyzovaného systému. To sa dá dosiahnuť získaním „bitovej kópie“ (presná reprodukcia bit za bitom) média pomocou špecializovaných nástrojov na blokovanie zápisu, ktoré „zrkadlia“ údaje a zároveň zabránia akejkoľvek úprave pôvodného obsahu média.
Rast veľkosti pamäťového média a šírenie paradigiem, ako je cloud computing, si vyžadujú prijatie nových akvizičných techník, ktoré výskumným pracovníkom umožnia získať „logickú“ kópiu údajov namiesto úplného obrazu fyzického pamäťového zariadenia. V sústredenom úsilí zabezpečiť integritu údajov vyšetrovatelia používajú mechanizmy „hashovania“, ktoré generujú kratšie hodnoty s pevnou dĺžkou, ktoré predstavujú dlhší alebo komplexnejší originál. Hodnoty hash umožňujú rýchlejšie vyhľadávanie a umožňujú výskumným pracovníkom vyhodnotiť každý okamih z hľadiska konzistentnosti skúmaného digitálneho obsahu. Akákoľvek zmena obsahu by spôsobila zmenu v hashovaní digitálneho artefaktu, ktorý by sa dal ľahko zistiť bez potreby prehľadávania celej databázy.
