U ožujku 2015., direktor CIA-e John Brennan najavio je osnivanje nove Uprave CIA-e za digitalne inovacije, prve nove CIA-ove direkcije u nekih pet desetljeća. Nova podjela stvorena je kako bi se unaprijedila tehnika digitalne forenzike, stupa forenzičke znanosti koja se odnosi na aktivnosti istrage i oporavka podataka i metapodataka (podataka o podacima) koji se nalaze u digitalnim uređajima, te za poboljšanje sposobnosti CIA-e za praćenje "Digitalna prašina" zaostala za vrijeme rutinskih cyber-aktivnosti. Kao što je Brennan objasnio 28. travnja u govoru na večeri s vodstvom Saveza za obavještavanje i nacionalnu sigurnost: "Kamo god krenemo, sve što radimo, ostavljamo digitalnu prašinu i zaista je teško tajno raditi, a još manje prikriveno kad ostavljaju digitalnu prašinu u budnosti."
Glavna svrha digitalne forenzike je procjena stanja digitalnog artefakta koja bi se potencijalno mogla upotrijebiti u bilo kojoj istrazi računalnog sustava. Koristeći tehnike digitalne forenzike, istražitelj može pribaviti digitalne dokaze, analizirati ih i izvijestiti o nalazima te analize. Razvoj digitalnih forenzičkih alata i drugih, još naprednijih tehnika trebalo bi omogućiti vladama i privatnim tvrtkama da uspješno prouče digitalnu prašinu koju su ostavili oni - osumnjičeni ili druga osoba od interesa - povezana s sumnjama na nezakonite cyber-aktivnosti.
Metodologija.
Digitalne forenzičke metodologije primjenjuju se u raznim situacijama, a ponajviše pripadnici tijela za provođenje zakona ili druga službena tijela za prikupljanje dokaza u kaznenom ili građanskom sudu ili privatne tvrtke kako bi pomogle u provođenju interne istrage. Izraz digitalna forenzika izrazito je općenit i može se koristiti za karakterizaciju brojnih specijalizacija, ovisno o određenom području ispitivanja. Na primjer, mrežna forenzika povezana je s analizom mrežnog prometa na računalima, dok se forenzičari mobilnih uređaja primarno bave povratom digitalnih dokaza sa pametnih telefona i tablet računala. Postoje potencijalno beskonačne metodologije za digitalnu forenziku, ali najčešće korištene tehnike uključuju provođenje pretraživanja ključnih riječi na digitalnom mediju, oporavak izbrisanih datoteka, analizu nedodijeljenog prostora i vađenje podataka iz registra (npr. Pomoću priključenih USB uređaja).
Kada se bavimo digitalnim dokazima, ključno je osigurati da cjelovitost i vjerodostojnost podataka i metapodataka ne utječu na faze istrage. Stoga je presudno izbjeći bilo kakvu izmjenu dokaza uzrokovanih radom istražitelja i osigurati da su prikupljeni podaci "vjerodostojni" - tj. Na isti način identični izvornim podacima. Iako borci za cyber-kriminale u filmovima i na televiziji mogu pametno identificirati zaporku osobe koja se zanima i zatim se izravno prijaviti u ciljano računalo ili neki drugi pametni uređaj, u stvarnom svijetu takva bi izravna radnja mogla izmijeniti original na takav način da učini što god se nađe na uređaj neupotrebljiv ili barem nedopustiv na sudu.
Faza akvizicije, koja se još naziva i „prikazivanje eksponata“, sastoji se od dobivanja slike sadržaja na računalu ili drugom uređaju. Glavni problem digitalnih medija je taj što su oni lako modificirani; čak i pokušaj pristupa datotekama ili sadržaju memorije računala može promijeniti njihovo stanje. Stoga je potrebno izbjegavati izravan pristup stvaranjem točne slike hlapljive memorije i diskova sustava koji se analizira. To se može postići dobivanjem "bitne kopije" (točne reprodukcije bit-po-bit-om) medija korištenjem specijaliziranih alata za blokiranje pisanja koji "zrcale" podatke, a istovremeno sprečavaju bilo kakvu izmjenu izvornog sadržaja medija.
Rast veličine medija za pohranu i širenje paradigmi poput računalstva u oblaku zahtijevaju usvajanje novih tehnika prikupljanja koje istražiteljima omogućuju stvaranje „logičke“ kopije podataka, a ne cjelovite slike fizičkog uređaja za pohranu. U koncentriranom nastojanju da osiguraju cjelovitost podataka, istražitelji koriste mehanizme „raspršivanja“ koji generiraju kraće vrijednosti fiksne duljine koje predstavljaju duži ili složeniji izvornik. Zasjenjene vrijednosti omogućuju brže pretraživanje i omogućavaju istraživačima da procjenjuju svaki trenutak konzistentnosti digitalnog sadržaja u istraživanju. Svaka izmjena sadržaja uzrokovala bi promjenu hash-a digitalnog artefakta, što bi se moglo lako uočiti bez potrebe za pretraživanjem čitave baze podataka.
![Pustolovine filma Sherlock Holmesa Werkera [1939]](https://images.thetopknowledge.com/img/entertainment-pop-culture/9/adventures-sherlock-holmes-film-werker-1939.jpg "Pustolovine filma Sherlock Holmesa Werkera [1939]")