عرض مشاركة واحدة
  #1  
قديم 11-10-2013, 10:07 AM
مصطفى احمد مصطفى احمد غير متواجد حالياً
عضو مميز
 
تاريخ التسجيل: Aug 2013
المشاركات: 1,100
افتراضي استخدام بروتوكول Tcp/ip في بحث وتحقيق الجرائم على الكمبيوتر

استخدام بروتوكول TCP/IP
في بحث وتحقيق الجرائم على الكمبيوتر

د. ممدوح عبد الحميد عبدالمطلب
استاذ العلوم الشرطية المشارك - رئيس شعبة العلوم الشرطية بمركز بحوث شرطة الشارقة


المؤتمر العلمي الأول حول الجوانب القانونية والأمنية للعمليات الإلكترونية منظم المؤتمر:اكادمية شرطة دبي ، مركز البحوث والدراسات رقم العدد : 4 تاريخ الإنعقاد: 26 نيسان 2003تاريخ الإنتهاء: 28 نيسان 2003 الدولة : دبي - الامارات العربية المتحدة

** مقدمة :

مع تزايد استخدام الكمبيوتر والشبكة العالمية للمعلومات (الإنترنت) والشبكات الداخلية والخارجية تزايدت نسبة الجريمة المرتكبة باستخدام هذه التقنيات الجديدة. وسوف يعمد مرتكبو الجرائم سواء أكانت جريمة تمت عبر الكمبيوتر أم جريمة تمت على الكمبيوتر (بمشتملاته المادية والمعنوية وقواعد البيانات المستخدمةة به)، إلى استخدام الكمبيوتر والشبكة العالمية (الإنترنت) ما داموا يشعرون أن أجهزة إنفاذ القانون ورجال القضاء والنيابة والمحامين ورجال البحث الجنائي عاجزون عن ضبطهم واستخلاص دليل إدانتهم سواء أكان دليلاً حسياً أم رقمياً.

وعلى الرغم من أن التعامل في مسرح الجريمة سواء أكان مسرحاً مادياً أم مسرحاً إلكترونياً يتطلب إجراءات روتينية معينة متفق عليها لحماية الدليل وإبراز قيمته الاستدلالية إلا أن طرق حفظ الأدلة واستخلاصها تختلف من مسرح الجريمة المادي إلى مسرح الجريمة الإلكتروني أو الرقمي، ذلك أن التطبيقات أو البرامج والبيانات المرقمة عنصران أساسيان يتحتم على أجهزة إنفاذ القانون وخبراء الأدلة الجنائية، جمعهما واستخلاصهما.

ويتطلب تشغيل نظم الاتصالات الكمبيوترية، أن تكون آلية لعَنْوَنة الأجهزة، سواء المرسلة أو المستقبلة، كما تتطلب أيضاً أن تكون هناك آلية لضمان وصول أو التحقق من وصول الاتصال أو الرسالة للجهة المقصودة فعلاً وأن يكون هناك ضمان أو تحقق من جهة الإرسال.

وتستخدم برتوكولات الاتصالات والتطبيقات المعلوماتية، لتحقيق هذه الغاية، حيث إن الأنشطة التي يجريها مستخدمو الشبكة المعلوماتية (الإنترنت) تشكل جانباً بالغ الأهمية في تحقيق جرائم الكمبيوتر، نظراً لاحتواء هذه البروتوكولات والتبطيقات على كافة المعلومات والبيانات المتلعقة بنشاط مستخدم الشبكة (إذا كان نشاطه إجرامياً) سواء من حيث التحدي الزمني للاستخدام غير المشروع أم من حيث تحديد مكان صدور أو نشأة الفعل الإجرامي ومدى اتساع هذا النشاط وتحديد المجني عليه (أو عليهم) من حيث المكان أو الزمان أو تحديد من أصابهم الضرر الجرمي من النشاط الإجرامي.

ويعتبر نظام TCP/IP من أكثر البروتوكولات المستخدمة في شبكات الإنترنت فهي جزء أساسي منه، لذلك نبرز أهمية الاستعانة بالمعلومات والمصادر والعناوين التي يمكن أن يحتويها هذا البروتوكول في تحقيق جرائم الكمبيوتر، حيث أنها تدل بصفة جازمة عن مصدر الجهاز المستخدم في الجريمة وتحديد الأجهزة التي أصابها الضرر من الفعل الإجرامي وتحديد نوعية النشاط الإجرامي خلال الفترة الزمنية لاقتراف الجريمة. أو إحداث الضرر المدني .

** مشكلة البحث :
مع التطور التقني لأساليب ارتكاب الجرائم وخصوصاً تلك التي تتم عبر الكمبيوتر، أصبح مطلوباً من سلطات إنفاذ القانون أن تتعامل مع أشكال مستحدثة من الأدلة في مجال الإثبات الجنائي أو المدني لذلك تكمن مشكلة البحث في كيفية تقديم دليل رقمي "مقبول وذي مصداقية أو حجية قضائية" وهل تقديم هذا الدليل الرقمي يكون له حجية في النظم الإثباتية المختلفة( ).

** أهداف البحث :
وتتحدد أهداف هذا البحث في إلقاء الضوء على العلاقة بين الجرائم على الكمبيوتر والدليل الرقمي المستخرج من أجهزة الكمبيوتر ما يُمكّن كلاً من :
‌أ- أجهزة إنفاذ القانون (ونعنى بها الشرطة، النيابة، القضاء) من التعامل مع الدليل الرقمي، لبناء دليل جنائي أو مدني مقبول أمام العدالة، يُمكّن القاضي من إصدار حكم بالإدانة أو البراءة أو الحكم بتعويض في القضايا المدنية، وتمكن هذه الأجهزة أيضاً من معرفة متى وأين يمكن استدعاء خبراء الكمبيوتر وكيفية المحافظة على مسرح الجريمة المعلوماتي وكيفية استخلاص الدليل الرقمي.
‌ب- مسؤول أمن الكمبيوتر سواء في القطاع الخاص أو الأجهزة الحكومية من التعامل مع الدليل الرقمي وكيفية استكشافهم بأن النظام المعلوماتي المسؤولين عن حمايته قد تعرض لإحدى صور الجريمة عبر الكمبيوتر وكيفية محافظتهم على الدليل الرقمي لحين استدعاء أجهزة إنفاذ القانون.
‌ج- المحامون، ليتعرفوا عن قرب على إمكانية الإدانة أو البراءة باستخدام الدليل الرقمي مما يمكنهم من إعداد دفاعهم بالشكل المتفق مع الدليل المستخرج.
‌د- خبراء الأدلة المعاونين لأجهزة إنفاذ القانون، لبيان كيفية مقارنتهم للدليل الرقمي وإعطاء الخبرة القائمة على يقين علمي بشأن الدليل المقدم في الحالة المعروضة عليهم.

** أهمية البحث :
وتبدو أهمية البحث في أنه يقدم أسلوباً علمياً وقانونياً، يمكن الاستعانة به في إثبات الجريمة التي تتم عبر أجهزة الكمبيوتر، كما أنه يساعد على بلورة الفهم الأكاديمي للدليل الرقمي المقدم لأجهزة إنفاذ وتطبيق القانون وخصوصاً دليل TCP/IP، ويدعم حجية المخرجات الكمبيوترية في المواد الجنائية والمدنية.

** تساؤلات البحث:
ويتطلب تحليل هذه الإشكالية (أي تقديم دليل TCP/IP له حجية قضائية في مجال الإثبات القضائي) ردها إلى عناصرها الأولية طبقاً للتساؤلات التالية :
• كيف يمكن استخراج دليل رقمي بوصفه دليل إثبات أمام القضاء؟
• هل يمكن اعتماد برتوكول TCP/TP كدليل رقمي ذي حجية قضائية ؟
• ما الشروط اللازم توافرها لاعتماد الدليل المستخرج من بروتوكول TCP/IP كدليل إثبات؟

** البحوث والدراسات ذات الصلة :
لقد أدى انتشار استخدام أجهزة الكمبيوتر على نطاق عالمي، إلى ضرورة تطوير وسائل الإثبات بما يواكب التطور في وسائل الإجرام المعلوماتي وأصبح متطلباً من أجهزة العدالة الجنائية أن تتعامل مع أشكال مستحدثة من الأدلة في مجال الإثبات الجنائي، وهذا الأمر هو الذي دفع المنظمة الأوروبية للاقتصاد والتعاون والتنمية المعروفة باسم (OECD) والمجلس الأوروبي إلى إعداد دليل لقواعد استخدام الكمبيوتر عام 1983م، وفي عام 1986م أصدرا معاً دليلاً آخر عن الجرائم التي لها علاقة بالكومبيوتر ودور القانون في مختلف الدول تجاه هذا النوع المستحدث من الجرائم، وقد تم تطوير هذه القواعد عامي 1989م، 1992م.

لذا كان من المنطقي أن تكون مسألة قبول ومصداقية وحجية الأدلة الجنائية المستخرجة من الكمبيوتر، إحدى المسائل الهامة التي يتعرض لها المؤتمر الدولي الخامس عشر للجمعية الدولية لقانون العقوبات، الذي عقد في ريو دي جانيرو بالبرازيل في الفترة من 4-6 سبتمبر 1994( ).

كما أن هذه المسألة أيضاً كانت محل بحث على المستوى الدولي في فريبورج Warburg بألمانيا لبحث جرائم الكمبيوتر والتي عقدت في الفترة من 5-8 أكتوبر 1992، وحديثاً أصدرت الأمم المتحدة مرشداً عاماً حول مكافحة والحد من جرائم الكمبيوتر في يناير 2000م( ).

وإذا كان الاهتمام على المستوى الدولي يأخذ منحى إيجابياً كماً وكيفاً، إلا أن الاهتمام على المستوى العربي ما زال متردداً في اقتحام هذا المجال بعلمية وإيجابية أكثر، تسهم في حل المشكلات القانونية المترتبة على استخدام الكمبيوتر في ارتكاب الجريمة أو من خلاله، فأغلب الاهتمام بالقضية الكمبيوترية انصب على معالجة المشكلات الأمنية والقانونية المتربة على استخدام الكمبيوتر وجلّ اهتمامات المؤتمر التي تسارعت وتيرتها خلال السنوات الخمس الأخيرة بداية من عام 1998 على مستوى العالم العربي، اهتمت أكثر بالعلاقة بين القانون والكمبيوتر والإنترنت، ولذلك نجد أن معظم الدراسات العربية تناولت محددات الحماية الجنائية للمعلوماتية والتكييف القانوني لسرعة المعلومات وحجية المستخرجات الكمبيوترية أمام القضاء ومسؤولية مستخدمي الكمبيوتر وعلاقة التشريعات الوضعية بتشريعات تنظيم حركة المعلومات على الكمبيوتر.

وعلى الرغم من هذا النشاط العلمي المتزايد في مجال البحوث والدراسات المتعلقة بالكمبيوتر في العالم العربي إلا أن مسألة الدليل المعلوماتي ظلت وما تزال تعاني من ندرة الأبحاث والدراسات المتعلقة بكيفية استخلاصها وبتحديد ماهيتها ومصداقيتها ومدى حجيتها أمام أجهزة إنفاذ وتطبيق القانون. واقتصرت معظم (إن لم يكن كل هذه الأبحاث) على وضع أطر عامة في مجال البحث والتحقيق، يمكن الأخذ بها عند وقوع إحدى الجرائم بالكمبيوتر، دون أن تحدد كيفية قيام البحث الجنائي بدوره المحدد. طبقاً للواقع والقانون.

** منهجية البحث :
هذا وتلعب إشكالية البحث والمتمثلة في كيفية تقديم دليل TCP/IP كدليل له حجية قضائية TCP/IP دوراً رئيساً في اختيار وتحديد المنهج الذي سيتم اتباعه ومن هذا المنطلق فسوف نستعين في بثنا بأربعة مناهج رئيسة هي : الوصفي والتحليلي التركيبي والتكاملي والمقارن. ( )

وبناء على ذلك سوف يكون البحث مقسماً إلى الموضوعات التالية، عرض المفاهيم المستخدمة في البحث، وتحديد مفهوم الدليل الرقمي والتعرف على بروتوكول TCP/IP وجمع وتوثيق وحفظ الدليل المستخرج من بروتوكول TCP/IP.

** المفاهيم المستخدمة في البحث :

1. البروتوكول Protocol:

هو اتفاق يحكم الإجراءات المستخدمة لتبادل المعلومات بين كيانين متعاونين (نهايتين طرفيتين أو جهازين من أجهزة الكمبيوتر أو أكثر) يشتمل الاتفاق على كيفية إرسال الرسائل وعدد مرات الإرسال وكيفية العودة إلى الوضع السوي من أخطاء الإرسال ومن الذي سيتقبل المعلومات، وبصورة عامة أن البروتوكول يتضمن شكل الرسالة الإلكترونية وتسلسل القواعد الخاصة بها والقواعد التشفيرية الخاصة بالرسائل المرسلة بتتابع صحيح. ( )

2. برتوكول الاتصالات Communications Protocol

وهو مجموعة من القوانين والمقاييس المصممة لتمكين عدة أجهزة من الكمبيوتر من الإتصال ببعضها البعض ومن تبادل البيانات بأقل قدر ممكن من الأخطاء، يتألف البروتوكول المقبول عادة لتنظيم اتصالات الكمبيوتر بشكل عام من سبع طبقات من الأجهزة والبرمجيات والتي تعرف بنموذج (OSI ربط الأنظمة المفتوح). وتختلف بروتوكولات الاتصالات في تعقيداتها بحسب الوظيفة الموكولة لها، إذ قد توجد بعض البروتوكولات البسيطة التي تقوم بنقل الملفات فقط كما توجد بروتوكولات معقدة مثل OSI والبروتوكول المعتمد في شبكة الإنترنت هو TCP/I{ .

ويلاحظ أن هذا التنوع والاختلاف بين هذه البروتكولات ما هو إلا عبارة عن محاولة لتبسيط مسألة تمكين عدة أجهزة من الكمبيوتر من التعامل مع أصناف ونماذج مختلفة من عمليات الاتصال ببعضها بسهولة وبدون أخطاء. ( )


3. بروتوكول التحكم بالنقل / بروتوكول الإنترنت TCP/IP
Transmission Control Protocol (TCP), Internet Protocol (IP)

وهي عائلة بروتوكولات الاتصالات بين عدة أجهزة من الكمبيوتر طورت أساساً لنقل البيانات بين أنظمة (U N I X) ثم أصبحت المقياس المستخدم لنقل البيانات الرقمية عبر شبكة الإنترنت بواسطة الاتصال الهاتفي والمجموعة منها تسمى Stack TCP/IP. ( )

وبروتوكول TCP/IP يضم في الواقع بروتوكولين مستقلين في شبكة الإنترنت، هما بروتوكول TCP وبروتوكول IP حيث يعملان معاً وبشكل متزامن. ويرتكز البروتوكولان معاً TCP/IP على تقنية التبديل المعلوماتي بواسطة الحزم المعلوماتية (Packet) بين مختلف الوصلات السلكية واللاسلكية المتخصصة التي تربط الشبكات المختلفة الموصولة فيما بينها، وحزمة المعلومات "جزء او قسم من ملف معلوماتي ذات حجم مصغر ثابت تحمل كل منها رقماً خاصاً ومعلومات تعريفية بكل من المرسل والمرسل إليه، بحيث تعتبر كل حزمة عبر شبكة الإنترنت بشكل مستقل ويتراوح حجم الحزمة من 40 و 32.000 بت (بمعدل متوسط قدره 1500 بت) وعند كل وصلة، تتم قراءة جهة المقصد أو المرسل إليه ثم تتم إعادة إرسال الحزمة المارة عبرهما نحو الوصلات التالية الأقرب إلى جهة المقصد النهائية.

4. بروتوكول الإنترنت (IP) Internet Protocol

وهو بروتوكول عَنْوَنة البيانات والمواقع في شبكة الإنترنت، وبمقتضى هذا البروتوكول، يتم التعرف على الكمبيوتر الموصول بشبكة الإنترنت من خلال عناوين عددية، حيث لكل كمبيوتر موصول بها عنوانه الوحيد الخاص به تماماً.

5. النظام المعلوماتي Information System:

يشمل هذا النظام كل وسيلة مخصصة لصناعة المعلومات أو لمعالجتها أو لتخزينها أو لعرضها أو لإتلافها، يتطلب تشغيلها الاستعانة بشكل أو آخر بالوسائل الإلكترونية، كما يعنى أيضاً المعدات والآلات المعلوماتية والحاسبات الآلية والبرامج وقواعد وبنوك المعلومات والملقمات ومواقع الويب ومنتديات المناقشة والمجموعات الإخبارية وكل وسيلة معلوماتية أخرى مخصصة لصناعة أو لمعالجة أو لتخزين أو لاسترجاع أو لعرض أو لنقل أو لتبادل المعلومات .






6. جرائم عبر الكمبيوتر Cyber Crime( ):
وهي الجرائم التي لها علاقة بالكمبيوتر والشبكة المعلوماتية والإنترنت، فهي لذلك تشمل نوعين من الجرائم النوع الأول ويسمى جرائم الشبكة العالمية Web Crime Computer الذي يستخدم الكمبيوتر والشبكة والإنترنت كوسيلة مساعدة لارتكاب جريمة مثل استخدامه في الغش أو الاحتيال أو غسل الأموال أو تهريب المخدرات والنوع الثاني ويسمى جرائم الكمبيوتر Crime Computer يشمل الجرائم التي يكون الكمبيوتر فيها محلاً للفعل الإجرامي ذاته ويشمل ذلك الأفعال الإجرامية الواقعة على المكونات المادية Hard Ware أو المكونات المعنوية Soft ware أو قاعدة البيانات Data ****s( ).

** جرائم الشبكة العالمية Web Computer Crime

الكمبيوتر في النوع الأول من جرائم الـ Cyber لا يستخدم بصفة مباشرة لارتكاب الجريمة وإنما تستخدم شبكة المعلومات العالمية (الإنترنت) كوسيلة مساعدة لارتكاب الجريمة حيث لا يعتبر استخدام الكمبيوتر والإنترنت من طبيعة الفعل الإجرامي، إلا أن جهاز الكمبيوتر مع ذلك يظل محتفظاً بآثار رقمية يمكن أن تستخدم للإرشاد عن الفاعل( ).

** جرائم الكمبيوتر Computer Crime

جرائم الكمبيوتر تشمل فقط النوع الثاني من جرائم Cyber، أي تشمل الجرائم التي يكون الكمبيوتر فيها محلاً للفعل الإجرامي نفسه سواء شمل ذلك المكونات المادية أو المعنوية أو قاعدة البيانات والمعلومات التي قد تكون على الشبكة العالمية، وتشمل تلك الجرائم، انتهاك الملكية الفكرية، جرائم القرصنة والها كرز الفيروسات وغيرها( ).

7. الآثار المعلوماتية الرقمية ومسرح جريمة الكمبيوتر :
Crime Sense Cyber Trail and

وهي الآثار التي يتركها مستخدم الشبكة المعلوماتية أو الإنترنت وتشمل الرسائل المرسلة منه أو التي يستقبلها وكافة الاتصالات التي تمت من خلال الكمبيوتر والشبكة العالمية( ).

ويلاحظ أن هذه الآثار تكون في شكل رئيس هو الشكل الرقمي، لأن البيانات داخل الكمبيوتر سواء أكانت في شكل نصوص أم أحرف أم أرقام أم أصوات أم صور أم فيديو تتحول إلى صيغة رقمية، حيث ترتكز تكنولوجياالمعلوماتية الحديثة على تقنية الترقيم التي تعني ترجمة أو تحويل أي مستند معلوماتي مؤلف من نصوص أو صور أو أصوات أو بيانات إلى نظام ثنائي في تمثيل الأعداد يفهمه الكمبيوتر قوامه الرقمان ]صفر[ ، ]1[( ).

وتمتاز النصوص الرقمية بسهولة استنساخها بوقت قصير وبكلفة هامشية دون المساس بالأصل ولا بنوعية النسخ، فالنسخ تكرار للأصل وليس نسخة منه، وتمتاز أيضاً البيانات الرقمية بسهولة التلاعب بها سواء تعديلاً أو إتلافاً أو إدراجاً في مستندات أو بيانات رقمية أخرى وبسرعة متناهية.

ويلاحظ أن الآثار المعلوماتية أو الرقمية المستخلصة من أجهزة الكمبيوتر من الممكن أن تكون ثرية جداً فيما تحتويه من معلومات مثل صفحات المواقع المختلفة Web Pages والبريد الإلكتروني Email، الفيديو الرقمي digital Video، الصوت الرقمي Digital audio، غرف الدردشة والمحادثة Digital Logs of Synchronous Chat Sessions، الملفات المخزنة في الكمبيوتر الشخصي Files Stored On Personal Computer، الصورة المرئية Digitized Still Images، الدخول للخدمة والاتصال بالإنترنت والشبكة عن طريق مزود الخدمات Computer Logs from An Internet service Provider (I S P).

لذلك فإن الآثار الرقمية تشمل رؤية لمسرح الجريمة الحقيقي، ومسرح الجريمة الرقمي نفسه فإذا كانت هناك جريمة حدثت فعلياً في العالم الحقيقي واستخدام كمبيوتر بطريقة ما في أحد أفعالها فإن رجال الشرطة أو مقتفو الأثر الجنائي يجب عليهم أن يبحثوا في كل من المَسّرَحَينْ المسرح الحقيقي والمسرح المعلوماتي الرقمي.

8. الدليل الرقمي Digital Evidence
هو الدليل المأخوذ من أجهزة الكمبيوتر، وهو يكون في شكل مجالات مغناطيسة أو نبضات كهربائية، ممكن تجميعها وتحليلها باستخدام برامج وتطبيقات وتكنولوجيا خاصة ويتم تقديمها في شكل دليل يمكن اعتماده أمام القضاء.

9. القراصنة والفضوليون Hackers and Computer Crackers

على الرغم من أنهما يتمتعان بموهبة فريدة في برامج الكمبيوتر والتكنولوجيا المعلوماتية إلا أن مصطلح Crackers يعني أولئك الأشخاص الذين يستطيعون الولوج إلى نظام معلوماتي خاص بجهة ما أو فرد دون أن يؤدي هذا الولوج إلى تغيير أو تعديل أو عبث بالمعلومات، فهو دخول آمن Break safe، الغرض منه إثبات قدرة الفضولي على التغلب على أنظمة الأمن المعلوماتية.
بينما يعني مصطلح Hackers أولئك الأشخاص الذين يستطيعون الولوج إلى النظام المعلوماتي بقصد ارتكاب جريمة ما، مثل تدمير المعلومات أو تغييرها أو نسخها أو التلاعب فيها.. وغيرها.

*** والخلاصة فيما سبق :

إن المفاهيم الرئيسة في البحث تدور حول موضوعين رئيسين الموضوع الأول هو تعريف الجريمة المتعلقة باستخدام جهاز الكمبيوتر، سواء تلك التي تتم باستخدام أجهزة الكمبيوتر أو تلك التي تتم على الجهاز نفسه بمشتملاته المادية والمعنوية. ولقد انتهينا إلى تبني مفهوم الجريمة عبر الكمبيوتر Cyber Crime للدلالة على الجريمة المتعلقة باستخدام الكمبيوتر ذلك أن مصطلح Cyber ذو دلالة على الشبكة المعلوماتية.

والموضوع الثاني لمفاهيم البحث الرئيسة يتركز على البروتوكولات المستخدمة لتحقيق الاتصالات في الشبكة المعلوماتية، ولقد خلصنا إلى تبني بروتوكول TCP/IP باعتباره يشمل بروتوكولين مستقلين معاً ويستخدمان تقنية التبادل المعلوماتي بواسطة الحزم المعلوماتية بين مختلف أجهزة الكمبيوتر المتصلة بالشبكة المعلوماتية.

• أولاً: الدليل الرقمي Digital Evidence

1. ماهية الدليل الرقمي وخصائصه في مجال البحث والتحقيق الجنائي:

يُعرّف الدليل الرقمي بأنه هو المأخوذ من أجهزة الكمبيوتر وهو يكون في شكل مجالات أو نبضات مغناطيسية أو كهربائية، ممكن تجميعها وتحليلها باستخدام برامج وتطبيقات وتكنولوجيا خاصة، وهي مكون رقمي لتقديم معلومات في أشكال متنوعة مثل النصوص المكتوبة أو الصور أو الأصوات والأشكال والرسوم، وذلك من أجل اعتماده أمام أجهزة إنفاذ وتطبيق القانون.

ويمتاز الدليل الرقمي عن الدليل المادي المأخوذ من مسرح الجريمة المعتاد، بما يلي :
1. طريقة نسخ الدليل الرقمي من أجهزة الكمبيوتر تقلل أو تعدم تقريباً مخاطر إتلاف الدليل الأصلي، حيث تتطابق طريقة النسخ مع طريقة الإنشاء.
2. باستخدام التطبيقات والبرامج الصحيحة، يكون من السهولة تحديد ما إذا كان الدليل الرقمي، قد تم العبث به أو تعديله وذلك لإمكانية مقارنته بالأصل.
3. الصعوبة النسبية لتحطيم أو محو الدليل، حتى في حالة إصدار أمر من قبل الجاني بإزالته من أجهزة الكمبيوتر، فيمكن للدليل الرقمي أن يعاد تظهيره من خلال الكمبيوتر دسك.
4. نشاط الجاني لمحو الدليل، يسجل كدليل أيضاً، حيث أن نسخة من هذا الفعل (فعل الجاني لمحو الدليل) يتم تسجيلها في الكمبيوتر ويمكن استخلاصها لاحقاً لاستخدامها كدليل إدانة ضده.
5. الاتساع العالمي لمسرح الدليل الرقمي، يُمَكّن مستغلي الدليل من تبادل المعرفة الرقمية بسرعة عالية، وبمناطق مختلفة من العالم، مما يساهم في الاستدلال على الجناة أو أفعالهم بسرعة أقل نسبياً.
6. امتيازه بالسعة التخزينية العالمية، فآلة الفيديو الرقمية، يُمكنها تخزين مئات الصور، ودسك صغير يمكنه تخزين مكتبة صغيرة وهكذا.
7. يمكن من خلال الدليل الرقمي رصد المعلومات عن الجاني وتحليلها في ذات الوقت فالدليل الرقمي يمكنه أن يسجل تحركات الفرد، كما أنه يسجل عاداته وسلوكياته وبعض الأمور الشخصية عنه، لذا فإن البحث الجنائي قد يجد غايته بسهولة أيسر من الدليل المادي.

2. الإطار العلمي لاستخلاص الدليل الرقمي وجمعه من مسرح الحادث:

هناك أمور رئيسة تنبغي الإشارة إليها، تتعلق بالدليل الرقمي، وأول هذه الأمور، هو مدى الحاجة إلى علوم الكمبيوتر وعلوم الأدلة الجنائية وعلوم التحليل السلوكي للأدلة الرقمية حيث إن علوم الكمبيوتر تقدم المعلومات التكنولوجية الدقيقة وهي مطلوبة لفهم المظهر أو الهيئة أو الكينونة الفريدة للدليل الرقمي بينما علوم الأدلة الجنائية من شأنها أن تقدم منظوراً علمياً لتحليل أي شكل من أشكال الأدلة الرقمية وتساهم علوم التحليل السلوكي للأدلة الرقمية في الربط المحدد بين المعارف التكنولوجية وبين الطرق العلمية لاستخلاص الدليل الرقمي، لفهم أفضل للسلوك الإجرامي التقني( ).

** وعلى ذلك فإن هذه العلوم مجتمعة تساهم فيما يلي :
1. الكشف عن الدليل الرقمي.
2. إجراء الاختبارات التكنولوجية والعلمية عليه لاختباره والتحقق من أصالته ومصدره كدليل يمكن تقديمه لأجهزة إنفاذ وتطبيق القانون.
3. تحديد الخصائص الفريدة للدليل الرقمي.
4. إصلاح الدليل وإعادة تجميعه من المكونات المادية للكمبيوتر Hard Drive.
5. عمل نسخة أصلية من الدليل الرقمي للتأكد من عدم وجود معلومات مفقودة أثناء عملية استخلاص الدليل.
6. جمع الآثار المعلوماتية الرقمية Cyber trail digital التي قد تكون تبدلت خلال الشبكة المعلوماتية.
7. استخدام الخوارزميات Algorithm للتأكد من أن الدليل لم يتم العبث به أو تعديله( ).
8. تحريز الدليل الرقمي لإثبات أنه أصيل وموثوق به ويقع ضمن سلسلة الأدلة المقدمة في الدعوى.
9. تحديد الخصائص المميزة لكل جزء من الأدلة الرقمية مثل المستند الرقمي، البرامج، التطبيقات، الاتصالات، الصور، الأصوات، .. ,وغيرها.

وعادة ما توجد الادلة الرقمية في مخرجات الطابعة والتقارير والرسوم وفي أجهزة الكمبيوتر وملحقاتها وفي الأقراص المرنة والصلبة وأشرطة تخزين المعلومات وفي أجهزة المودم والبرامج وأجهزة التصوير ومواقع الويب والبريد الإلكتروني ولذلك تستخدم عدة طرق أو أدوات تساهم في جمع الأدلة الرقمية منها :
1. برناج أذن التفتيش Computer Scorch Warrant Program

وهو برنامج قاعدة بيانات، يسمح بإدخال كل المعلومات الهامة المطلوبة لترقيم الأدلة وتسجيل البيانات منها ويمكن لهذا البرنامج أن يصدر إيصالات باستلام الأدلة والبحث في قوائم الأدلة المضبوطة لتحديد مكان دليل معين أو تحديد ظروف ضبط هذا الدليل.

2. قرص بدء تشغيل الكمبيوتر Bootable Diskette( ):

وهو قرص يُمكن المحقق من تشغيل الكمبيوتر، إذا كان نظام التشغيل فيه محمياً بكلمة مرور ويجب أن يكون القرص مزوداً ببرنامج مضاعفة المساحة Double space فربما كان المتهم قد استخدم هذا البرنامج لمضاعفة مساحة القرص الصلب.

3. برنامج معالجة الملفات مثل X tree Pro Gold

وهو برنامج يُمكن المحقق من العثور على الملفات في أي مكان على الشبكة أو على القرص الصلب، ويستخدم لتقييم محتويات القرص الصلب الخاص بالمتهم أو الأقراص المرنة المضبوطة أو يستخدم لقراءة البرامج في صورتها الأصلية، كما يُمكن من البحث عن كلمات معينة أو عن أسماء ملفات أو غيرها.

4. برنامج النسخ مثل Lap Link

وهو برنامج يمكن تشغيله من قرص مرن ويسمح بنسخ البيانات من الكمبيوتر الخاص بالمتهم ونقلها إلى قرص آخر سواء على التوازي Parallel Port أو على التوالي Serial Port وهو برنامج مفيد للحصول على نسخة من المعلومات قبل أي محاولة لتدميرها من جانب المتهم .

5. برامج كشف الدسك مثل AMA Disk, View disk

ويمكن من خلال هذا البرنامج الحصول على محتويات القرص المرن، مهما كانت أساليب تهيئة القرص، وهذا البرنامج له نسختان، نسخة عادية خاصة بالأفراد ونسخة خاصة بالشرطة( ).




6. برامج اتصالات مثل LANtastic

وهو يستطيع ربط جهاز حاسب المحقق بجهاز حاسب المتهم لنقل ما به من معلومات وحفظها في جهاز نسخ المعلومات ثم إلى القرص الصلب. هذه هي أهم الطرق العامة لجمع الأدلة الرقمية، والتي يجب أن يقوم بها خبراء في هذا المجال نظراً لعلمية ودقة هذه الأدلة.

3. بروتوكول TCP/IP كدليل رقمي :

لفهم بروتوكول TCP/IP كدليل ينبغي معرفة كيفية عمل كل من بروتوكول TCP وبروتوكول IP وكما أشرنا من قبل فإن بروتوكول TCP/IP يعتبر من أشهر البروتوكولات المستخدمة في شبكة الإنترنت والاتصالات، فهي جزء أساسي من الإنترنت ويتكون هذا البروتوكول مما يلي :

1. بروتوكول UDP User Data gsam Protocol
2. بروتوكول TCP Transport Control Protocol
3. بروتوكول IP Internet Protocol

وتعمل هذه البروتوكولات الثلاثة معاً لنقل المعلومات الخاصة بالمستخدم طبقاً لنظام هيكلة تبادل المعلومات المعروف باسم : With O S I TCP/IP






























ويقوم نظام هيكلة تبادل المعلومات طبقاً للنموذج القياسي المعتمد للأنظمة المفتوحة المعروف بنظام TCP/IP With O S I ( )، بتبادل المعلومات طبقاً للنظام التالي:
1. يقوم برتوكول TCP بتسليم مجموعة المعلومات المطلوب إرسالها أو إعادة إرسالها حينما يكون ذلك ضرورياً وبمساعدة من بروتوكول U D P المصمم لمواجهة بعض التطبيقات التي لا تستخدم TCP، ويلاحظ أن هذه التطبيقات T/CP U D P مصممة أيضاً لمواجهة المشكلات الشائعة التي قد تحدث أثناء عملية تبادل المعلومات ويشمل ذلك إخفاق الهارد ووير والمعلومات المتأخرة وازدحام الشبكات والأخطاء المتكررة أو المتتالية.


2. ولمواجهة حالات التدفق المعلوماتي الناشئ من استخدام الشبكة من قبل عدة مستخدمين وخصوصاً في حالات المشاركة في الهارد ووير أو في خط هاتفي واحد أو في وسيلة اتصال واحدة، يتم تقسيم المعلومات باستخدام طريقة Pac kets وهي طريقة من شأنها تقسيم المعلومات لمساعدة أكثر من جهاز كمبيوتر لاستخدام نفس وسيلة الاتصال أو نفس الأجهزة وتمكنها في نفس الوقت من فتح أكثر من قناة.


3. بعد تقسيم المعلومات يتم ترقيمها بنظام Port وهو نظام من شأنه التعريف بمجموعات المعلومات المقسمة والمتبادلة بين أجهزة الكمبيوتر، فتأخذ كل مجموعة رقماً معيناً يمكنها الاستدلال عليه لاحقاً والترقيم المعتمد كنموذج لصفحات الويب والإميل ومجموعات الأخبار هو 80 ، 25 ، 119 على التوالي. وعلى ذلك حينما يستقبل الملقم Server باكت برقم 25 يعرف أن هذا الباكت هو email، وإذا لم تكن الحزمة المرقمة بهذا الرقم email فإن الملقم لا يتعرف عليها ويعيدها برسالة خطأ أو يقوم بإهمالها.


4. بعد تقسيم المعلومات، يقوم بروتوكول T C P بتحقيق الاتصال بالكمبيوتر المرسل إليه يعتمد في هذا الشأن ثلاث طرق وهي باستخدام S Y N أو A C K أو كليهما معاً كالآتي:

• الأولى : يقوم الكمبيوتر المرسل بإرسال باكت S Y N وهي باكت يحتوي على معلومات مؤداها أن المرسل يرغب في فتح قناة اتصال مع المرسل إليه، وعادة يستخدم T C P مثل هذا الباكتات محفوظة في أرقام متتالية وتحت الطلب إلى كمبيوتر المرسل إليه( ).
• الثانية: يقوم كمبيوتر المرسل إليه عند استلام طلب كمبيوتر المرسل بإرجاع باكت خاص يسمى A C K وهذه اختصاراً لمصطلح Acknowledgement وهذا الباكت يحتوي أيضاً على S Y N بت B I T قادر على جعل الاتصال يتزامن في نفس الوقت).
• الثالثة : كمبيوتر المرسل يقوم بإرسال باكت يحتوي على معلومات مع A C K بت إلى كمبيوتر المرسل إليه، لتحقيق الاتصال وتلقي المعلومات.
5. وفي خلال فترة زمنية معينة، إذا لم يتسلم T C P رسالة بأن الاتصال قد تم بين المرسل والمرسل إليه، فإنه يعيد الإرسال مرة أخرى، حتى في الحالات التي يتم فقد الباكت فيها أو عدم صلاحيتها.


6. إذا ما تحقق الاتصال، يقوم T C P بالتأكد من أن الباكت قد أرسلت فعلاً إلى المرسل إليه وفي الزمن المطلوب طبقاً للمعدلات الزمنية، وأرسلت أيضاً في الشكل المطلوب وطبقاً للتعريفات الرقمية المحددة والمتعارف عليها.


7. حينما ينتهي الاتصال بين المرسل والمرسل إليه، يقوم بروتوكول T C P بإرسال باكت يفيد الانتهاء FIN (BIT).

** ولكن ما هو عمل بروتوكول I P ؟!

1. بروتوكول I P هو المسؤول الأول عن العَنْوَنة والمعلومات المرفقة، فبعد قيام T C P بتقسيم المعلومات إلى حزم معلوماتية (الباكت) يقوم بروتوكول I P بعَنْوَنة كل حزمة مع إضافة معلومات أخرى إليها لتصبح الباكت المحتوي على حزمة مع إضافة معلومات أخرى إليها لتصبح الباكت المحتوي على حزمة TCP/IP بهذا الشكل :















2. ويلاحظ أن كل كمبيوتر بالإنترنت له عنوان خاص به يسمى Addresses P وكل عنوان مكون من جزئين، الأول يشمل أرقام الشبكة Work Numbers Net والثاني يشمل أرقام مقدم الخدمة host Numbers( ).

3. ولقد اعتمد نظام لفهرسة العناوين عن طريق تقسيم العناوين إلى مستويات ثلاثة، مستوى يستطيع أن يتعامل في نطاق جغرافي معين (على مستوى المدن الأحياء، الدول ... هكذا).

4. وعلى الرغم من أن الكمبيوتر، يتعامل أفضل من الأرقام، إلا أن المستخدمين يفضلون الحروف والأسماء وحينما تكتب اسماً معيناً، كشرطة الشارقة مثلاً، فإن هذا الاسم يتحول أتوماتيكياً إلى أرقام دالة على الموقع المطلوب.

5. وحينما تصبح المعلومات جاهزة للإرسال إلى كمبيوتر المرسل إليه، فإن الحزم المعلوماتية المرقمة تمر خلال عدة طرق محددة سلفاً ويقوم برامج I P في كل طريق بتحديد المسارات التي تسلكها الحزم حتى تصل إلى الوجهة المحددة وعادة يقوم I P في كل مرة بتحديد أفضل المسارات طبقاً لزمن الشبكة وازدحامها وجهة الوصول وغيرها.

6. ويوجد برنامج يسمى Trace route يمكنه تقديم قائمة بالطرق والمسالك التي يمكن أن تسلكها الحزم المعلوماتية للوصول إلى الكمبيوتر المقصود، وعادة ما يتم إدراج هذا البرنامج ضمن نظم التشغيل الرئيسة Operating System وعادة تسلك المعلومات أو الحزم المعلوماتية نفس المسار دائماً، ما لم يتم تغيير هذا الاتجاه بتغير الأجهزة مثلاً( ).

ويعتبر هذا البرنامج برنامج Trace route ذا أهمية في الكشف الجنائي، حيث أنه يحدد بدقة أي من أجهزة الكمبيوترات التي اشتركت في نقل البيانات على الإنترنت، وتحديد مساراتها حتى وصلت إلى المرسل إليه وتحديد الملفات التي تم الولوج إليها لذلك تصبح كل المسارات بها آثار أو أدلة رقمية يمكن الاستدلال بها على نشاط الجاني، كما أنه من جهة أخرى يحدد المسار الذي أخذته المعلومة وتحديد أي اختراق أو عبور أو تجاوز خلال الإعداد للجريمة، كما أنه يستدعي أو يمكنه أن يحيط بكافة المعلومات المتعلقة بدخول أشخاص مواقع معينة وتحديد مسارات ولوجهم وخروجهم من المواقع المحددة.

ولفهم ذلك كله هناك سيناريو يمكن تخيله، لنفترض أنك تريد أن تنشئ شبكة داخلية، بينك وبين أصدقائك وجيرانك لذلك ستعمل على اتخاذ الخطوات التالية :

‌أ- يتم توصيل كافة أجهزة الكمبيوتر الخاصة بجيرانك المستهدفين ببعضها البعض وتستخدم المودم Modem للربط بينهم جميعاً.

‌ب- حينما تريد توصيل شبكتك بالشبكة العالمية للمعلومات لا بد أن تحصل على عنوان لك لذلك سوف تحاول الحصول على عنوان من إحدى المنظمات المتخصصة التي تمنح عناوين وبعد ذلك تخصص عناوين لمستخدمي شبكتك من خلال عنوانك الرئيس الممنوح لك وتحتفظ ببعض العناوين الأخرى.

‌ج- مسار دخول أو ولوج شبكتك إلى الشبكة سواء قام به أصدقاؤك أو جيرانك أو قمت بها أنت، سوف يتم من خلال طريق أو مسار واحد عن طريق العنوان الممنوح لك في بداية إنشاء شبكتك ويترتب على ذلك :
1. تصبح أنت مزوداً للخدمة بالنسبة لجارك أو صديقك المتصل بالشبكة الخاصة بك.
2. تستطيع لذلك مراقبة تحركات صديقك أو جارك على الشبكة في كل زمان ومكان كما يمكنك نسخ هذه التحركات والاحتفاظ بها لاستخدامها عند اللزوم.
3. معظم المعلومات التي أرسلها الجار أو الصديق خلال الإنترنت هي معلومات صادرة منه أو من جهازه تحمل قرينة قضائية بحيث لا يمكن إنكار صدوره منها.

‌د- ولاستكمال السيناريو، نفترض أن موقعك أصبح معروفاً ولذلك لم يعد لديك عناوين IP كافية لتلبية احتياجات الاتصال للمتسخدم، لذلك يتم حل هذه المشكلة عن طريق إعطاء عنوان IP بتفرد خاص بكل مستخدم، بحيث يقوم هذا المستخدم في كل مرة بطلب الاتصال بالإنترنت بالتوقيع بهذا العنوان المخصص له ويلاحظ أن هذه العناوين IP المميزة لكل مستخدم وهي الأسلوب الشائع الآن لمزودي الخدمة( ).

لذلك فإن البحث الجنائي يمكنه بهذه الوسيلة (الرقم المميز الشخصي لعنوان IP لكل مستخدم) أن يحدد من هو المستخدم (طبقاً لسجلات اعتماد توصيل الخدمة من مزود الخدمة للمستخدم أو عند الاشتراك في الخدمة) وتحديد زمن الاستخدام الفعلي ووقت الاستخدام الحقيقي والمواقع التي قام بالولوج فيها ومدة المكوث داخل كل موقع، والطرق أو المسالك عبر الشبكة منذ لحظة الدخول وحتى لحظة الخروج من الموقع، وعادة يتم حفظ كل ذلك لدى مزود الخدمة ولفترة زمنية تحدد طبقاً لكل مزود( ).

ومن هنا، تبدو من الأهمية للبحث والتحقيق الجنائي، سرعة الإبلاغ عن الجرائم التي يستخدم فيها الكمبيوتر، حيث يمكن إذا تم الإبلاغ في الفترة المسموح فيها بالاحتفاظ بتاريخ التحركات لدى مزود الخدمة، العثور على الدليل المستهدف من تحريات الشرطة.

ويثور في البحث الجنائي الرقمي صعوبة، عند قيام بعض مزودي الخدمة بإعطاء عناوين غير ثابتة للمستخدمين أو ما يعرف باسم Dynamic IP Address، فكيف يمكن الاستدلال على شخص المستخدم؟!

الواقع أنه يمكن التفرقة بين كل من العناوين المحددة أو المميزة أو الثابتة لكل مستخدم والتي تعرف باسم Static IP Address والعناوين غير الثابتة أو غير المحددة لشخص أو ما يعرف باسم Dynamic IP Address. حيث تعرف الأولى بأنها العناوين المحددة لكل مستخدم ويتم استخدامها في كل مرة يتم فيها الولوج للإنترنت، بينما الثانية هي عناوين غير محددة، فكل مرة يتم الاتصال فيها بالإنترنت يتم التوقيع بعنوان جديد فيما يعمد مزود الخدمة لمواجهة تدفقات الاستخدام الطارئ للشبكة من قبل أشخاص لا يريد مزود الخدمة تثبيت رقم محدد لعناوينهم ويمكن الاستدلال على هذا العنوان الديناميكي من خلال وجود كلمة PPP أو كلمة Dial أو يحتوي على أرقام مثل e.g. Czo52. cyberia.com وهذه الأرقام عادة جزء من ديناميكية العنوان ويمكن أن يستدل منها على جهة معينة أو منطقة جغرافية محددة. ويمكن القول بأنه إذا كان المستخدم يقوم بالاتصال عن طريق الخط الهاتفي (المودم) فإن عنوان بروتوكول الإنترنت يتم تحديده ديناميكياً في كل مرة اتصال بينما إذا استخدم تقنية ADSL فإن تحديد عنوان بروتوكول الإنترنت يكون ثابتاً لا يتغير وجميع هذه العناوين سواء أكانت ديناميكية أو ثابتة يتم تحديدها وفق سلسلة معينة من الأرقام من قبل مزود الخدمة.

هذه العناوين الديناميكية يمكن أن تشكل صعوبة لتحديد شخص مستخدم عنوان IP الديناميكي في الوقت المحدد، ولكن لحسن الحظ، أن مسارات ومعلومات الولوج يتم الاحتفاظ بها لبعض الوقت وعن طريقها يمكن الاستدلال عن شخص المستخدم أو تضييق دائرة البحث الجنائي.

ويلاحظ أن هناك بروتوكولات خاصة بالتوقيع الرقمي باستخدام عناوين IP، حيث تستخدم بعض الشبكات بروتوكولاً يسمى Dynamic Host Configuration Protocol (DHCP).

وهذه البروتوكولات تستخدم سواء للتوقيع بعناوين محددة أو ديناميكية ووظيفة هذه البروتوكولات منع الكمبيوتر من استخدام عناوين IP خاطئة، ويحدث هذاالخطأ فيما يعمد بعض الأشخاص لتشغيل الكمبيوتر الخاص بهم باستخدام عنوان IP مختلف وذلك لإخفاء تحركاتهم، كما يحدث الخطأ أيضاً اعتراضياً إذا لم يستطع الكمبيوتر أن يحدد عنوان IP الصحيح له، ولمنع حدوث ذلك كله تستخدم هذه البروتوكولات( ).

ثانياً: المحددات الفنية لاستخدام بروتوكول TCP/IP كدليل رقمي للإثبات الجنائي أو المدني

1. هناك عدة تحديات حينما تستخدم بروتوكول TCP/IP كدليل رقمي للإثبات الجنائي أو المدني منها:

‌أ- بروتوكول IP وحدة معلوماتية، تحتوي على معلومات عن الكمبيوتر ولكن ليس عن الأشخاص، لذلك فمن الصعوبة إثبات أن شخصاً محدداً أحدث الفعل غير المشروع. ومع ذلك فإن ذلك يمكن أن يستخدم كقرينة قضائية ضد مالك أو صاحب هذا الجهاز إلى أن يثبت العكس ذلك أن نقطة بدء نشوء مسار بروتوكول TCP/IP يمكن أن تساعدنا للوصول إلى المشتبه فيه، حيث إن مجموعة صغيرة من الأفراد هي التي يمكنها أن تستخدم أجهزة محددة، وبأرقام وعناوين محددة.

‌ب- التحديث الثاني، حينما يعمد المشتبه بهم أو الجناة إلى استخدام عناوين ديناميكية لارتكاب جرائمهم، أو حينما يضعون معلومات غير صحيحة أو قانونية باستخدام الكمبيوتر الشخصي لهم في ملف خدمات عام من أجل تجنب التعرف عليهم. ويحدث ذلك فيما يقول المشتبه فيه أو المجرم باستخدام مزود خدمة ذي حجم مستخدمين كبير فالمجرم سوف يوقع باستخدام عنوان IP ويمكن للآخرين في ذات الوقت من استخدام نفس العنوان وبعد مرور فترة زمنية يقوم بغلق الاتصال وبعد فترة يعادو الاتصال مما يجعل غالباً نتائج النشاط الإجرامي موزعة على عدة عناوين للـ IP ومع ذلك فإن إمكانية التعرف على المجموعة المختارة من الناس التي استخدمت الكمبيوتر محل الاشتباه في ملف خدمات، أمر يمكن من خلاله الاستدلال على المجرم أو الشخص الحقيقي.

‌ج- التحدي الأصعب، حينما تكون المعلومات المحملة في عناوين IP غير حقيقية أو زائفة، وهذا ممكن حينما تحدث حزمة معلوماتية Packet باستخدام مصدر زائف لمصدر عنوان IP، بحيث يظهره بأن المعلومات جاءت من كمبيوتر محدد بينما في الحقيقة جاءت من كمبيوتر آخر. ومثال ذلك حينما يقوم برنامج خبيث Malicious Program ، بإدخال معلموات كاذبة أو غير حقيقية عن حقيقية عنوان IP في Packets الإرسال وقبل الولوج في شبكة المعلوماتية. ويحدث ذلك حينما يقوم البرنامج الخبيث بإغراق الشبكة بالمعلومات أو إرسال العديد من الرسائل، أو حث الماكينة الرئيسة في مزود الخدمة أو الشبكة على الإسراع أو التعجيل في العمل ولحسن الحظ أيضاً، معظم المجرمين لا يعلمون كيف يزيفون عناوين IP، ولا يعرفون أي من عناوين IP يمكن أن تكون دالة على الشخص المجرم في الجريمة المحددة.
2. الصعوبات الفنية لاستخدام ملف الولوج Log files في الإثبات:
تحتوي ملفات الولوج على كمية هائلة من المعلومات عن الاستخدام الشخصي للكمبيوتر وهي بذلك مصدر من أهم المصادر للأدلة الرقمية ويرجع السبب في ذلك إلى ما يلي :

‌أ- تحتوي هذه الملفات على عناوين IP التي تمكن أجهزة البحث من تحديد أي كمبيوتر بالضبط، قام بالفعل الإجرامي في الوقت المحدد المسجل وفي المكان المحدد المسجل، وتفسير ذلك أن جهاز خادم الولوج Server Log يسجل كافة العناوين والتوقيتات والأزمنة للأجهزة المتصلة به ويشمل ذلك كافة الأنشطة المعلوماتية التي تتم على الشبكة مثل التصفح واستعراض المواقع المختلفة وإرسال واستقبال الرسائل الإلكترونية.

‌ب- ترتبط ملفات الولوج Log files غالباً مع برامج الحماية Firewalls وبرامج تحديد المسارات Routers حيث تسجل غالباً تحركات الدخول والخروج مع بروتوكولات TCP/IP ويلاحظ أن صعوبة البحث هنا، ترجع إلى أن ملفات الولوج في نظام UNIX تتطلب من رجال البحث الجنائي إلماماً خاصاً بطرق استخراج المعلومات حيث إن إعطاء بعض الأوامر دون البعض الآخر من شأنه أن يظهر بعض المعلومات دون البعض الآخر، لذلك يجب على رجال البحث استخدام أوامر Syslog-Log-Var-More، لاستخراج كافة المعلومات المسجلة عن النشاط الذي تم باستخدام جهاز الكمبيوتر( ).

ثالثاً: جمع وتوثيق وحفظ الدليل المستخرج من بروتوكول TCP/IP

1. جمع الدليل المستخرج من بروتوكول : TCP/IP

جمع الأدلة الرقمية من بروتوكولات النقل والشبكات والاتصالات يمكن أن يشكل صعوبة نسبية من وجهة نظر أجهزة إنفاذ القانون. وبالرغم من أن ملفات الولوج Log file تبدو مشابهة للملفات العادية، وممكن جمعها مثل أي ملف آخر وهي تحتوي عل كمية هائلة من المعلومات التي قد تفيد البحث والتحقيق الجنائي، إلا أن الصعوبة في جمع هذه المعلومات الجنائية، أنها عادة ما تكون مختلطة بغيرها من معلومات مستخدمي الكمبيوتر الأبرياء مما قد يشكل تهديداً لخصوصية هؤلاء ويعتبر في ذات الوقت ضبطاً بدون تفويض أو تصريح أو أمر قانوني أو قضائي. لذلك تعمد بعض منظمات تشغيل الكمبيوتر والشبكة إلى عدم إفشاء أسرار جميع ملفات الولوج إلا الخاصة بالمتورطين فقط في قضايا مدنية أو جنائية وبناء على أمر قضائي طبقاً للنظام القانوني السائد في الدولة.

وهناك صعوبة أخرى في جمع الادلة الرقمية من جداول الحالة التشغيلية في البروتوكولات والاتصالات وتتمثل هذه الصعوبة في أن هذه الجداول تكون متاحة لفترات قصيرة ولا يمكن التغلب على هذه الصعوبة بالتحفظ الجنائي على أجهزة الهارد وير Hard ware لحين الفحص، لأن هذه الجداول تزال تلقائياً بمجرد غلق أو انقطاع التيار الكهربائي عن تلك الأجهزة، لذلك فمن المستحسن أن يتم استخدام أسلوب Cut And Past القص واللصق إلى ملف جديد خاص بجمع الأدلة وقبل غلق الأجهزة. ورغم أن أسلوب القطع واللصق أسلوب ناجح لجمع الأدلة، إلا أن المشكلات القانونية المترتبة على قانونية هذا الأسلوب قد تثير بعض الشك في مدى سلامة جمع المعلومات وحجيتها أمام أجهزة العدالة الجنائية لذلك بقترح ما يلي لسلامة الجمع والتوثيق.

1. أخذ نسخة كاملة من بيانات الجداول التشغيلية عند ضبط الجهاز المستخدم وقبل فصل الجهاز عن التيار الكهربائي وذلك بطباعة هذه النسخة.

2. القيام بعمليات النسخ واللصق والتجميع في File محدد بعد التأكد من خلوه التام من أي معلومات أخرى.

3. مراعاة ترقيم البيانات المجزئة طبقاً للتسلسل الحادث بحيث يتم الاستدلال عليها بشكل متسلسل ومنطقي وطبقاً للأصل.

وهذه الإجراءات رغم أنها إجراءات طويلة وتتطلب وقتاً ومثابرة ودقة في العمل، إلا أنها ضرورية ولازمة للتدوين والحفظ لإمكان اعتمادها كدليل أمام أجهزة العدالة الجنائية.

2. تصنيف وتخصيص وتوثيق الدليل المستخرج من بروتوكول TCP/IP

ذكرنا من قبل أن ملفات الولوج وجداول الحالة التشغيلية يمكن أن تحتوي على معلومات عن مصادر وطبيعة الجريمة محل التحقيق أو البحث، حيث تحتوي ملفات الوولج على عناوين IP للكمبيوتر المستخدم والكمبيوتر الوسيط أو الرئيس أو الخادم، وتحتوي على معلومات من كافة الأنشطة التي قام بها المستخدم أو حاول أن يقوم بها عند استخدامه للشبكة المعلوماتية وتحتوي كذلك على معلومات بشأن أنواع الاتصالات التي تمت وكل هذه المعلومات ممكن أن تستخدم في تصنيف وتخصيص وتوثيق الدليل الرقمي تجاه الجريمة محل البحث والتحقيق.

وملفات الولوج وجداول الحالة التشغيلية ممكن أن تصنف كوحدة معلوماتية كاملة مثل :
a linux 5.2 Wtmp Loge, a Solaris syslog, a state table from windows N T primary Domain Controller وهي بذلك يمكن أن تقارن مع وحدة معلوماتية كاملة أخرى وذلك لتحديد الجزء المطلوب للدليل الجنائي.

بالإضافة إلى تصنيف ملفات الولوج وجداول الحالة التشغيلية كوحدة معلوماتية كاملة، فإن احتواء هذه الوحدة على المعلومات الصالحة لِتَّعَرُف عليها وتصنيفها وتوثيقها يعطي لها أهمية خاصة في البحث والتحقيق الجنائي.

وهناك العديد من أشكال الاتصال باستخدام بروتوكول TCP مثل Web, Email, Telnet وهذه الأشكال ممكن أن تصنف وبعد إتمام عمليات التصنيف، يمكن إجراء عمليات المقارنة بين الأفعال المشتبه بها وبين الأفعال الطبيعية الأخرى.

ويلاحظ إذا كان هناك ولوج من مشتبه به أو توافرت باقة معلومات عن عنوان IP لمستخدم ما فإن هذا الولوج وهذه المعلومات قد لا تكون مطابقة لمستويات معروفة ولكن الباحثين الجنائيين يمكنهم مقارنة المعلومات المتوافرة مع المعلومات الأخرى الرسمية أو المتفق عليها لاكتشاف الفروق التي يمكن أن تدين المشتبه فيه، حيث إن الطابع الشخصي للأدلة الرقمية أثناء وجودها في ملفات الولوج أو بروتوكولات الاتصالات، ممكن أن تكون العلاقة بين الجريمة المرتكبة وسلوك المشتبه به المسجل في هذه الملفات ويتم ذلك باختبارات المقارنة .

3. إعادة بناء الدليل المستخرج من بروتوكول TCP/IP

توجد ثلاثة أنواع من إعادة بناء الأدلة الرقمية وهم الأدلة الرقمية التي تم العبث بها أو محوها والأدلة الرقمية الصحيحة وهناك نوع ثالث يطلق عليه الأدلة الرقمية الهامشية.











ويلاحظ أنه من الضروري أن تتم الاستعانة بهذه الأنواع الثلاثة فالأدلة الرقمية الصحيحة يتم من خلالها استخلاص المعلومات المتعلقة بالجريمة والمجرم من خلال البحث فيها، كما أن الأدلة الرقمية التي تم محوها أو العبث فيها، تتم إعادة بنائها باستخدام برامج خاصة معروفة لهذا الأمر والأدلة الرقمية المهمشة، وهي أدلة رقمية تلعب دوراً حاسماً في إعادة ترميم الأدلة الممحاة أو التي تم العبث فيها، كما أنها تكمل أوجه النقص في الأدلة الرقمية المستخلصة من الأدلة الرقمية الصحيحة عن علاقة المجرم بالجريمة المرتكبة.


الخلاصــة

هناك بعض الشبكات المعلوماتية المخصصة لجعل مهمة جمع الأدلة الرقمية طريقة سهلة وبسيطة، ولكن جمع الأدلة الرقمية يتطلب أن يكون هناك أشخاص متخصصون مُلِمُون بكافة مصادر الأدلة الرقمية في شبكتهم أو يملكون هذا الحق (حق الدخول إلى الشبكة).

كذلك نلاحظ أن هناك خصوصية لكل شبكة تحتوي على مكونات متعددة يتم ضمها مع بعضها البعض، لذلك فإن البحث والتحقيق المحكوم عليه بالفشل هو من يحدد قائمة بالمصادر المحتملة للحصول على الأدلة الرقمية باستخدام طريقة محددة ويرجع السبب في ذلك إلى المكونات المتعددة للشبكات.

ولكن مع ذلك اقترحنا بعض الموجهات العامة ويلاحظ أن أي شبكة معلومات تحتاج إلى اتباع منهجية مختلفة وكما ذكرنا من قبل، كلما زاد استخدام الدليل الرقمي كلما قامت بعض المؤسسات بتطوير خرائط بأدلة رقمية لشبكاتهم بغرض حماية أنفسهم من أي مسؤولية أو التزام واختصاراً للوقت المستغرق في البحث والتحقيق في الأدلة الرقمية.

** وخلاصة ما انتهينا إليه ما يلي :
1. أن الأدلة الرقمية المستخلصة من أجهزة الكمبيوتر، ما هي إلا تطبيقاً من تطبيقات الدليل العلمي الذي يتميز بالموضوعية، والحياد والكفاءة في إقناع أجهزة إنفاذ وتطبيق القانون.

2. إذا كان تقدير أجهزة إنفاذ وتطبيق القانون في التشريعات اللاتينية لا تتناول القيمة العلمية القاطعة للدليل باعتبار علميته وموضوعيته وحياده وكفاءته، فإنها يمكنها أن تناقش الظروف والملابسات التي وجد فيها هذا الدليل. وذلك على خلاف التشريعات الأنجلو سكسونية، حيث يقوم المشرع بالدور الإيجابي في عملية الإثبات بالدعوى فهو الذي ينظم قبول الأدلة وينحصر دور القاضي في مراعاة توافر الأدلة وشرائطها القانونية بحيث إذا لم تتوافر لا يجوز أن يحكم بالإدانة بل يحكم باستبعاد الدليل. وفي هذا الصدد لا يتم قبول مستخرجات الكمبيوتر كدليل إذا لم يستكمل باختبارات الثقة للتأكد من صحة هذه المستخرجات ودقتها وصحة وكفاءة الكمبيوتر المستخرج منه وكان القائم عليه تتوافر فيه الثقة والاطمئنان.

3. الوسائل العلمية وإن كانت تفيد في مهمة الكشف عن الحقيقة الغائبة، إلا أنها قد تعصف بحريات وحقوق الأفراد إذا لم يحسن استخدامها ولذلك يجب مراعاة الأحكام القانونية عند استخلاص الأدلة العلمية حتى يمكن قبولها.

4. يمكن استخلاص شروط استخدام الدليل الرقمي في مجالات البحث والتحقيق في جرائم عبر الكمبيوتر فيما يلي :
‌أ. أن يتم استخلاص الدليل ضمن ضمانات قانونية إجرائية تضمن سلامة وصحة ودقة هذا الاستخلاص.
‌ب. أن يتم التأكد من حجية هذا الدليل بإجراء اختبارات الثقة، والتي تشمل ثلاثة عناصر الأول القائم على استخراج الدليل والثاني الجهاز المستخدم والثالث التطبيقات المقارنة( ).
‌ج. إذا اجتاز الدليل اختبارات الثقة أصبح ذا حجية قضائية.
‌د. أن يتم استخلاص الدليل طبقاً لمبادئ المشروعية الإجرائية والقانونية.

** وعلى ذلك إذا استوفى الدليل الرقمي الشروط الموضوعية إعتماده كدليل قضائي، انحصر دور أجهزة إنفاذ وتطبيق القانون في بحث مدى الملائمة الموضوعية لظروف استخراجه واستخلاصه فقط.


التوصيـات

توصيات وتوجيهات عامة لأجهزة إنفاذ القانون لضبط الأدلة الرقمية في بروتوكولات النقل والاتصالات والشبكات :

1. في مرحلة التعرف على الأدلة :
‌أ- يتم تشغيل الكمبيوتر محل الاشتباه ويبدأ بالبحث عن ملفات الولوج في كل من الأجهزة المستخدمة في التشغيل والاستضافة hostess ويشمل ذلك خدمات الشبكات وخدمات الملفات والمسارات، وبرامج الحماية وكذلك في بروتوكولات تعريف المضيف ديناميكياً DHCP(إ ).

‌ب- يتم فحص جداول الحالة التشغيلية "State Tables" في الأجهزة محل الاشتباه.

2. مرحلة جمع وتوثيق وحفظ الأدلة :
‌أ- يتم الاحتفاظ بمفكرة معلومات لتساعد على تذكر التفصيلات المتعلقة بإعادة بناء الأدلة الرقمية حتى تلك التفصيلات المهمشة التي قد تبدو في أول وهلة أنها بلا معنى فقد يتضح أن لها أهمية ومعنى لاحقاً.
‌ب- تتم ملاحظة التاريخ والوقت المدون في الكمبيوتر والتاريخ والوقت الذي بدأ فيه إجراء عملية البحث والتحقيق ومحاولة إيجاد الفروق بينها .
‌ج- يتم طبع التوقيع الخاص بـ IP وتاريخ كل صفحة من صفحات الويب للحفظ في دولاب الأدلة الرقمية.
‌د- يتم إعداد قائمة بجرد كل الأدلة الرقمية التي تم الحصول عليها في الديسك الخاص بالفاحص مع إجراء مراجعة لكل صورة محتفظ بها في الديسك في كمبيوتر آخر للتأكد من سلامة القائمة.
‌ه- يتم إعداد نسختين من كل الأدلة لمواجهة عطب إحدى النسخ حتى تكون النسخة الأخرى صالحة للاستخدام.
‌و- في الأحوال التي لا يكون مصرحاً فيها بجمع كافة الملفات في الولوج، حينئذ يتم جمع الرسائل الرقمية لكل الملفات ونسخ صورة منها للحفظ حتى يتم الحصول على التصريح القانوني اللازم.
‌ز- يتم تصوير الشاشة والأجهزة المتصلة بها وكافة الأجهزة الأخرى والاحتفاظ بهيكل ذلك في الملف الجنائي الخاص بالواقعة الجنائية.
‌ح- يتم جمع البرامج التي قد تكون استخدمت في ارتكاب الجريمة ويتم تشغيل هذه البرامج مثل أي برنامج آخر مع الاحتفاظ بهذه البرامج في ملف الواقعة الجنائية.

3. مرحلة التعرف والمقارنة :

‌أ- يتم جمع الملفات الخاصة بالمشتبه فيه سواء ملفات الولوج أو الجداول التشغيلية مع ملاحظة أوقات الدخول والرسائل الرقمية للملفات.
‌ب- يتم اختبار كل ملفات الولوج وجداول الحالة التشغيلية بكل عناية ممكنة لتحديد المعلومات المطلوبة من الفحص سواء أكانت تخص المتهم أو شخصاً آخر.
‌ج- تتم المقارنة بين برامج تشغيل النظام وأوامره مع البرامج والنظم المعتمدة، وإيجاد الفرق بينها مع إجراء مقارنة بين المعلومات الخاصة بملفات الولوج وجداول الحالة التشغيلية مع جداول وملفات مشابهة وإيجاد الفروق الشخصية الدالة على الشخص. حيث إن لكل فرد ظروفه وشخصيته ومعلوماته التي تخصه مثل الحساب المالي، شكل الصفحات التي يقوم بتصفحها وهكذا.
‌د- يتم البحث عن أي برامج أخرى قد تكون لها علاقة بالجريمة أو المجرم يتم مقارنتها بالأصل وإيجاد الفروق الشخصية الميزة للمشتبه فيه.

4. مرحلة إعادة بناء الأدلة :
‌أ. يتم إعداد بناء حزم المعلومات في شكل متكامل.
‌ب. يتم استكمال المعلومات المخزنة أو التالفة. وذلك بالبحث في بقايا الآثار المعلوماتية التي يمكن أن تفيد وذلك باستخدام البرامج المخصصة لذلك.
‌ج. يتم تخيل بانوراما للجريمة مع جمع كافة الأدلة وتحديد أين يمكن أن تكون وما هي تلك الأدلة التي لها علاقة بالجريمة وما هو غرض كل دليل وكيف يعمل وكيف استخدم ومتى استخدم وما هو الكمبيوتر الذي استخدم فيه والأجهزة التي أجرى الاتصال بها.






Reverences

1. Eoghan Casey "Digital Evidence Computer Crime", Connecticut, USA, February 2000, ISBN : 012162885X.
2. Carter, D.L. and Katz, A.J. (1996) "Computer Crime: An Emerging Challenge for law Enforcement, "FBI Law Enforcement Bulletin [available at http://www.fbi.gov/leb/dec961.txt].
3. Casey, E. (1999) "Cyber patterns, "in Turvey, B. Criminal Profiling, London: Academic Press, Chapter 25.
4. CSI/FBI (1999) 1998 CSI/FBI computer Crime and Security Survey [http://www.gocsi.com].
5. CSI/FBI (1999) 1999 CSI/FBI computer Crime and Security Survey [http://www.gocsi.com].
6. Henry, J.F. (1984) Testimony before Permanent Subcommittee on Government Affairs, the United States Senate, Ninety-Ninth Congress [available at http://www.igc.apc.org/nemesis/ACLU/...me/Henry.html].
7. Resenblatt, K.S. (1999) High-Technology Crime: Investigating Cases Involving Computers, San Jose, CA: KSK Publications.
8. Saferstein, R. (1998) Criminalities: An Introduction to Forensic Science, 6thedn. Upper Saddle River, NJ: Prentice Hall.
9. Shamburg, R (1999) "A Tortured Case", Net Life, 7 April.
10. Shimomura, T. and Markoff, J. (1996) Takedown: The Pursuit of Kevin Mitnick, America's Most Wanted Computer Outlaw-By the Man Who did it, New York, NY: Hyperion.
11. Turvey, B. (1999) Criminal Profiling : An Introduction to Behavioral Evidence analysis, London : Academic Press.
12. United Nations (1995) International Review of Criminal Policy No. 43 and 44-United Nations on the Prevention and Control of Computer Related Crime [available at http://www.ifs.univie.ac.at/pr2gq1/rev4344.html#crime].
13. Comer, D.E. (1995) Internet working with TCP/IP. Volume 1 : Principles, Protocols, and Architecture, 3rd edn. Upper Saddle river, NJ: Prentice Hall.
14. Henry, P. and De Libero, G. (1996) Strategic Network : From LAN and WAN to information superhighways, Boston, MA: International Thomson Computer Press.
15. Hunt, C. (1998) TCP/IP Network Administration, 2nd edn, Sebastepol, CA: O'Reilly.
16. Moris, R.T. (1995) "A Weakness in the 4.2BSD UNIX TCP/IP Software, "Bell Labs Computer Science Technical Report 117.25 February [available at http://www.eecs.harvard.edu/rtm/papers.html].
17. Sehldon, T. (1997) Windows NT Security Handbook, Berkeley, CA: Osborne McGraw Hill.
18. Shimomura, T. and Markoff, J (1996) Takedown: The Pursuit of Kevin Mitnick, America's Most Waned computer Outlaw-By the Man Who Did it, New York, NY: Hyperion.
19. Bellovin, S. (1989) "Security Problems in the TCP/IP Protocol Suite, "Computer Communications Review 19 (2), April: 32-48.
20. Boulanger, A. (1998) "Catapults and Grappin Hooks : The Tools and Techniques of Information Warfare, "IBM Systems Journal, 37 (1). Available [http://www.research.ibm.com/journals...oulanger.html].
21. SIEVER (Ulrich): "Computer Crimes, Other Crimes against Information Technology within the Working Programmer of the council of Europe" Co-Report For the AIDP Colloquium in Warburg, R.I.D.P 1993-P123.






















مستخلــص

يهدف هذا البحث إلى دراسة استخدام بروتوكول TCP/IP في بحث وتحقيق جرائم الكمبيوتر وتحديد مدى المصداقية المعلوماتية المستخرجة من البيانات الرقمية لاعتمادها كدليل قانوني يمكن الأخذ به أمام القضاء الجنائي أو المدني.

ذلك أن البحث والتحقيق في جرائم الكمبيوتر، يتطلب أن تتوفر أدلة علمية معتمدة، موثقة ومقبولة قانونياً بحيث يمكن تقديمها لأجهزة العدالة الجنائية. ومع اعتماد بروتوكول IP وبروتوكول TCP كوسيلة رئيسة لنقل البيانات الرقمية في شبكة الإنترنت، حيث يعملان معاً بشكل متزامن، أضحى الوصول إلى عَنْوَنة البيانات والمواقع في شبكة الإنترنت أمراً ميسراً، يتيح لأجهزة إنفاذ القانون والعدالة الجنائية استخدامه في بحث وتحقيق الجرائم التي يكون الكمبيوتر مسرحاً لارتكابها.

ولقد انتهى البحث إلى صدق الدليل الرقمي المستخرج باستخدام برتوكول TCP/IP وإمكانية اعتماده كدليل موثق أمام الجهات العدلية إذا ما استوفى عدة معايير سواء فيما يتعلق باستخراجه أم التحقق منه أم نسبته إلى المشبته في اقترافه الجريمة.

• مصطلحات الدراسة:
الجرائم عبر الكمبيوتر، بروتوكولات الاتصالات والنقل المعلوماتي، الآثار المعلوماتية والدليل الرقمي ومسرح الجريمة.



The Use of TCP/IP Protocol in Cyber Crimes Investigatio

Abstract

The aim of this research is to study the use of TCP and IP protocol in investigating computer crimes as a means to collect reliable information from the digital data, which can be used as reliable legal evidence acceptable to the criminal and civil courts.


The conclusive proof of computer crimes requires the availability of reliable evidence, which could be presented t the criminal justice organizations in a reliable scientific form legally acceptable to the courts. The adopting of IP and TCP protocols as major methods for transference of digital data and the joint use of these protocols in the Internet allows an easy access to the on line classified data and the sites available on the Internet. Law enforcement and criminal justice organizations could also use these protocols to obtain the evidential materials necessary for investigating and proving of computer crimes.

The research has stressed in its conclusion the reliability of the digital evidence obtained through TCP/IP protocol as reliable evidence acceptable to the judicial departments provided that certain criterions are adopted as regards the collection and substantiation of the digital evidence.

ساعد في نشر والارتقاء بنا عبر مشاركة رأيك في الفيس بوك

رد مع اقتباس