المطلب الثاني
قواعد وأصول التعامل مع الأدلة الرقمية
إن العلم الجنائي يبدأ في مسرح الجريمة، فتأمين وجمع الأدلة يلعب دوراً مهماً في عملية التحقيق، وهنالك خمس قضايا مهمة يجب معالجتها([28]):
· التفتيش والضبط في ميدان جرائم الحاسوب (البند أولاً فيما يلي).
· إجراء التخطيط قبل الدخول إلى مسرح جريمة الحاسوب (البند ثانياً فيما يلي).
· اتباع الأصول بشأن إيجاد الدليل (البند ثالثا فيما يلي).
· التعامل مع الفيروسات (البند رابعاً فيما يلي).
· استرجاع الدليل (البند خامساً فيما يلي).
أولاً: القواعد الأساسية للتفتيش والضبط في ميدان جرائم الحاسوب
هذه القواعد مفيدة وضرورية لتتبع الأدلة وإدارتها كما أنها تشكل حماية ضد أي طعن بهذه الأدلة بسبب احتمال سوء التعامل معها وهذه القواعد هي([29]):
القاعدة الأولى: لا تغير الدليل الأصلي
من السهل عدم تغيير أدلة الأجهزة والبرامج عندما لا تكون الأجهزة قيد الاستخدام مطفأة، لا تعمل ..، ولكن إذا كان الحاسوب يعمل يصبح من الصعب تغيير حالته المادية والمنطقية خلال التفاعلات، وفي الواقع إذا لم يكن هناك من يعمل على جهاز الحاسوب وهو في حالة تشغيل ربما يكون مشغولاً في الكتابة I/O buffers وتنفيذ وظائف مؤقتة وتأدية أي أعمال روتينية، وحتى أنظمة التشغيل البسيطة قد تحتوي على برامج TSR أي الإنهاء والبقاء على الجاهزية والتي تعمل في الخلفية، وأي تفاعل بين المستخدم والحاسوب قد يسبب تغييراً في حالة الحاسوب حتى وإن كان هذا التفاعل ضربة على لوحة المفاتيح keystroke، وقد يكون لتلك التغييرات أثار على الدليل الإلكتروني.
عند التعامل مع الأجهزة والبرامج يجب أن يكون المحقق حريصاً لتقليل جميع التفاعلات وبالتالي تقليل احتمال تغيير تلك الأنظمة وهذا يعني شيئين:
أ. خلال الفحص المباشر لحاسوب متعلق بجريمة حاسوب يجب استخدام ديسك أو قرص boot إذا تم تشغيل الجهاز أجهزة الحاسوب الكبيرة main frame لا يتم الوصول إليها بهذه الطريقة.
ب. النشاطات الجنائية يجب أن تجري على أساس صورة لما هو موجود على الحاسوب أي أخذ نسخة احتياية عن الجهاز والعمل عليها bit stream backups لضمان عدم المساس بالدليل الأصلي، ولهذا لا بد من التعامل مع النظام من قبل أشخاص مختصين بعلوم الحاسوب.
القاعدة الثانية: لا تنفذ البرامج على حاسوب مسرح الجريمة
يمكن تصوير حاسوب مسرح الجريمة مثل عروض المتحف، أي يمكن النظر إليها ولا يمكن لمسها، أن تنفيذ أي برنامج مباشرة على حاسوب مسرح جريمة قد يسبب الضرر للأدلة الموجودة عليه أو على الأقل قد يغير حالة الذاكرة أو الملفات وإذا كان لا بد من تنفيذ البرامج على حاسوب مسرح الجريمة يجب التعامل معه من قبل مختص ويجب توخي الحرص وتوثيق جميع الخطوات.
القاعدة الثالثة: لا تسمح للمشتبه به بالتعامل مع حاسوب مسرح الجريمة
إن الأدلة الإلكترونية من السهل شطبها أو إتلافها لدى العمل على جهاز الحاسوب لذلك يجب عدم السماح للمشتبه به بالعمل على هذه الأجهزة، فلا يجب أن يكون هناك أي سبب للسماح له بالتعامل مع أي جزء في الجهاز أو حتى الوصول إلى مصدر الطاقة.
القاعدة الرابعة: إعداد نسخة احتياطية عن وسائط تخزين المعلومات الموجودة في مسرح الجريمة
إن إعداد نسخة احتياطية bit stream backups ضرورية للعمل الجنائي فيجب أن تقتصر نشاطات التحقيق على النسخ الاحتياطية لضمان المحافظة على الدليل الأصلي، ومن القضايا المتعلقة بهذه المسألة هي RAM drive حيث يجب على المحقق أن يعرف فيما إذا كان حاسوب مسرح الجريمة فيه قرص أو قرصان في resident memory ومن الواضح بأن عملية bit stream backups الجارية على القرص تتطلب التعامل مع نظام التشغيل – وهو شيء يخالف القاعدة الأولى والثانية، ومع ذلك فإن سواقة RAM قد يكون مخزناً غير ثمين للأدلة، ويجب أن يتم التعامل معها بحرص شديد.
القاعدة الخامسة: توثيق جميع نشاطات التحقيق
وهذا مهم جداً للعمل الجنائي فمنذ لحظة فتح القضية إلى لحظة إغلاقها يجب توثيق كل ما يفعله المحقق بالوقت والتاريخ، ويمكن استخدام جهاز كمبيوتر محمول note book ومن المهم حفظ المعلومات المسجلة بواسطة كلمة سر مثلاً واستخدام التشفير وعمل نسخة احتياط آمنة ويجب الاحتفاظ بملفات منفصلة لكل عمل.
القاعدة السادسة: تخزين دليل الحاسوب
يجب تخزين أدلة الأجهزة والبرامج في بيئة مناسبة، ويجب الحذر من المجالات الكهرومغناطيسية والكهرباء الساكنة والغبار، ومن أجل تقليل بث الشحنات الساكنة ويقترح استخدام الرفوف والخزائن الخشبية.
ثانياً: التخطيط
قبل وصول المحققين إلى مسرح الجريمة يجب إعداد خطة عمل بشكل شامل ويقترح قسم جرائم الحاسوب في مكتب التحقيقات الفيدرالية الأمريكي FBI اتباع الخطوات التالية([30]):
أ- إعداد المواد والمغلفات الضرورية لمثل هذا التفتيش.
ب- إعداد الشكل المبدئي للأوراق المطلوبة لتوثيق التفتيش.
ج- التأكد من أن جميع المختصين يدركون أشكال الأدلة بالإضافة إلى التعامل المناسب معها.
د- تقييم النتائج القانونية لتفتيش مسرح جريمة الحاسوب.
ه- مناقشة التفتيش مع المشتركين فيه قبل الوصول إلى مسرح الجريمة إذا أمكن.
و- تعيين شخص مسؤول قبل الوصول إلى مسرح الجريمة.
ز- إعداد مهام الطاقم الأساسية قبل الوصول.
ح- الأخذ بعين الاعتبار أمن وراحة طاقم التفتيش عند مواجهة مسرح جريمة خطير أو طقس عاصف.
ط- تقييم مهام الطاقم المطلوبة لمعالجة مسرح الجريمة بشكل ناجح.
وكل من هذه الاقتراحات لها دلالات يمكنها أن تساعد في نجاح التحقيق أو أن تدمره، وفيما يخص جريمة الحاسوب نوضح الاقتراحات الأربعة الأولى تالياً:
الاقتراح الأول: إعداد مواد التغليف
إن مواد التغليف المناسبة مهمة جداً فيما يتعلق بالأجهزة والبرامج، وبشكل خاص المقاومة للكهرباء الساكنة والأغطية البلاستيكية ورغوة التغليف والصناديق الكرتونية القوية هي جميعاً من الوسائل الآمنة لنقل الدليل من الميدان إلى المختبر، بالإضافة إلى الأوعية المناسبة للديسكات والأقراص المدمجة والأشرطة ووسائل التخزين الأخرى والضرورية لحماية جميع وسائل التخزين من التلف المادي. ومن المواد الأخرى الضرورية كاميرا تحميض فوري، 35 ملم، (فيديو)، وأجهزة حاسوب تحقيق notebook وكوابل وأجهزة شبكات، وبرامج تحقيق أقراص وديسكات booting.
الاقتراح الثاني: إعداد الشكل المبدئي للأوراق المطلوبة لتوثيق التفتيش
ربما قد يكون الأفضل بدل استخدام الورق لتوثيق مسرح الجريمة استخدام التوثيق الإلكتروني، وفي كلتا الحالتين فإن وسيلة التوثيق الجاهزة ستوفر الوقت في مسرح الجريمة.
وبالنسبة للتفتيش والضبط هناك سجلان إلكتروني أو ورقي: سجل أدلة التفتيش والضبط وسجل نقل الأجهزة، والأول يستخدم في مسرح الجريمة من أجل تتبع المعلومات عن أدلة الحاسوب بينما الثاني يستخدم لتسجيل الأدلة التي تنقل من مسرح الجريمة إلى المختبر.
وبعد إرجاء الدليل إلى المختبر يتم فتح سجل ثالث وهو سجل أدلة المختبر وهو يتتبع أدلة الحاسوب أثناء فحصها، ويجدر الانتباه إلى أن برامج إدارة القضايا الجيد سيقدم للمحقق وصولاً إلى جميع ملفات السجلات في واجهة تطبيق واحدة وملائمة، مثل هذا البرنامج أفضل كثيراً.
الاقتراح الثالث : التأكد من أن المختصين يدركون لأشكال الأدلة
إذا لم يفهم المحققون ما الذي يتعاملون معه في مسرح الجريمة فهناك فرصة لسوء التعامل مع الأدلة وبالنتيجة اضطراب في سلسلة الوصاية، وكذلك إذا كان المحققون غير مجهزين بشكل مناسب لجمع الأدلة وإدارتها في مسرح الجريمة فيمكن أن يتدمر الدليل وسلسلة الوصاية معاً.
من أجل ضمان سلامة العمل الجنائي يجب تدريب المحققين على التعامل الصحيح مع مسرح الجريمة قبل وصولهم إليه وأن يشتمل الفريق على أشخاص من مختبر الأدلة للقيام بعمليات الضبط والتفتيش لأجهزة الحاسوب في مسرح الجريمة.
الاقتراح الرابع: تقييم النتائج القانونية لتفتيش مسرح الجريمة
يجب الانتباه لمسألة حق الخصوصية للمشتبه بهم، ويجب على المحققين أن يحصلوا على مذكرة تفتيش قضائية إلا في بعض الحالات التي يكون فيها الجهاز المراد العمل عليه هو جهاز المشتكي، ونظرياً يجب أن لا يكون هناك أي صعوبات قانونية أمام المحققين أثناء جمع الأدلة، ويجب الانتباه إلى النتائج القانونية للدخول إلى الاتصالات الإلكترونية المخزنة على خادم معين server والتي قد تستلزم مذكرة تفتيش منفصلة، فمثلاً لوحة الأخبار Bulletin Board تعطي مراسلات إلكترونية بين الأعضاء، المعلومات التي تعتبر جزءاً من الجريمة يتم إرسالها بين العديد من الأعضاء دون إثبات أن مشغل النظام متورط في النشاط الإجرامي، ويجب أن تكون مذكرة التفتيش محدودة بالحقائق والبريد بين الأطراف المشتركين في النشاط الإجرامي، فتفتيش الحاسوب بأكمله والذي يحتوي على بريد جميع الأطراف غير المتورطين في الجرائم هو انتهاك للخصوصية.
ومن المفيد تقييم مسرح جريمة الحاسوب قبل وصول التحقيق إلى هناك، فمثلاً يمكن معرفة مواقع وكميات أجهزة الحاسوب والطرفيات peripherals مسبقاً وفي هذه الحالة فإن النشاطات التي تجري في مسرح جريمة الحاسوب ستكون واضحة وسيكون الدليل أقل عرضة للتلوث وفي ضوء ذلك يمكن معرفة نوع مواد التغليف المطلوبة وأشكال الأدلة التي سيواجهها المحقق ونوع التفتيش المطلوب.
ثالثاً: إيجاد الدليل
على الرغم من أنه ليس هناك قضيتا جرائم حاسوب متشابهتان إلا أن التفتيش والضبط يجب أن يبدأ بنفس الطريقة:
أ- بعد التخطيط المبدئي يتم الذهاب وتأمين مسرح الجريمة مادياً وإلكترونياً.
ب- توثيق وضع مسرح الجريمة بالصور والاسكتشات والملاحظات.
ج- وأخيراً يتم التفتيش عن أدلة الحاسوب.
إن الذهاب وتأمين مسرح الجريمة يشمل وصول المحققين إلى مسرح الجريمة وحمايته من الأشخاص غير المصرح لهم بدخول مسرح الجريمة والذين قد يفسدون الدليل، ويمكن عمل ذلك بواسطة إغلاق الأبواب ووضع حراس الأمن على المداخل والسيطرة.
يجب البدء بتوثيق مسرح الجريمة حالما يتم تأمينه وذلك بواسطة التصوير والاسكتشات والملاحظات لتحديد وضع مسرح الجريمة ومواقع جميع الأدلة، ويمكن استحدام كاميرات 35 ملم أو كاميرات الفيديو أو كاميرات التحميض الفوري، وتستمر عملية التوثيق خلال المراحل الباقية من التفتيش والضبط، وأثناء وجود المحققين في مسرح الجريمة لا يجب بالضرورة الاسترسال في التوثيق – ولكن المطلوب توثيق مسرح الجريمة وموقع الدليل والحالة التي وجد عليها([31]).
وحالما يصل فريق التفتيش إلى مسرح جريمة الحاسوب يقوم رئيس الفريق بتوزيع المسؤوليات للقيام بالتفتيش، ومن المهم أن يكون لدى الباحثين عن الأدلة فهم للأشياء التي قد يجدونها وكيفية التعامل معها بالإضافة إلى تكوين فكرة مسبقة عن مكان وجودها.
ومن المواقع التي قد توجد فيها الأدلة في مسرح الجريمة :
· أسطح المكتب: Desktop قد تحتوي على ملاحظات مهمة ووسائط حاسوب وأدلة manuals ومعدات حاسوب وكوابل.
· الشاشات: قد تحتوي على ملاحظات مع كلمات سر ومعلومات أخرى مهمة.
· بجانب الهاتف: قد توجد ملاحظات مع أرقام تليفون مهمة أو كلمات سر أو أسماء المستخدمين.
· في المحفظة أو الحقيبة: قد تحتوي على بطاقات هوية وملاحظات أو كلمات سر وأرقام مهمة.
· منظمات الجيب الإلكترونية: قد تحتوي على أسماء مستخدمين مهمة وكلمات سر وملاحظات الإلكترونية ووثائق.
· في جيب المشتبه به: قد تحتوي على ديسكات أو أشرطة أو أقراص مدمجة أو ملاحظات مهمة.
· سلة المهملات: قد تحتوي على نسخة من دليل الحاسوب بالإضافة إلى ملاحظات ووثائق ذات قيمة .
· داخل المكتب والأدلة manuals قد تحتوي على ملاحظات مهمة ووثائق وديسكات وأقراص.
· تحت لوحة المفاتيح: قد تكون هناك ملاحظات ووثائق وديسكات وأقراص.
وأثناء عملية التفتيش يجب أن يتذكر المحققون أنه قد يجوز أو لا يجوز لهم التفتيش أو الضبط في أماكن معينة وهذا ما يجب تحديده في مذكرة التفتيش إلا في بعض الحالات المعينة، وإذا دعت الحاجة لتفتيش أشياء أخرى غير مذكورة في المذكرة يستلزم هنا استصدار مذكرة جديدة أو تعديل المذكرة الحالية.
وفي نطاق المؤسسة قد تكون الاشياء مختلفة حيث أن المؤسسة على الأرجح تملك الدليل الذي يبحث عنه المحققون، فمثلاً جميع معدات وبرامج ووسائط الحاسوب التي يدخل إليها المشتبه به خلال عمله كلها مملوكة من قبل رب العمل.
رابعاً: بروتوكول التعامل مع الفيروسات
لدى التعامل مع تهديد فيروسات الحاسوب فيما يتعلق بمسرح جريمة الحاسوب يجب تحديد طريقة لذلك، فكلما كان تفاعل المحقق مع الدليل في الميدان أقل كلما كان ذلك أفضل، فأحسن مكان لتأدية النشاطات المتعلقة بالدليل هو مختبر الأدلة لأنه مكان آمن ومسيطر عليه، وسواء في الميدان أو في المختبر سيتعرض الدليل وسلسلة الوصاية للخطر إذا استخدم المحقق وسائط ملوثة بالفيروسات على جهاز مسرح الجريمة، وكذلك فإن الدليل الملوث بالفيروس يمكن أن يكون هشاً لدرجة كبيرة، وتالياً كيفية التعامل مع الفيروسات([32]):
أ- استخدام وسائط نظيفة خالية من الفيروسات عند التعامل مع حاسوب مسرح الجريمة.
ب- بعد التعامل مع حاسوب مسرح جريمة يجب تنظيف كل الوسائط المستخدمة باستثناء نسخة الاحتياط backup فيجب أن تحتوي جميع ما موجود على الحاسوب في مسرح الجريمة.
ج- عدم محاولة تنظيف حاسوب مسرح جريمة لأن ذلك قد يتلف الأدلة.
د- بعد استرجاع نسخة احتياط bit stream إلى حاسوب مختبر الأدلة إذا كان ذلك الاسترجاع ضرورياً يجب:
· الفحص عن أي فيروسات على حاسوب المختبر.
· تنظيف حاسوب المختبر قبل البدء بالنشاطات الجنائية الإضافية إذا كان ذلك ضرورياً وتذكر أن تنظيف حاسوب مسرح الجريمة قد يتلف أدلة مهمة.
من متطلبات التعامل مع جريمة الحاسوب أن تكون جميع الوسائط نظيفة وأن تنظف هذه الوسائط جميعها بعد الاستخدام باستثناء نسخة الاحتياط. ومن غير المفضل تنظيف وسط تخزين النسخة الاحتياطية بعد استخدامها لأن أي فيروسات مخزنة هناك قد تكون متعلقة بالدليل الجنائي كما أن هذا التنظيف قد يدمر الأدلة الأخرى وعلى هذا الأساس لا يجوز تنظيف حاسوب مسرح الجريمة، وإذا كانت هناك أي فيروسات على نسخة الاحتياط يجب توثيقها بحرص ولا يجب تنظيفها إلا إذا شكلت تهديداً للأدلة.
خامساً: استرجاع الدليل
بعد التفتيش المبدئي لمسرح الجريمة يتم توثيق أجهزة الحاسوب والوسائط وإعدادها للنقل إلى مختبر الأدلة وتتألف هذه العملية من عدة مراحل:
المرحلة الأولى : بدء سجل أدلة التفتيش والضبط
بالإضافة إلى الصور والاسكتشات لمسرح الجريمة يجب عمل سجل لأدلة الحاسوب وهذا السجل يحتوي على وصف موجز للأجهزة والوسائط المعينة خلال التفتيش عن الأدلة كما يجب توثيق الوقت والتاريخ وأساء فريق التحقيق بما في ذلك الشهود ومساعي التفتيش ومواقع الأجهزة والوسائط.
المرحلة الثانية: توثيق أجهزة الحاسوب والوسائط والوسائل
بعد فتح سجل الأدلة يجب على المحقق أن ينتقل إلى تسجيل حالة أجهزة الحاسوب والوسائل والوسائط ويجب اتباع الخطوات التالية باستخدام سجل الأدلة حيث أمكن:
** أجهزة الحاسوب:
· أخذ صور لشاشة الحاسوب ولواجهة وخلفية وجوانب الحاسوب وللكوابل المربوطة على الحاسوب وللطرفيات المربوطة على الحاسوب peripherals.
· تسجيل فيما إذا كان الحاسوب يعمل أو مطفأ وتسجيل ما كان يعمله .
· تسجيل فيما إذا كان الحاسوب مرتبطاً مع شبكة .
· تسجيل احتمال فقد المعلومات بسبب التهديدات الخارجية مثل الطقس والكهرباء والمجال المغناطيسي.
** الوسائل (الأدوات) Devices
· أخذ صور لواجه وخلفية وجوانب الأداة وللكوابل المرتبطة مع الأداة.
· تسجيل فيما إذا كانت الأداة تعمل أم مطفأة وماذا كانت تعمل .
**الوسائط Media:
· إذا كان ذلك ضرورياً يمكن تصوير الوسائط مثل الديسكات والأقراص والأشرطة المغناطيسية وتسجيل سعة تخزينها ومكان وجودها في الموقع.
المرحلة الثالثة: تحديد فيما إذا كان من الممكن إغلاق الأجهزة
يجب على المحقق أن يحدد فيما إذا يجب إغلاق الجهاز وإذا لم يستطع ذلك يمكنه الاستعانة بخبير نظام معين قبل البدء، ومن الأمثلة على جهاز حاسوب لا يجب إطفاؤه هو main frame أو server يدعم أعمال مؤسسة ما.
وإذا أغلق الجهاز فيجب أن يدرك المحقق أن هناك معلومات قد تكون مخزنة على سواقة RAM وفي هذه الحالة يجب اتخاذ الخطوات الكفيلة بعمل backup ويجب أخذ ملاحظات لذلك التقييم.
المرحلة الرابعة: إغلاق أجهزة الحاسوب العاملة
يجب على المحقق أن يقوم بإغلاق الجهاز بطريقة سليمة shutdown وذلك للأجهزة المشكوك بها، أي باستخدام وسيلة الإغلاق الطبيعية لنظام التشغيل، وإذا لم يكن ممكناً إغلاق الجهاز بشكل طبيعي وبناء على تقييم الشخص الفني في فريق التحقيق، وكالعادة يجب تسجيل جميع الحركات فيسجل التفتيش والضبط.
المرحلة الخامسة: تعليم الأجهزة والكوابل والوسائط
يجب إستخدام ملصقات labels أوأوراق طرفية tags لتمييز أجهزة الحاسوب والوسائط والكوابل والأدوات، وإذا كان هناك أكثر من حاسوب في مسرح الجريمة يمكن استخدام نظام ترميز لتمييز الطرفيات peripherals والكوابل ولتمييز مكونات كل جهاز.
المرحلة السادسة: تجهيز الحاسوب والوسائط والأدوات للنقل .
يجب إعداد جميع أدلة الحاسوب بحرص من أجل نقلها إلى مختبر الأدلة، ويجب تغليف كوابل وأجهزة الحاسوب في صناديق كرتونية وتعليمها بملصق تعبر عن محتوياته([33]).
كما يمكن استخدام رغوة التغليف والأغطية البلاستيكية المقاومة للكهرباء السكانة anti-static ويجب وضع وسائط التخزين في أوعية مناسبة، كما يجب وضع جميع الصناديق التي تخص نظام حاسوب معين مع بعضها البعض وذلك من أجل تسهيل تتبع نقلها من مسرح الجريمة إلى مختبر الأدلة وتسليمها.
وأثناء شحن الصناديق من أجل النقل يتم استخدام سجل النقل لتسجيل المعلومات التي تستخدم لاحقاً لتأكيد تسليم جميع المواد إلى وجهتها، وهذه المعلومات تشمل تاريخ ووقت النقل، ومحتويات الصندوق واسم الشخص الذي نقل الصناديق.
ويجب أن يحرص المحقق أن يبقى جميع الأجهزة والبرامج بعيدة عن الحرارة والمجال المغناطيسي يمكن استخدام بوصلة لاختبار المجال المغناطيسي.
المرحلة السابعة: نقل الحاسوب والأدوات والوسائط
يجب أن يحرص المحقق بشأن كيفية نقل أدلة مسرح الجريمة وذلك من أجل المحافظة على سلسلة الوصاية، وأفضل ترتيب هو أن ينقل المحقق بنفسه الأدلة إلى المختبر.
المرحلة الثامنة: تفريغ أجهزة الحاسوب والأدوات والوسائط
عند وصول الحاسوب والأدوات والوسائط إلى مختبر الأدلة يجب تفريغها بحرص، ويجب على المحقق الرئيسي أو مسؤول المختبر أن يتأكد من المواد بحسب سجل النقل، كما يجب توثيق تاريخ ووقت وصول المواد واسم الشخص المسؤول عن استلامها وتفريغها.
يجب فحص جميع الطرود للتأكد من عدم حصول عبث أثناء النقل ومن ثم وضع الأدلة في المختبر من أجل تأمينها وفحصها، كما يجب تخزين سجل التفتيش والضبط وسجل النقل في المختبر عند إنهاء التفريغ، لاحظ بأن استخدام برنامج إدارة قضايا جيد يتيح تخزين السجلات الجنائية معاً بطريقة إلكترونية آمنة.
المبحث الثاني
معالجة الأدلة واكتشاف المعلومات
إن الأدلة وإجراءات التحري والتحقيق في بيئة جرائم الحاسوب لا يكفيها المعرفة العامة بل تحتاج تدريباً متواصلاً، يتوازن مع التحديات الجديدة في عالم التقنية، وهو تدريب يمتد إلى برمجيات البحث المتقدمة وأجهزة التوصل المعقدة مع النظم ووسائل وآليات كشف الأدلة وحفظها وأنواع الأدلة الإلكترونية، وغيرها.
يجب فيمن يستخدم الكمبيوتر والإنترنت لغايات التحقيق أن يكون مستخدماً محترفاً لشبكات الحاسوب، وأن يكون محققاً ماهراً وملماً بمعرفة القوانين والممارسات السائدة، وأن يكون راغباً وقادراً على التعلم بسرعة لأن تقنية الشبكة تتطور بمعدل سريع، ويجب أن يكون لدى المحقق فهم أساسي لأنظمة المعلومات، فالقدرة على تشغيل حاسوب واستخدام معالج كلمات وتصفح الشبكة لا يفي بالغرض لوحده، فيجب أن يعرف المحقق ممارسات إدارة النظم وأن يعرف المسائل المتعلقة بأمن الحاسوب وكيفية عمله وأنظمة التشغيل وقواعد البيانات والشبكات بالإضافة إلى الخيال ومهارات الاستنباط لحل القضايا.
ولمعالجة الأدلة واكتشاف الجريمة ثمة متطلبات فنية وبشرية لازمة للتوافر في القسم الذي يتولى هذه المهمة واتباع مراحل معالجة الأدلة الرقمية (المطلب الأول) وقواعد اكتشاف المعلومات (المطلب الثاني).
المطلب الأول
متطلبات مختبر جرائم الحاسوب واتباع مراحل معالجة الأدلة الرقمية([34])
أولاً: متطلبات مختبر جرائم الحاسوب
1. التقنيات والأجهزة
1. أجهزة حاسوب ثابتة مزودة بالإضافات وتحدّث باستمرار.
2. طابعات ملونة وأبيض وأسود.
3. مساح ضوئي.
4. أجهزة حاسوب دفترية مزودة بالإضافات الحديثة وبطاقة شبكة ووصلات خارجية جاهزة للربط مع أي شبكة ومزودة بعدة نظم تشغيل.
5. جهاز التنصت المحمول الميداني ومن الأمثلة عليه جهاز COMSTORE.
6. أقراص صلبة ذات سعة عالية.
7. External CD RW.
8. 8. External ZIP Drive عدد (1).
9. تشكيلة من الوصلات وأدوات التفكيك مفاتيح، مفكات براغي.
10. مجموعة من الدعامات المحمولة الفارغة أقراص مدمجة، أقراص 3.5 إنش.
2. البرمجيات واجب توفرها في مختبر جرائم الحاسوب :
1. أنظمة التشغيل ومنها Dos, Win9x, WinMe, WinXP, WinNT, UNIX.
2. برمجيات الضغط وفك الضغط ومنها ZIP, RAR, ACE, ARC.
3. برمجيات معالجة الصور وعرضها وتحويلها وتصميمها:
ACDSee, Compupic, GWS, Xnview, Photoshop, CorelDraw.
4. برمجيات نسخ الأقراص المدمجة Nero, Easy CD Creator, ISO Buster.
5. برمجيات الاتصال بين أي من حواسب المختبر والحاسوب المضبوطة عبر الـ Ports.
6. أدوات البحث الدقيق واستعادة الملفات المشطوبة أو المحطمة.
Encase Norton Utilities, Rescue Disk, Disk Search, Disk Edit, and Hexedit.
7. برامج التشفير وفك التشفير مثل PGP.
8. برامج إلغاء أو كشف كلمات المرور لمختلف برامج الحاسوب والرسائل الإلكترونية.
Advance office 2000 password recovery, Access Data.
9. برامج كشف الأجزاء المخفية على الأقراص المدمجة WINONCD.
10. برامج كشف الأجزاء المخفية على الأقراص الصلبة PC Tools Norton.
11. برامج نسخ الأقراص الصلبة Safe back, Ghost, Back Office.
12. برامج التصنت على شبكة الإنترنت والرسائل الإلكترونية واختراق المواقع Simantic Forest.
13. أدوات البحث على الإنترنت NetScape, Taiga,Web Ferret.
14. برامج معالجة الفيروسات F-Prot, F-Secure, PCcillin, McAfee.
15. برامج فحص ثغرات الشبكات ونقاط الضعف فيها التي يمكن للقراصنة اختراق الشبكة من خلالها.
16. برامج حماية الشبكات والأنظمة من الاختراق firewalls.
وأية برامج أخرى قد تكون ضرورية.
3. الدورات والتأهيل الفني
ويجب أن يكون العاملون في المختبر يجيدون العمل على البرامج واللغات التالية:
Internet architecture and using, Internet programming using (Java, Java- Script, HTML, XML, Internet Protocols (TCP/IP, DNS, Http… Internet Networks and Servers and its Security, Web Sites and ActiveX and Java Security, Secure Remote Access.
· Firewalls and Encryption.
· Networks Administration and operating using (WinNT, UNIX, Solaris, Networks broadband Analysis- ISDN and Frame relay and SMDS and ATM, Networks Infrastructure, implementing TCP/IP networks.
· High level languages (C+, Visual C and Low Level Languages (Asembly…).
· دورة في آلية عمل التجارة الإلكترونية وماهية التواقيع الإلكترونية. ومن الممكن إضافة أي أجهزة أو برمجيات أو دورات وذلك حسب المستجدات. ومن الممكن إضافة أي أجهزة أو برمجيات أو دورات وذلك حسب المستجدات.
ثانياً: مراحل معالجة الدليل في المختبر
بعد نقل الأدلة إلى المختبر يجب تسجيل كل دليل وهذا يساعد على ضمان سلسلة الوصاية كما أنه يساهم في تقديم الدليل إلى المختبر وتشمل هذه العملية المراحل التالية([35]):
المرحلة الأولى: بدء سجل الأدلة
يجب على المحقق أن يتأكد من جميع أجهزة الحاسوب والأدوات والوسائل في مختبر الأدلة قبل فتح سجل أدلة المختبر ويحفظ في المختبر إذا كان هناك برامج إدارة قضايا جيد) ولكل دليل من الأدلة يجب توثيق ما يلي :
· وقت وتاريخ الوصول إلى مختبر الأدلة.
· وصف للدليل على أن يطابق الوصف الموثق سابقاً في سجل التفتيش والضبط.
· حالة الدليل عند وصوله يجب أن يطابق الحالة التي وجد عليها أثناء التفتيش والضبط.
· اسم المحقق الذي تأكد من الدليل قد يكون أولاً نفس الشخص الذي ضبطه.
ومن هذه النقطة إن أي شخص يرغب بالتعامل مع الدليل عليه أن يتأكد منه أولاً ثم يعيد التأكد منه بعد انتهاء عمله، وهذا يوجب إيراد النقاط التالية في سجل الأدلة:
· تاريخ ووقت التأكد من الدليل.
· تمييز الدليل.
· اسم المحقق الذي تأكد من الدليل.
· وقت وتاريخ التأكد للمرة الثانية.
المرحلة الثانية: عمل نسخة احتياطية من الأقراص الصلبة والوسائط
يجب أخذ نسخ احتياطية من النشاطات الجنائية بواسطة bit stream backups للأقراص الصلبة والوسائط، ومثل هذه النسخ هي bit-for-bit أي أن جميع الملفات والمعلومات المخفية والممحوة والطبيعية مشمولة في النسخة الاحتياطية. وبواسطة وضع نسخة احتياط bit- stream backups في ملف معلومات واحد بواسطة برنامج GNU dd يصبح من السهل للمحقق أن يبحث في محتويات النسخة الاحتياطية بأكملها باستخدام UNIX.
هناك طريقتان لتوليد نسخة احتياط للقرص الصلب، أولاً يمكن عمل boot للحاسوب بواسطة ديسك أو قرص مدمج ونسخة إلى إدارة أخرى. أو بعد إغلاق الحاسوب يؤخذ القرص الصلب ويتم نسخه بواسطة جهاز خاص ناسخ أقراص.
وتكمن ميزة الطريقة الأولى في أنه لا حاجة للتعامل إعدادات الجهاز حيث أن ترك الجهاز دون لمسه أحياناً ضرورة قصوى، ولكن سيئة هذه الطريقة هي أن المحقق يضطر للتعامل مع الحاسوب بتشغيل برنامج عليه من أجل توليد نسخة احتياطية.
أما ميزة الطريقة الثانية فهي أن الحاسوب مسرح الجريمة لا يتم استخدامه رغم أن القرص الصلب سيقرأ حيث يتم استخلاص القرص الصلب من الحاسوب، ولكن سيئة هذه الطريقة هي أن المحقق يتطلب كفاية فنية من أجل فك وتركيب القرص الصلب.
وفي كلتا الحالتين فإن نسخة احتياط bit stream backups يجب الحصول عليها بأقل قدر ممكن من التعامل مع الحاسوب. إن عمل نسخ احتياطية من الديسكات والأشرطة والأقراص المدمجة أسهل من الأقراص الصلبة ويتوقع من مختبر الأدلة أن يحتوي على الأدوات الضرورية لقراءة الوسائط المشبوهة مختلفة الأنواع.
المرحلة الثالثة: البدء بالفحص الجنائي
باستخدام نسخ احتياطية bit stream backups من المرحلة الثانية يمكن للمحقق أن يقوم بالفحص الجنائي بأمان، ويجب الانتباه إلى القواعد المذكورة في أساسيات التفتيش والضبط وبروتوكول الفيروسات ويجب تسجيل جميع الخطوات في سجل الأدلة، وكل مادة في السجل يجب أن تشمل وقت وتاريخ الفحص الجنائي ووصفاً للفحص واسم المحقق.
المطلب الثاني
اكتشاف المعلومات
تختص عملية التفتيش والضبط بدليل مسرح جريمة الحاسوب حيث يصل المحقق إلى مسرح الجريمة ويؤمنه ويضبط الأدلة وينقلها إلى المختبر لمعالجتها، بينما اكتشاف المعلومات تتعامل مع الناحية المنطقية – أي المعلومات الإلكترونية، ونعرض تالياً لأهداف اكتشاف المعلومات والقواعد الأساسية لذلك والتخطيط لاكتشاف المعلومات والبحث عن المعلومات ومعالجة أدلة كشف المعلومات.
1. أهداف اكتشاف المعلومات :
· تأكيد أو نفي أن مستخدم نظام حاسوب قد تجاوز أو أسماء استخدام صلاحيات الوصول.
· تحديد فيما إذا حصلت حركة معينة في النظام خلال فترة معينة ومن الذي أجرى هذه الحركة.
· توثيق نشاطات مستخدم أو مجموعة مستخدمين على نظام الحاسوب ضمن فترة معينة.
· تتبع الرسائل الإلكترونية إلى مصدرها.
2. القواعد الأساسية لاكتشاف المعلومات :
عدا عن الأنظمة المنعزلة فإن اكتشاف المعلومات يشمل كذلك الشبكات سواء intranet أو internet وهناك عدة قواعد أساسية يجب أن يراعيها المحقق في هذه المرحلة وهي([36]):
القاعدة الأولى : عدم تعديل المعلومات المكتشفة
من المهم للمحقق أن لا يعدل الأدلة المسترجعة أثناء النشاطات الجنائية حيث من المحتمل أن تتغير الأدلة سواء المبنية على الأجهزة hard ware أو البرامج soft ware خلال مجريات التحقيق بما أن الأجهزة سوف يتم تشغيلها والبرامج سوف يتم تنفيذها ومن وسائل ضمان ذلك هي تخزين المعلومات على ملفات read only أو بواسطة استخدام نظام تحكم لمراجعة revision control system وعلى أي حال على المحقق أن يصنع هضم الرسالة message digest للمعلومات المكتشفة حتى يتأكد من أن تلك المعلومات لم تتغير خلال مجرى التحقيق.
القاعدة الثانية: عمل نسخة احتياط backup للمعلومات المكتشفة
أثناء مجرى التحقيق كما أسلفنا على المحقق ان يقلل قدر المستطاع من تفاعله مع أدلة مسرح الجريمة الحاسوب لذلك يجب حفظ الأدلة بطريقة ما، وأفضل الطرق لعمل هذه هي عمل نسخة احتياطية من الأدلة بحيث يتم إجراء النشاطات الجنائية على نسخ bit stream وليس الدليل الأصلي والذي يجب حفظه. وبهذه الطريقة يمكن تجنب التفاعل المدمر مع الملف الأصلي عن طريق أخذ نسخة عنه بعد جمعه، وهنا أيضاً يمكن استخدام نظام تحكم للمراجعة revision control system لحفظ نسخ الملفات وأيضاً ضمان سلامتها.
3. التخطيط لاكتشاف المعلومات:
على الرغم من أن اكتشاف المعلومات لا يتعامل مع التفتيش وجمع الأدلة المادية مثل الأجهزة والوسائط، إلا أن مراحل تخطيط عملية الاكتشاف مشابهة لمراحل التفتيش والضبط حيث أن الفرق الوحيد هو أنه لا يوجد فريق تفتش في اكتشاف المعلومات بل يمكن لشخص واحد أن يقوم بعملية الاكتشاف خصوصاً إذا تم استخدام أدوات البحث.
قبل البدء في اكتشاف المعلومات من المهم وضع خطة لضمان الفهم الواضح لما يبحث عنه المحقق، وهذا يقلل من مخاطر إتلاف أو فساد المعلومات أثناء استرجاعها.
وهناك أربع خطوات ضرورية في عملية اكتشاف المعلومات:
الخطوة الأولى: إعداد الأجهزة ووسائط التخزين الضرورية
بالنظر إلى أهمية النسخة الاحتياطية من الدليل ولأن المعلومات المكتشفة هي هشة فيجب على المحقق تخزين تلك المعلومات والأدلة وعليه أن يتأكد أن الوسائط كافية للتخزين مثل JAZZ cartridges.
الخطوة الثانية: إعداد الوسائل الإلكترونية لتوثيق البحث
من المهم توثيق جميع المعلومات لضمان سلامة ونزاهة التحقيق بواسطة برنامج توثيق إلكترونية ملائم وآمن، وهذا سيوفر الوقت والإرباك أثناء عملية اكتشاف الدليل. كما تتطلب المسألة استخدام سجلين: سجل الأدلة المكتشفة وسجل أدلة المختبر حيث يختص الأول بالمعلومات المكتشفة ويختص الثاني بالفحص الجنائي للأدلة.
الخطوة الثالثة: التأكد من معرفة الخبراء لجميع أشكال الأدلة
يجب على المحقق أن يعرف الناحية التركيبية والمعنوية للشيء الذي يبحث عنه وكيفية إجراء البحث، وبهذه الطريقة يتجنب المحقق الخوض في المعلومات بدون هدف محدد، فهو يقوم بوضع استراتيجية لتلاءم المعلومات المستهدفة، كذلك يتم تقليل احتمال فساد الأدلة التي قد يحدث بسبب القيام بعملية البحث نفسها.
الخطوة الرابعة: تقييم الوضع القانوني لاكتشاف المعلومات
يجب على المحقق أن يدرك مسائل مثل حقوق المشتبه بهم وخصوصيتهم، وأن يتأكد من أن التحقيق يجري بطريقة قانونية وأخلاقية، وعلى جميع الأحوال يجب استشارة الدائرة القانونية لمعرفة ما يمكن وما لا يجوز عمله فيما يتعلق بالتحقيق.
4. البحث عن المعلومات:
لا يوجد هناك إجراء محدد مسبقاً للبحث عن المعلومات لأن الخطوات المطلوبة تعتمد كلياً على القضية، فمثلاً قد يحتاج المحقق إلى ابتكار وظائف main frame batch للخوض عبر مئات megabytes من المعلومات، أو قد يتطلب الموقف تمشيط ملفات الحسابات في UNIX server أو قد يستدعي الأمر أن يبحث المحقق في سجلات router عن أي إشارات لنشاطات شبكة والاحتمالات المتخذة خلال اكتشاف المعلومات متروكة للظروف ومعرفة تصور المحقق.
وحالما يتم تحديد وجمع المعلومات تصبح جاهزة للتحليل، ومع ذلك فالعملية بأكملها سترجع إلى إطار آخر مع خطوط عريضة للتأكد من ملفات المعلومات في مختبر الأدلة والتعامل معها بعد ذلك .
إن الخطوة المطلوبة هنا هي أن يحفظ المحقق سجلاً مفصلاً لكل ما يقوم به، وهذا السجل يقابل سجل التفتيش والضبط ويسمى سجل أدلة اكتشاف المعلومات، ويجب أن تشمل مواد ذلك السجل ما يلي :
· وقت وتاريخ التحقيق.
· اسم المحقق.
· وصف لما يحاول المحقق اكتشافه.
· وصف لكيفية تقدم التحقيق.
· وصف النتائج.
5. معالجة أدلة كشف المعلومات :
بعد نجاح المحقق في جمع المعلومات تقع على عاتقه مهمة إحضار المعلومات إلى المختبر تمهيداً لبدء الفحص الجنائي. وكما هو الحال مع أدلة الحاسوب المادية مثل أنظمة الحاسوب والأقراص الصلبة والوسائط يجب أن تمر المعلومات في إجراءات التسجيل لضمان حفظ سلسلة الوصاية، وتتألف هذه الإجراءات مما يلي :
الخطوة الأولى: عمل نسخة احتياطية من المعلومات المكتشفة
لا يجب بالضرورة أن تكون النسخ الاحتياطية المأخوذة عن الملفات المكتشفة على نمط bit stream وذلك لأن عملية اكتشاف المعلومات لا تجري على الوسائط المضبوطة وهكذا فهي لا تتطلب حفظ الأنظمة كدليل.
· مناطق الاهتمام Areas of Interests خلال إجراء الفحص على شبكة الإنترنت([37]):
· برامج الأنظمة: وهي تحدد كيفية إعداد وتشغيل الحاسوب الفعلي، وبالتحديد برامج Windows لأنها تسجل الكثير من التفاصيل عن إعداد واستعمال النظام.
البرامج مثل ملفات الإنترنت المؤقتة Temporary Internet Files وملفات التاريخ History تحتوي عموماً على معلومات مفيدة.
· الإنترنت وبرامج الشبكة: هذه ستخلق المعلومات الأكبر وخصوصاً برامج البريد الإلكتروني ومجموعة الأخبار، والشبكة، و IRC وهكذا.
ومن المهم أيضاً أن تتذكر بأنها تحتوي على معلومات سابقة عن نشاط المستخدم.
· الملفات المخفية والمحذوفة التي تم استرجاعها : إن مجرد كونها مخفية أو محذوفة فهذا يعني أنها من المحتمل أن تحتوي على معلومات مفيدة.
الملفات المشفرة والمزورة الاسم : أيضاً هذا النوع من الملفات يدل على شكل من الأمن بشكل مشروع أو غير ذلك ولها القدرة على كشف معلومات مفيدة.
الخطوة الثانية: بدء سجل أدلة المختبر
يجب الاحتفاظ بسجل يحتوي على المعلومات المكتشفة ويجب ان يدون في السجل:
· الوقت والتاريخ.
· وصف لكل ملف مكتشف.
· اسم المحقق الذي تأكد من الملف.
الخطوة الثالثة: الاستمرار بالفحص الجنائي
باستخدام النسخ الاحتياطية يمكن للمحقق أن يقوم بالفحص الجنائي لملفات كشف المعلومات، وكالعادة يجب تدوين العمل في السجل مع ذكر :
· الوقت والتاريخ.
· الوصف.
· اسم المحقق.
الخاتمـة والتوصيـات
تناولنا في هذا البحث موضوعاً ينطوي على قدر كبير من الأهمية وتتعلق به مسائل نظرية وعملية، فعالجنا موضوع التحقيق في جرائم الحاسوب، وذلك من خلال الوقوف على ما هية أنظمة الحاسوب والإنترنت والقواعد العامة في التفتيش والضبط ومن ثم الوقوف على ماهية وصور جرائم الحاسوب، والوقوف على القواعد والأصول للتحقيق في هذه الجرائم من حيث قواعد التفتش والضبط ومسائلها الفنية البحتة، والوقوف على قواعد وأصول التعامل مع الأدلة الرقمية المتعلقة بهذه الجرائم، وفي هذا الاستعراض وقفنا على التحديات والمشكلات التي تواجه عملية التحقيق في جرائم الحاسوب واستعرضنا وسائل التامل مع هذه التحديات.
وقد أظهرت الدراسة كنتيجة عامة أن الأساليب التكنولوجية التي ترتكب فيها جرائم الحاسوب تتطور مع التطور الحاصل على أجهزة وشبكات وبرمجيات الحاسوب، فاختراق نظم المعلومات كان في بدايات ظهور جرائم الحاسوب يتم عن طريق خطوط الهاتف العادية أو عن طريق الحصول بطريقة أو بأخرى على كلمة السر Password، أما في الوقت الحاضر فقد طورت تقنيات وبرمجيات تسمح بالاختراق عن طريق زراعة برمجيات صغيرة ومتقدمة وقد ازداد استخدام الحاسوب كوسيلة تقنية أو ارتكاب أفعال تغيير في البرامج أو المعلومات المخزنة فيه وكذلك سرقة برامج الكمبيوتر أو إعادة إنتاجها وتوزيعها ما يعد اعتداءً على حقوق الملكية الفكرية Intellectual Property للبرمجيات، كما.
ومع أهمية هذه الخطوة، وفي ضوء ما ظهر من هذه الدراسة من حاجة ماسة لمزيد من الاستعداد والتأهيل لمواجهة خطر هذه الجرائم وتوفير القدرة والفعالية لأساليب التحقيق بها وكشفها، فإنه لا بد من اتباع مزيد من الخطوات العملية والفنية والتأهيلية لمواصلة الجهد في هذا الحقل، وفي هذا الصدد فإن الدراسة تظهر الحاجة إلى مزيد من الخطوات في هذا الحقل.
التوصيــات
في ضوء هذه النتائج العامة، وما أظهرته الدراسة المتقدمة من نتائج فرعية، يوصي الباحث بما يلي:
1. تدريب العاملين في ميدان التحقيق في جرائم الحاسوب من أجهزة الشرطة والقضاء بصور ومخاطر جرائم الحاسوب وطرق ارتكابها وأسس التعامل مع الأدلة الرقمية.
2. إنشاء أقسام أو وحدات فنية متخصصة للتحقيق في جرائم الحاسوب والتعامل مع الادلة الرقمية واكتشافها ورفدها بالكفاءات البشرية المتخصصة وبالتجهيزات الفنية الملائمة من حيث البرمجيات والأجهزة.
3. الانضمام إلى الاتفاقيات الدولية التي تشتمل على نصوص تنظيم إجراءات التفتيش والضبط المباشر الواقع عبر الحدود على أنظمة الحاسوب المتصلة بشبكة الإنترنت.
4. إصدار دليل إرشادي تقني وقانوني حول صور جرائم الحاسوب والأصول العلمية لكشفها والتحقيق فيها وأساليب التعامل مع الأدلة الرقمية ومواصلة تحديث هذا الدليل بشكل دوري وكلما دعت الحاجة لذلك وتعميمه على العاملين في مجال التحقيق في الميدان وعلى أجهزة القضاء، والاستفادة من الدليل الصادر عن المنظمة العالمية للشرطة الجنائية الإنتربول.
أتمنى أن تكون هذه الدراسة وفي حدود مساحة العرض المتاحة وفي حدود المشكلات التي واجهت الباحث قد حققت الغرض المرجو منها في استظهار أصول للتحقيق في جرائم الحاسوب.
قائمة المراجع
المؤلفات العربية والمترجمة :
1. د. محمد الفيومي، "مقدمة في علم الحاسابات الإلكترونية والبرمجة بلغة بيسك"، دار الفرقا، 1984.
2. د. سعيد عبد اللطيف حسن، إثبات جرائم الكمبيوتر والجرائم المرتكبة عبر الإنترنت، الجرائم الواقعة في مجال تكنولوجيا المعلومات، الطبعة الأولى 1999، دار النهضة العربية، القاهرة.
3. يونس عرب، قانون الكمبيوتر، موسوعة القانون وتقنية المعلومات، منشورات اتحاد المصارف العربية، الطبعة الأولى، الجزء الأول، 2001م.
4. يونس عرب، جرائم الكمبيوتر والإنترنت، موسوعة القانون وتقنية المعلومات، منشورات اتحاد المصارف العربية، الطبعة الأولى، الجزء الثاني، 2002.
5. د. هلالي عبد اللاه أحمد، تفتيش نظم الحاسب الآلي، ط ، دار النهضة العربية، القاهرة 1997.
6. فرانك دفلر وليس فريد كيف تعامل الشبكات، ترجمة ونشر مركز الترعيف والبرمجية – الدار العربية للعلوم، ط1، 1995.
7. غاري، ج. بيتر، ثقافة الحاسوب – الوعي والتطبيق والبرمجة، الطبعة الأولى، ترجمة ونشر مؤسسة الأبحاث اللغوية، نيقوسيا، 1987.
8. رون وايت، كيف تعمل الحواسيب، ترجمة ونشر الدار العربية للمعرفة والعلوم، بيروت 1999.
9. جريدة الرأي الأردنية، "قرصان إنترنت في قمة تشيلي"، جريدة الرأي، العدد 9568، 1996.
10. عصام غوشه، "نظرة إلى عالم الفيروسات"، مجلة الحاسوب، العدد 23، 1995.
المؤلفات باللغة الأجنبية :
11. Eoghan Casey, Digital Evidence and Computer Crime, Academic Pres,. 1 st edition, 2000.
12. David J David, Internet Detective-An Investigator's Guide, Police Research Group, 1998.
13. Interpol, Computers and Crime, Manual of Standards and Procedures, 1996
14. Interpol, Scoping and responding to information Technology crime in Asia-South Pacific Region, 2001.
15. Tom Douglas Brian Loader, Thomas Douglas, Cyber crime: Law Enforcement, Security, and Surveillance in the Information Age, 1 st edition, Rutledge, 2000.
16. Donn B. Parker, Fighting Computer Crime: A New Framework for Protecting Information, 1 edition, John Wiley & Sons 1998.
17. Edward Waltz, Information Warfare Principles and Operations, 1998.
18. Laura E. Quarantiello, Tiare Publications, Cyber Crime: How to Protect Your-self from Computer Criminals, 1996.
مواقع على الإنترنت:
19.
http://www.neiassociates.org/cybercrime20.
http://www.cybercrime.gov/4pillar2.htm.21.
http://ww.anu.edu.au/people/Roger.Clarke/II/CryptoSecy.htm.http://Cybercrime.gov/babyfood.htm.22.
http://Cybercrime.gov/flick.htm.23.
http://Cybercrime.gov/moujing.htm.24.
http://Cybercrime.gov/platinum.htm.25.
http:// infowar.com/class_2/00/class2_020400b_j.shtml
26.
http://homer. Spanch/~spaw1165/infosec/sts_en/
27.
http://telecom.conisius.edu/cf-crim-investigation.html.28.
http://online.securityfocus.com/infocus/1244.29.
http://online.securityfocus.com/infocus/1245.30.
http://online.securityfocus.com/infocus/1246.31.
http://online.securityfocus.com/infocus/1247.32.
http://online.securityfocus.com/infocus/1248.33.
http://online.securityfocus.com/infocus/1249.34.
http://online.securityfocus.com/infocus/1250.35.
http://online.securityfocus.com/infocus/1251.36.
http://www.2crfm.co.uk.37.
http://www.netcape.com.38.
http://www.microsoft.com.39.
http://www.beaucoup.com.40.
http://www.first.org/.41.
http://cops.org/index.html.42.
http://www.trusecure.net.43.
http://www.cybercrime.org/.44.
http://www.fbi.com.45.
http://www.discovery .com/are/technology/hackers/hackers.html.
46.
http://www.hackershomepage.com.47.
http://www.etbus.org/48.
http://www.black-rifice.fr.st/49.
http://www.sub-seven.com.50.
http://www.sharptechnology.com/hacktracer/demo-trial/demo.51.
http://www.sharptechnology.com/bhcons.htm.إيجاز عن دراسة
"التحقيق في جرائم الحاسوب"
أثارت جرائم الحاسوب على مدى السنوات المنصرمة وتثير الآن تحديات بالغة في حقل أنشطة المكافحة وأنشطة التحقيق والوصول إلى مرتكبيها كما أثارت تحديات قانونية وفنية بشأن آليات مباشرة إجراءات التفتيش والضبط والتعامل مع الأدلة الرقمية (الإلكترونية) المتعلقة بهذه الجرائم، وفي تحديد أولي يمكننا أن نتبين التحديات الرئيسة التالية في ميدان تحقيق وكشف جرائم الحاسوب والإنترنت:
· فهذه الجرائم لا تترك أثراً مادياً في مسرح الجريمة كغيرها من الجرائم ذات الطبيعة المادية كما أن مرتكبيها يملكون القدرة على إتلاف أو تشويه أو إضافة الدليل في فترة قصيرة.
· والتفتيش في هذا النمط من الجرائم يتم عادة على نظم الحاسوب وقواعد البيانات وشبكات المعلومات، وقد يتجاوز النظام المشتبه به إلى أنظمة أخرى مرتبطة، وامتداد التفتيش إلى نظم غير النظام محل الاشتباه يخلق تحديات كبيرة أولها مدى قانونية هذا الإجراء ومدى مساسه بحقوق الخصوصية المعلوماتية لأصحاب النظم التي يمتد إليها التفتيش.
· كما أن الضبط لا يتوقف على تحريز جهاز الحاسوب فقد يمتد من ناحية ضبط المكونات المادية إلى مختلف أجزاء النظام التي تزداد يوماً بعد يوم.
· وأدلة الإدانة ذات نوعية مختلفة، فهي معنوية الطبيعة كسجلات الحاسوب ومعلومات الدخول والاشتراك والنفاذ والبرمجيات، وقد أثارت وتثير أمام القضاء مشكلات جمة من حيث مدى قبولها وحجيتها والمعايير المتطلبة لتكون كذلك خاصة في ظل قواعد الإثبات التقليدية.
إذن فإن البعد الإجرائي لجرائم الحاسوب والإنترنت ينطوي على تحديات ومشكلات جمة، عناوينها الرئيسة، الحاجة إلى سرعة الكشف خشية ضياع الدليل، وخصوصية قواعد التفتيش والضبط الملائمة لهذه الجرائم، وقانونية وحجية أدلة جرائم الحاسوب والإنترنت، والحاجة إلى تعاون دولي شامل في حقل امتداد إجراءات التحقيق والملاحقة خارج الحدود، وهذه المشكلات كانت ولا تزال محل اهتمام الصعيدين الوطني و الدولي.
انطلاقاً من الأهمية البالغة لهذا الموضوع على نحو ما أوضحنا فيما تقدم، تبين أن هناك حاجة للبحث المتعمق في المسائل العملية المتصلة بتحقيق وإثبات جرائم الحاسوب، لذا فإن هذه الدراسة تنصب على سبر غور المسائل الفنية والقانونية ذات الصلة بتحقيق وإثبات جرائم الحاسوب، وتهدف إلى تحديد منضبط لأبرز صور جرائم الحاسوب والإنترنت في ضوء ما وصلت إليه الدراسات الجنائية المتخصصة من تطور على مدى السنوات الأخيرة في هذا الحقل، وتهدف إلى الوقوف على التحديات التي تواجه التحقيق في هذا النمط المستجد من الجرائم، كما تسعى إلى بيان الأصول العلمية والعملية لإجراءات التحقيق في البيئة الرقمية.
([1] ) لمزيد من المعلومات أنظر :
Interpol, Scoping and Responding to Information Technology crime in Asia-South Pacific Region, 2001, pages 12, 17, 31, 61.
([2]) أنظر الموقع
http://online.securityfocus.com/infocus/1244([3]) أنظر :
Eoghan Casey, Digital Evidence and Computer Crime, Academic Press, 1 st edition, 2000, ch 4.
([4]) لمزيد من المعلومات حول شبكة الإنترنت أنظر :
David J Davis, Internet Detective – An Investigator's Guide, Police Research Group, 1998.
([5]) لمزيد من المعلومات حول الأنظمة المختلفة للإنترنت أنظر الموقع
http://www.ferretsoft.com.([6]) المرجع السابق.
([7]) أنظر الموقع
ftp://ftp.ibm.com([8]) أنظر:
David J Davis, Internet Detective – An Investigator's Guide, Police Research Group, 1998.
([9]) أنظر :
David J Davis, Internet Detective, Police Research Group, 1998, p. 56.
([10]) أنظر الموقع
http://www.2crfm.co.uk([11]) أنظر:
David J Davis, Internet Detective, Police Research Group, 1998, p. 59.
([12]) أنظر الموقع
http://www.beaucoup.com([13]) لمزيد من المعلومات أنظر المواقع :
http://www.netcape.comhttp://www.microsoft.com([14]) يونس عرب، جرائم الكمبيوتر والأنترنت، موسوعة القانون وتقنية المعلومات، منشورات اتحاد المصاريف العربية، الطبعة الأولى، الجزء الثاني، 2002، ص 513 وما يليها .
([15]) أنظر : Eoghan Casey, Digital Evidence and Computer Crime, Academic Press, 1 st edition, 2000, pages 41-73.
([16]) أنظر
Eoghan Casey, Digital Evidence and Computer Crime, Academic Press, 1 st edition, 2000, p 15.
([17]) المرجع السابق.
([18]) المرجع السابق.
([19]) أنظر:
Interpol, Computers and Crime, Manual of Standards and Procedures, 1996.
([20]) جريدة الرأي الأردنية، "قرصان إنترنيت في قمة تشيلي"، جريدة الرأي، العدد 9568، 1996.
([21]) أنظر المواق