كتب : أحمد حلمي - نهله احمد
استعرضت شركة " بالو ألتو نتوركس " ، دور التحاليل الرقمية الجنائية في معاينة الكمبيوترات التي تعرّضت لحذف بياناتها عمداً بهدف إخفاء بعض الأدلة والأنشطة غير القانونية فيها.
ويعتقد الكثير من الناس أن حذف البيانات من الكمبيوتر يشبه عملية إحراق نسخ المستندات الورقية بغرض إتلافها - أي كأن الذي "فات قد مات"، كما قد يقوم البعض باتخاذ إجراءات إضافية للتأكد أن البيانات قد تم حذفها إلى غير رجعة، ربما بغرض إخفاء أي أثر للممارسات تتعلق بسلوك إجرامي. إلا أننا على الطرف المقابل من ذلك سنجد مجموعة أخرى تحاول جمع هذه البيانات واستعادتها لتشكل معا خيطا من الأدلة يمكن اقتفاء أثرها.
كل إجراء يقوم به المستخدم يترك بصمة رقمية على الكمبيوتر. ويستخدم خبراء التحاليل الجنائية الرقمية أدوات وتقنيات تعمل على اقتفاء هذه الأثار من خلال إلقاء نظرة على البيانات على مستوى القرص الصلب أو القرص الخاص. فعلى سبيل المثال، يمكن لمحللي الأدلة الجنائية الرقمية تحديد وقت اتصال المستخدم بشبكة واي-فاي لدى أحد المقاهي، وكشف سجل الدردشة ما بين زميلين في العمل، وتحديد أجهزة التخزين الخارجية التي تم توصيلها في السابق، وغيرها من الإجراءات. ويمكن للتحاليل الجنائية الرقمية أن تروي تفاصيل عن تعامل المستخدم مع كمبيوتره الشخصي، لا سيما عندما يتعلق الأمر بالإجراءات التي أقدم عليها المستخدم لإخفاء أو حذف البيانات. وفي عالم التقنيات الرقمية، فإن الذي "فات" لا يعني بالضرورة أن يكون فعلا قد "مات".
واستعرضت بالو ألتو نتوركس مثالين من حالات كشف التحاليل الجنائية للتفاصيل ورصدها لممارسات كيديّة فالمثال الأول " عمليات استعادة البيانات تكشف عن محاولات إخفاء سرقة فكرية " فمثلا إحدى الموظفات تستقيل من عملها وتنضم للعمل مع شركة منافسة تعمل على مشروع مشابه. تشتبه الشركة السابقة أن الموظفة ربما قد شاركت بعض المعلومات الخاصة بالمؤسسة مع المنافس الجديد قبل التقدّم بالاستقالة رسميا. إلا أن الموظفة قد أعادت بالفعل كمبيوترها الشخصي بعد أن "حذفت" جميع البيانات الخاصة بالمستخدم. وتمكنت عمليات التحاليل الجنائية الرقمية من الكشف في نهاية المطاف عن سرقة الملكية الفكرية وإتلاف البيانات. فقد تمكن خبير في التحاليل الجنائية الرقمية من استعادة شظايا متفرقة من ملفات إضافة إلى بعض الآثار الأخرى تمّ حذفها سابقا من الكمبيوتر الشخصي لموظّف سابق.
وكشفت نتائج التحليل عن أدلة تشير إلى استخدام قرص ذاكرة فلاش خارجية للاطلاع على ملفات مراجعات للتصاميم، وخطط النشر، وغيرها من المعلومات التي تعدّ ملكيّة فكريّة للشركة، وذلك أثناء اتصال الكمبيوتر بشبكة الشركة المنافسة (الشركة التي انتقلت الموظفة للعمل معها) بعد يومين من التقّدم بالاستقالة.
أما المثال الثاني " التحاليل الجنائية الرقمية تُثبت سرقة ملفات " في قضية أخرى، اشتبهت إحدى الشركات بأن موظفا سابقة قد أقدم على انتهاك حقوق الملكية الفكرية للشركة بسرقتها قبل أن يستقبل مؤخرا من العمل لديها، لكن الشركة لم تمتلك الدليل الذي يثبت ذلك وبعد إجراء فحص مبدئي على جهاز كمبيوتر "ماك" الذي استخدمه الموظف، تبيّن حذف معظم الملفات والمجلدات. إلا أن عمليات التحاليل الجنائية الرقمية أثبتت أن الموظف السابق قام بالدخول على حسابه الخاص على حساب iCloud الشّخصي الخاص به، وأتمّ مزامنة عدد من المجلدات التي تضمنت بيانات من ملكية الشركة الفكرية، ثم قام بحذف ذات المجلدات من كمبيوتره الشخصي قبل أيام فقط من تقديم استقالته.
