جرم شناسی در فضای مجازی از طریق پست الکترونیکی
آشنایی با جرم شناسی در فضای مجازی از طریق پست الکترونیکی
امروزه با توجه به فراگیر شدن فضای مجازی یکی از روشها برای جرم شناسی استفاده از اطلاعاتی است که در پست الکترونیکی افراد وجود دارد. در جرم شناسی از طریق پست الکترونیکی به مطالعه جزئیات ایمیل میپردازیم. این جزئیات عبارتند از: منبع و محتوای نامه الکترونیکی، شناسایی فرستنده و گیرنده واقعی یک پیام، تاریخ یا زمان انتقال، سوابق دقیق معاملات الکترونیکی و همچنین قصد فرستنده. تک تک این اطلاعات در صورتی که با دقت جمعآوری شوند میتوانند به تحقیقات جرم شناسی کمک شایانی کنند.
در جرم شناسی چه تحقیقاتی از طریق پست الکترونیکی صورت میگیرد؟
فضای مجازی تحولات زیادی در روند فعالیت جامعۀ بشری ایجاد کرده است و خواه ناخواه اکثریت قریب به اتفاق مردم از این فضا برای برقراری ارتباط با دیگران و تسهیل در انجام کارهای روزمره استفاده میکنند. رایانهها دقت بالا، سرعت زیاد و توانایی ذخیرهسازی دادههای زیادی را دارند و دسترسی به این اطلاعات میتواند برای افشای بسیاری از مدارک پنهان شده کارآمد باشد. پست الکترونیکی یا همان ایمیل از جمله فضاهای بسیار پرکاربرد و در دسترس مردم است که از طریق آن معاملات خود را انجام میدهند و با یکدیگر اطلاعاتی مبادله میکنند.
ایمیل از مرسومترین و گستردهترین سرویسهای اینترنت است و در آن علاوه بر فایلهای متنی، صوت، تصویر و فایلهای ویدیویی هم ارسال میشوند. با توجه به اینکه هر کاربر میتواند از طریق یک آدرس پست الکترونیکی مشخص شود در هنگام تحقیقات جرم شناسی میتوان از ایمیل برای تحقیقات و حتی یافتن مجرمان فراری استفاده کرد.
در تحقیقات جرم شناسی از طریق پست الکترونیکی آنچه بررسی میشود غالباً تجزیه و تحلیل ابردادهها، جستجوی کلمات کلیدی و شناسایی جرایم سایبری است. گفتنی است که ابزار جرم شناسی ایمیل فقط در طی یک مرحلۀ خاص از تحلیل میتواند به بازپرس کمک کند و باید از روشهای دیگر هم تحقیقات را ادامه داد.
آنچه در پست الکترونیکی اهمیت دارد و در آن باره تحقیق میشود اطلاعات کنترلی حاوی اطلاعات مربوط به فرستنده یا مسیری که در آن پیام طی شده است با دقت زیادی تجزیه و تحلیل میشود. برخی از این اطلاعات ممکن است برای پنهان کردن هویت فرستنده جعل شود و این مسئله در مرحلۀ آنالیز مشخص میشود. برای تفحص بیشتر تحقیقات سرور از قبیل تجزیه و تحلیل کپیهای الکترونیکی و سیاهههای مربوط به سرور پستی برای شناسایی منبع پیام هم انجام میشود.
دادههای مربوط به مالک صندوق پستی (یعنی شماره کارت اعتباری) که سرورهای SMTP را ذخیره میکنند، در کشف هویت شخص بسیار ارزشمند است. باید توجه داشت که در این نوع تحقیقات اغلب نیاز است که به سیستمها و ایمیلهای پشتیبان از سرور پروکسی یا ISP ورود شود. از این رو برخی ممکن است با محققان همکاری نکنند. از طرفی این کار وقت گیر است و به دلیل وجود منابع زیاد گران است. در ضمن کپیهای نامه الکترونیکی و سیاهههای مربوط به سرور فقط برای مدت زمان محدود (که مطابق با قانون قابل اجرا متفاوت است) حفظ میشوند و پس از آن از دسترس خارج میشوند.
بررسی دستگاههای شبکه گام دیگری که در جرم شناسی میتوان از آن کمک گرفت بررسی دستگاههای شبکه است. این نوع تحقیقات پیچیدۀ بسیار معروف شامل تجزیه و تحلیل سیاهههای مربوط به دستگاههای شبکه مانند روترها، فایروالها و سوئیچها است. در دیگر تکنیکهای تحقیق نیز تجزیه و تحلیل شناسههای تعبیه شده نرم افزاری صورت میگیرد که محقق اطلاعات مربوط به خالق را جستوجو میکند. گاهی دادهها حاوی پیامی هستند که پیوست دارد و نام فرستنده برای مشتری یا نرم افزار ایمیل درج شده است.
این اطلاعات غالباً به صورت سرصفحات سفارشی یا محتوای توسعۀ چند منظورۀ پست الکترونیک اینترنت (MIME) استفاده میشود. اطلاعات موجود در آن میتوانند به محققان برای ردیابی فرستنده ایمیل کمک کنند.
بررسی کامل هدرهای پست الکترونیک
هدرهای پست الکترونیک در صورتی به طور کامل بررسی شدهاند که این موارد در آن دیده شوند: بررسی آدرس ایمیل و آدرسIP فرستنده، بررسی شناسه پیام و همچنین پروتکل آغاز پیام HTTP یا SMTP . اگر در جرم شناسی پست الکترونیک به تمامی این موارد رسیدگی شود میتوان گفت که تحقیق از طریق هدرهای پست الکترونیک کامل بوده است و نمیتوان بیش از این اطلاعاتی از این طریق کسب کرد.
تعیین منبع پست الکترونیک
یکی از بخشهای پراهمیت در تحقیقات یافتن منبع پستی است که ارسال شده است. در واقع در این حالت نیاز به مهندسی معکوس است یعنی برای تعیین منبع پست الکترونیکی، محققان ابتدا باید بخش دریافت شده را در قسمت زیر عنوان بررسی کرده و در یک روش پایین به بالا کار خود را انجام دهند. همچنین مهم است که پروندههای نامه الکترونیکی گزارشهای کلیه سرورهای موجود در زنجیره دریافت شده را در اسرع وقت بررسی کنند.
در این نوع تحقیقات پارامتر زمان اهمیت زیادی دارد چراکه در پروندههای پست الکترونیکی پروندههای HTTP و SMTP بایگانی میشوند؛ مخصوصاً توسط ISPهای بزرگ.
نکتۀ مهم در تحقیقات و ردیابی پستهای الکترونیکی توجه به این مسئله است که برخی از نامههای الکترونیکی برای فریب محققان هدر جعلی دارند، بنابراین در بررسی هر قسمت از عنوان ایمیل باید با احتیاط و دقت لازم عمل شود.
ردیابی هدر پست الکترونیک
علاوهبر تجزیه و تحلیل هدر، فرایندهای مشترک درگیر در آن هم اهمیت زیادی دارند. ردیابی ایمیل یا پست الکترونیکی با بررسی اطلاعات هدر موجود در پیامهای ایمیل برای تعیین منبع انجام میشود. اطلاعات هدر ایمیل در آغاز یا پایان پیامهای ایمیل گنجانده شده است. اطلاعات موجود در عنوان میتواند به محققان در ردیابی فرستنده ایمیل کمک کند.
اگر ورود به سیستم آرشیو شده باشد کار جرم شناسی و یافتن اسناد کمی سخت میشود و برای بازیابی و فشرده سازی فایلهای لاگی که برای ردیابی ایمیلها نیاز است باید تلاش پیچیده و زیادی صورت بگیرد و این امر ممکن است روند بررسی را به حد زیادی طولانی کند. با توجه به اینکه تأمین امنیت اطلاعات کاربران یکی از مسائلی است که سازندگان این اپلیکیشنها مدام به آن تأکید میکنند سخت بودن روال کار در یافتن مجرم توجیه میشود.
اگر دسترسی به این اطلاعات به سادگی صورت میگرفت حفظ اطلاعات کاربران هم یک ادعای پوچ بود و هرکسی میتوانست به راحتی به ایمیل شخص دیگر نفوذ کند. با این حال همانطور که در بالا به آن اشاره شد راههایی وجود دارد که میتوان برای یافتن مجرم و دسترسی به اطلاعاتش به پست الکترونیک او نفوذ کرد و با وجود پیچیدگیهای این کار، تحقیقات از طریق همین راههای نفوذ صورت میگیرد.