Marca 2015 je direktor CIA John Brennan napovedal ustanovitev novega direktorata CIA za digitalne inovacije, prvega direktorata CIA v približno petih desetletjih. Nova enota je bila ustvarjena z namenom napredovanja tehnik v digitalni forenziki, stebru forenzične znanosti, povezanih z dejavnostmi preiskovanja in obnavljanja podatkov in metapodatkov (podatkov o podatkih), ki jih najdemo v digitalnih napravah, in za izboljšanje sposobnosti CIA za sledenje "Digitalni prah", ki ga je pustil med rutinskimi cyberactivnostmi. Kot je Brennan razložil 28. aprila v govoru na večerji voditeljev zveze za obveščevalne in nacionalne varnostne zveze, "Kamor koli gremo, vse kar počnemo, pustimo nekaj digitalnega prahu in res je težko tajno, še manj prikrito, ponovno puščate digitalni prah."
Glavni namen digitalne forenzike je ocena stanja digitalnega artefakta, ki bi ga bilo mogoče uporabiti pri kateri koli preiskavi računalniškega sistema. Z uporabo tehnik digitalne forenzike lahko preiskovalec pridobi digitalne dokaze, jih analizira in poroča o ugotovitvah te analize. Razvoj digitalnih forenzičnih orodij in druge, še bolj napredne tehnike naj bi vladam in zasebnim podjetjem omogočil, da uspešno preučijo digitalni prah, ki so ga pustili tisti - osumljenec ali druga oseba, ki je zanimiva - povezane z domnevnimi nezakonitimi kibernetskimi dejavnostmi.
Metodologije.
Digitalne forenzične metodologije se uporabljajo v različnih situacijah, zlasti s strani organov pregona ali drugih uradnih organov za zbiranje dokazov v kazenskih ali civilnih sodnih zadevah ali zasebnih podjetij za pomoč pri izvajanju notranje preiskave. Izraz digitalna forenzika je izjemno splošen in se lahko uporablja za označevanje številnih specializacij, odvisno od posameznega področja preiskave. Na primer, omrežna forenzika je povezana z analizo računalniškega omrežnega prometa, medtem ko se forenziki mobilnih naprav ukvarjajo predvsem s pridobivanjem digitalnih dokazov iz pametnih telefonov in tabličnih računalnikov. Za digitalno forenziko obstajajo neskončne metodologije, vendar najpogosteje uporabljene tehnike vključujejo iskanje ključnih besed po digitalnih medijih, obnavljanje izbrisanih datotek, analizo nerazporejenega prostora in pridobivanje podatkov registra (npr. Z uporabo priloženih naprav USB).
Pri obravnavi digitalnih dokazov je nujno, da se v fazi preiskave ne vpliva na celovitost in verodostojnost podatkov in metapodatkov. Zato je ključnega pomena, da se izognemo kakršnemu koli spreminjanju dokazov, ki jih povzroči delo preiskovalcev, in zagotovimo, da so zbrani podatki "verodostojni" - torej v vseh pogledih enaki izvirnim informacijam. Čeprav lahko borci za kibernetsko kriminaliteto v filmih in na televiziji pametno prepoznajo geslo osebe, ki jo zanima, in se nato prijavijo neposredno v ciljni računalnik ali drugo pametno napravo, bi lahko v resničnem svetu takšno neposredno dejanje spremenilo izvirnik tako, da bi lahko karkoli našel na naprava neuporabna ali vsaj nedopustna na sodišču.
Faza pridobivanja, imenovana tudi „slikanje eksponatov“, je sestavljena iz pridobivanja slike vsebine računalnika ali druge naprave. Glavna težava digitalnih medijev je, da so hitro spremenjeni; tudi poskus dostopa do datotek ali vsebine računalniškega pomnilnika lahko spremeni njihovo stanje. Zato se je treba izogniti neposrednemu dostopu z ustvarjanjem natančne slike hlapnega pomnilnika in diskov analiziranega sistema. To je mogoče doseči s pridobitvijo "bitne kopije" (natančne reprodukcije po posameznih bitovih) z uporabo specializiranih orodij za preprečevanje zapisovanja, ki "zrcalijo" podatke, hkrati pa preprečijo kakršno koli spremembo prvotne vsebine medija.
Rast velikosti pomnilniških medijev in razširjanje paradigem, kot je računalništvo v oblaku, zahtevata sprejetje novih tehnik pridobivanja, ki raziskovalcem omogočajo "logično" kopijo podatkov in ne popolne slike fizične naprave za shranjevanje. V koncentriranem prizadevanju za zagotovitev celovitosti podatkov preiskovalci uporabljajo mehanizme „razpršitve“, ki ustvarjajo krajše vrednosti s fiksno dolžino, ki predstavljajo daljši ali bolj zapleten izvirnik. Vredne vrednosti omogočajo hitrejše iskanje in raziskovalcem omogočajo, da vsak trenutek ocenijo skladnost digitalne vsebine v preiskavi. Vsaka sprememba vsebine bi povzročila spremembo mešanice digitalnega artefakta, ki bi jo bilo mogoče opaziti brez potrebe po iskanju celotne baze podatkov.
