2015. aasta märtsis teatas CIA direktor John Brennan LKA uue digitaalse innovatsiooni direktoraadi asutamisest, mis on esimene uus CIA direktoraat umbes viie aastakümne jooksul. Uus osakond loodi selleks, et edendada digitaalse kohtuekspertiisi tehnikaid, mis on kriminalistika tugisammas, mis on seotud digitaalseadmetes leiduvate andmete ja metaandmete (andmete kohta käivate andmete) uurimise ja taastamisega, ning parandada CIA võimet jälgida Rutiinsete küberaktiivsuste ajal maha jäänud „digitaaltolm”. Nagu Brennan 28. aprillil luure- ja riikliku julgeoleku alliansi juhtkonna õhtusöögil peetud kõnes selgitas: “Kõikjal, kus me käime, kõik, mida teeme, jätame natuke digitaalset tolmu ja tegelikult on keeruline salaja tegutseda, veelgi vähem varjatult, kui te” jätad alles digitaalse tolmu. ”
Digitaalse kohtuekspertiisi peamine eesmärk on digitaalse eseme seisundi hindamine, mida saaks kasutada arvutisüsteemi mis tahes uurimisel. Digitaalse kohtuekspertiisi tehnikaid kasutades saab uurija hankida digitaalseid tõendeid, neid analüüsida ja analüüsi tulemustest teada anda. Digitaalsete kohtuekspertiisi tööriistade ja muude veelgi arenenumate tehnikate väljatöötamine peaks võimaldama valitsustel ja eraettevõtetel edukalt uurida digitaalset tolmu, mille on jätnud kahtlustatavad või muud huvilised, kes on seotud kahtlustatava ebaseadusliku küberaktiivsusega.
Metoodikad.
Digitaalset kohtuekspertiisi metoodikat kasutatakse paljudes olukordades, eriti õiguskaitseorganite või muude ametlike asutuste poolt kriminaalasja või tsiviilkohtumenetluse käigus tõendite kogumiseks või eraettevõtete poolt, et aidata sisejuurdlust. Mõiste digitaalne kriminalistika on äärmiselt üldine ja seda saab kasutada paljude spetsialiseerumiste iseloomustamiseks, sõltuvalt konkreetsest uurimisvaldkonnast. Näiteks on võrguekspertiis seotud arvutivõrgu liikluse analüüsiga, samas kui mobiilseadme kohtuekspertiisi eesmärk on peamiselt nutitelefonide ja tahvelarvutite digitaalsete tõendite taastamine. Digitaalse kohtuekspertiisi jaoks on potentsiaalselt lõpmatuid metoodikaid, kuid kõige sagedamini kasutatavad tehnikad hõlmavad märksõnaotsingute tegemist kogu digitaalses meediumis, kustutatud failide taastamist, jaotamata ruumi analüüsi ja registriteabe ekstraheerimist (nt ühendatud USB-seadmete abil).
Digitaalsete tõendite käsitlemisel on oluline tagada, et uurimisetapid ei kahjustaks andmete ja metaandmete terviklikkust ja autentsust. Seega on ülioluline vältida uurijate tööst põhjustatud tõendite muutmist ja tagada, et kogutud andmed oleksid “autentsed” - igas mõttes identsed algteabega. Kuigi küberkuritegevusega võitlejad saavad filmides ja televisioonis nutikalt tuvastada huvipakkuva inimese parooli ja seejärel otse sihtmärgi arvutisse või muusse nutiseadmesse sisse logida, võib selline otsene tegevus reaalses maailmas originaali muuta nii, et kõik, mis leitakse seade on kasutamiskõlbmatu või vähemalt kohtus lubamatu.
Omandamisetapp, mida nimetatakse ka “eksponaatide pildistamiseks”, seisneb pildi saamises arvuti või muu seadme sisust. Digitaalse meedia peamine probleem on see, et neid on hõlpsalt muudetud; isegi katse failidele või arvuti mälu sisule juurde pääseda võib nende olekut muuta. Seetõttu on vaja vältida otsest juurdepääsu, luues täpse pildi muutlikust mälust ja analüüsitava süsteemi ketastest. Seda on võimalik saavutada meediumite „bitikoopia” (täpse bit-by-bitise reprodutseerimise) abil, kasutades spetsiaalseid kirjutamise blokeerimise tööriistu, mis „peegeldavad” andmeid, vältides samal ajal meediumite originaalsisu muutmist.
Salvestuskandjate mahu kasv ja selliste paradigmade nagu pilvandmetöötlus levik nõuavad uute omandamistehnikate kasutuselevõttu, mis võimaldavad uurijatel teha andmete „loogiline” koopia, mitte füüsilise salvestusseadme tervikpilt. Andmete terviklikkuse tagamiseks keskendunud jõupingutustes kasutavad uurijad räsimismehhanisme, mis genereerivad lühemaid, kindla pikkusega väärtusi, mis esindavad pikemat või keerukamat originaali. Räsitud väärtused võimaldavad kiiremaid otsinguid ja võimaldavad teadlastel hinnata iga hetke uuritava digitaalsisu järjepidevuse osas. Sisu mis tahes muutmine põhjustaks muutuse digitaalse eseme räsis, mida saaks hõlpsasti märgata, ilma et oleks vaja kogu andmebaasi otsida.
