- بواسطة x32x01 ||
من أهم المجالات فى Cyber Security هو الـ Digital Forensics
بس قبل ما اتكلم عن ال Forensics هتكلم شوية عن مصطلح اسمه ال Cyber Crime...
يعني ايه Cyber Crime ?!
ال Cyber Crime هي اي جريمة بتتم عن طريق استخدام ال Computer من Black Mailing لـ Sensitive Data Exposure لـ Unauthorized Access لـ Spamming لغيرها من كل أشكال ال Cyber Crimes...حلو جداً نخلي المصطلح دة علي جنب عشان هنحتاجه كمان شوية...
نرجع بقي للـ Forensics....يعني ايه Digital Forensics او Computer Forensics او تحقيق جنائي زي ما بيسموه بالعربي ؟!
الـ Forensics هو بيبقي بعد ال Cyber Crime ما بتحصل...بيبقي تحقيق و بيتم تطبيق شوية قوانين و شوية Rules عشان نقدر نجمع كل ال Evidences الي هي الأدلة و نعمل Acquisition و هشرح يعني ايه Acquisition و بعد كدة نوصل لل Cyber Criminal الي عمل ال Cyber Crime دي...
فيه اختصار جميل اوي لامم ال Forensics كلها ف كام حرف الي هو IPEDIP
الي هو بيتنطق بالعربي (اي بي- ديب ) الي هو ايه دة ؟!
دي كل ال Phases الي انا بعملها في ال Digital Forensics من الأول لحد الاخر كل حرف في الكلمة دي ب اختصار لكلمة معينة :
#أول Phase الي هي ال Identification : هنا دي أول Phase ايل هو انا لسة بعمل Identify لل Cyber crime الي حصلت و بشوف ايه الي حصل و لسة بكون بستوعب الموضوع و برتب الفكرة كلها ف دماغي .
#تاني Phase الي هي ال Preservation : هنا بكون خلاص استوعبت الموضوع و بحجز علي ال Cyber Crime Scene الي هو مسرح الجريمة زي ما بيقولوا...مسرح الجريمة في العادي الي هو المكان الي وقعت فيه الجريمة زي القتل و الخطف و السرقة و كدة...اما مسرح الجريمة في ال Forensics الي هو الأجهزة الي تمت عليها ال Crime بكل الي فيها بكل الي حواليها يعني بحجز علي الاوضة الي فيها ال Computer او بحجز علي ال Datacenter الي فيها ال Servers علي حسب الجريمة تمت فين...بحجز عليها يعني مش بخلي اي حد يقرب منها غيري انا طبعاً انا بيبقي اسمي Cyber Crime Investigator
#تالت Phase الي هي ال Extraction او ال Acquisition الي انا قولت هشرحها بعدين : دي ال Phase بتاعت تجميع ال Evidences الي هو بحاول اطلع ال Data من كل ال Physical Devices الموجودة في ال Crime Scene و ال Acquisition لييه نوعين :
أول نوع الي هو ال Static Acquisition : في النوع دة ال Data بتكون Non-Volatile او Static يعني بتكون ثابتة و موجودة دايماً علي الجهاز و اقدر اجيبها ف اي وقت من علي ال Hard
تاني نوع الي هو ال Live Acquisition : هنا انا ببقي مطالب اني اعمل Acquiring لل Live Data الي هي ب اختصار ال Data الي موجودة في ال Registry و ال RAM و ال Cache ايل لو قفلت الجهاز و فتحته هتطير مش هعرف اجيبها تاني .
#رابع Phase بقي الي هي Documentation : و دي من أهم ال Phases بتاعت ال Forensics كلها لأن ال Documentation الي احنا بنكتبه هو الي بيتسجل فيه ال Evidences و هو الي بيتقدم للمحكمة...انت هتحور يا عم هو فيه حاجة اسمها Hack يتقدم للمحكمة ؟! اه طبعاً...الدنيا في ال Cyber Place مش ماشية بالحب زي ما كتير من الناس فاكرة...فيه ناس بتتحبس عشان عملت Hacking علي اي System و العقوبات بتوصل للمؤبد بس دة طبعاً برة...احنا ف مصر لسة معندناش قانون لل Cyber Crime هو معروض علي مجلس الشعب بس كل سنة بياخد تأجيل للنظر فيه...
#خامس Phase الي هي ال Presentation : انك بتعرض بقي كل ال Phases من ساعة ما بدات Identification لحد ما خلصت Documentation و ايه ال Evidences الي انت لقيتها و علي اي اساس قولت ان الشخص دة Criminal و ايه ال Data الي انت عملتلها Acquiring و Acquisition لحد ما وصلت لل Final Result بتاعتك...
نيجي لواحد من الأسئلة ال Technical التقيلة شوية : ايه هي انواع ال Digital Data الي احنا بنعمل عليها Forensics اصلاً ؟!
#أول نوع اسمه Volatile Data : و دي ال Data الي لو حصل اي Event او Action يا اما هتضيع او هتتغير
#تاني نوع اسمه Non-Volatile Data : و دي Static Data مش هتضيع مهما حصل يعني لو قفلت جهازك و فتحته 100 مرة الأفلام الي عليه هتفضل عليه و البرامج الي عليه هتفضل عليه.
#تالت نوع اسمه Fragile Data : دي Data بيحصلها Temporary Saving علي ال Hard و ممكن يحصلها Modification زي ال Data الي موجودة في Folder ال Temp
#رابع نوع اسمه Temp Accessible Data : و دي Data متخزنة علي ال Hard بتستخدم مرة واحدة بس و تضيع بعد كدة زي لما انت تعمل Save State ل أي Vm مجرد ما بتدوس Resume علي ال VM بتضيع ال State الي كانت معمولها Save عليها و مبتقدرش ترجعلها تاني.
#خامس نوع اسمه Active Data : دي ال Data الي مستخدمة في الوقت الحالي في ال RAM عشان ال Operations لي بتتعمل دلوقتي
#سادس نوع اسمه Archival Data : دي بقي ال Data الي معمولها Long Term Storage زي ال Records بتاعت ال Domain Password او ال Local Password لي بيحصلها Save في ال Registry و في ال SAM File مش هتيجي مرة تفتح يقولك لا مفيش Password انهاردة...لا دي موجودة علي طول
نيجي بقي للسؤال حلو : ليه ال Forensics صعبة و ليه ال Investigators مرتباتهم عالية ؟!
فيه Quote عن ال Forensics بتقول It Like Searching for a needle in a
haystack
الي هي بالعربي بدور علي ابرة ف كومة قش...انت ممكن يكون عندك 2 Tera من ال Data الي انت عملتلها Acquiring و تطلع ال Evidences بتاعت ممكن 100 MB بس بعد ما يطلع عينك و تقلب في كل ال 2 Tera دول...
نيجي للجزء ال Technical شوية...ايه هي اكتر ال Tools الي بتستخدم في ال Forensics في ال Cyber Market دلوقتي:
- Logicube Portable Forensic Lab (PFL)
- Forensic Talon, Forensic Dossier
CyberCheck Suite (C-DAC)
- CyberCheck Suite (C-DAC)t (FTK), Sleuthkit
- X-Ways Forensics, X-Ways Trace
- Celldek-Tek, MOBILedit! Forensic, Oxygen
Forensic Suite, Paraben
- CDR-Analyzer (Call Data Record)
- NetworkMiner, Wireshark
- SimCON
- Helix, DEFT, SANS Sift Kit, Matriux.
دي أغلب ال Tools وال Frameworks و ال Platforms لي بيشتغل عليها ال Cyber Investigators.
نيجي للسؤال حلو تاني : ليه ال Digital Crime أصعب من الجرايم العادية ؟!
اول سبب ال Anonymity : ان ال Hackers و ال Cyber Criminals بيكونوا Anonymous علي ال Internet او بيستخدموا Wippers و complex Proxy Chains بحيث ان محدش يقدر يوصلهم ف انك توصل لل Criminal دة شئ صعب جداً
تاني سبب ال Availability : كل الناس عرضة لل Cyber Crime من أول رئيس الجمهورية لحد البنت العادية الي بتنزل صورها علي Instagram
تالت سبب ال Ease of Use : انك سهل اوي تعمل Cyber Crime يعني مثال بسيط بنت منزلة صورتها علي Instagram نزلت انت الصورة حطيتها علي ال Photoshop غيرت فيها بدات تبتز البنت بس خلاص بقت دي عملية Blackmailing زي الفل و ف منتهي السهولة...قيس بقي علي كدة حاجات كتير و اكبر..
رابع و اهم و اصعب سبب الي هو No Geo Limitations : مفيش اي حدود جغرافيا في ال Internet انت ممكن تبتز واحد في اسبانيا و انت قاعد في الهند مثلاً و طبعاً مينفعش تتجاب و هندخل ف اتفاقيات تسليم مجرمين و بلاوي سودة...الفكرة ان اي حد ممكن يعمل اي حاجة ف اي حد من اي حتة و ف اي مكان..
السؤال قبل الأخير : طب و لو مفيش جريمة حصلت انا هفضل قاعد فاضي ؟!
لا طبعاً يا برنس...ال Forensics ممكن تستخدمها ف مجالات تانية و تكون مفيدة جداً زي ال Penetration Testing انت ممكن تعمل Dump لل Ram بتاعت الجهاز الي انت بتعمل عليه Pentest و تعملها Analysis هتلاقي فيها Passwords متخزنة ممكن تلاقي Domain Password او Local Password او اي حاجة انت و رزقك بقي..
و ممكن تستخدم ال Forensics في ال Reverse Engineering عشان تفهم ال Malware اشتغل ازاي و ايه هي ال Work Flow بتاعته و كدة و غيرهم من مجالات تانية ممكن تدخل فيها ال Forensics..
السؤال الأخير و الأهم عند معظم الناس : هل مجال ال Digital Forensics مطلوب !؟
انا مش هقولك انه مجال مطلوب كتير و مش هقولك أرقام انا بس هقولك كل ما تيجي تسأل ال Forensics مطلوبة ولا لا شوف و دور بنفسك علي حجم ال Cyber attacks الي موجودة دلوقتي و الي هتبقي موجودة بعد كدة هتعرف ان العالم كله بيحتاج لل Forensics Investigators كل يوم اكتر من اليوم الي قابله هما و ال Blue Team و هبقي اتكلم في جزء بعد كدة لواحده عن ال Incident Handling عشان دي قصة لواحدها..
بس قبل ما اتكلم عن ال Forensics هتكلم شوية عن مصطلح اسمه ال Cyber Crime...
يعني ايه Cyber Crime ?!
ال Cyber Crime هي اي جريمة بتتم عن طريق استخدام ال Computer من Black Mailing لـ Sensitive Data Exposure لـ Unauthorized Access لـ Spamming لغيرها من كل أشكال ال Cyber Crimes...حلو جداً نخلي المصطلح دة علي جنب عشان هنحتاجه كمان شوية...
نرجع بقي للـ Forensics....يعني ايه Digital Forensics او Computer Forensics او تحقيق جنائي زي ما بيسموه بالعربي ؟!
الـ Forensics هو بيبقي بعد ال Cyber Crime ما بتحصل...بيبقي تحقيق و بيتم تطبيق شوية قوانين و شوية Rules عشان نقدر نجمع كل ال Evidences الي هي الأدلة و نعمل Acquisition و هشرح يعني ايه Acquisition و بعد كدة نوصل لل Cyber Criminal الي عمل ال Cyber Crime دي...
فيه اختصار جميل اوي لامم ال Forensics كلها ف كام حرف الي هو IPEDIP
الي هو بيتنطق بالعربي (اي بي- ديب ) الي هو ايه دة ؟!
دي كل ال Phases الي انا بعملها في ال Digital Forensics من الأول لحد الاخر كل حرف في الكلمة دي ب اختصار لكلمة معينة :
#أول Phase الي هي ال Identification : هنا دي أول Phase ايل هو انا لسة بعمل Identify لل Cyber crime الي حصلت و بشوف ايه الي حصل و لسة بكون بستوعب الموضوع و برتب الفكرة كلها ف دماغي .
#تاني Phase الي هي ال Preservation : هنا بكون خلاص استوعبت الموضوع و بحجز علي ال Cyber Crime Scene الي هو مسرح الجريمة زي ما بيقولوا...مسرح الجريمة في العادي الي هو المكان الي وقعت فيه الجريمة زي القتل و الخطف و السرقة و كدة...اما مسرح الجريمة في ال Forensics الي هو الأجهزة الي تمت عليها ال Crime بكل الي فيها بكل الي حواليها يعني بحجز علي الاوضة الي فيها ال Computer او بحجز علي ال Datacenter الي فيها ال Servers علي حسب الجريمة تمت فين...بحجز عليها يعني مش بخلي اي حد يقرب منها غيري انا طبعاً انا بيبقي اسمي Cyber Crime Investigator
#تالت Phase الي هي ال Extraction او ال Acquisition الي انا قولت هشرحها بعدين : دي ال Phase بتاعت تجميع ال Evidences الي هو بحاول اطلع ال Data من كل ال Physical Devices الموجودة في ال Crime Scene و ال Acquisition لييه نوعين :
أول نوع الي هو ال Static Acquisition : في النوع دة ال Data بتكون Non-Volatile او Static يعني بتكون ثابتة و موجودة دايماً علي الجهاز و اقدر اجيبها ف اي وقت من علي ال Hard
تاني نوع الي هو ال Live Acquisition : هنا انا ببقي مطالب اني اعمل Acquiring لل Live Data الي هي ب اختصار ال Data الي موجودة في ال Registry و ال RAM و ال Cache ايل لو قفلت الجهاز و فتحته هتطير مش هعرف اجيبها تاني .
#رابع Phase بقي الي هي Documentation : و دي من أهم ال Phases بتاعت ال Forensics كلها لأن ال Documentation الي احنا بنكتبه هو الي بيتسجل فيه ال Evidences و هو الي بيتقدم للمحكمة...انت هتحور يا عم هو فيه حاجة اسمها Hack يتقدم للمحكمة ؟! اه طبعاً...الدنيا في ال Cyber Place مش ماشية بالحب زي ما كتير من الناس فاكرة...فيه ناس بتتحبس عشان عملت Hacking علي اي System و العقوبات بتوصل للمؤبد بس دة طبعاً برة...احنا ف مصر لسة معندناش قانون لل Cyber Crime هو معروض علي مجلس الشعب بس كل سنة بياخد تأجيل للنظر فيه...
#خامس Phase الي هي ال Presentation : انك بتعرض بقي كل ال Phases من ساعة ما بدات Identification لحد ما خلصت Documentation و ايه ال Evidences الي انت لقيتها و علي اي اساس قولت ان الشخص دة Criminal و ايه ال Data الي انت عملتلها Acquiring و Acquisition لحد ما وصلت لل Final Result بتاعتك...
نيجي لواحد من الأسئلة ال Technical التقيلة شوية : ايه هي انواع ال Digital Data الي احنا بنعمل عليها Forensics اصلاً ؟!
#أول نوع اسمه Volatile Data : و دي ال Data الي لو حصل اي Event او Action يا اما هتضيع او هتتغير
#تاني نوع اسمه Non-Volatile Data : و دي Static Data مش هتضيع مهما حصل يعني لو قفلت جهازك و فتحته 100 مرة الأفلام الي عليه هتفضل عليه و البرامج الي عليه هتفضل عليه.
#تالت نوع اسمه Fragile Data : دي Data بيحصلها Temporary Saving علي ال Hard و ممكن يحصلها Modification زي ال Data الي موجودة في Folder ال Temp
#رابع نوع اسمه Temp Accessible Data : و دي Data متخزنة علي ال Hard بتستخدم مرة واحدة بس و تضيع بعد كدة زي لما انت تعمل Save State ل أي Vm مجرد ما بتدوس Resume علي ال VM بتضيع ال State الي كانت معمولها Save عليها و مبتقدرش ترجعلها تاني.
#خامس نوع اسمه Active Data : دي ال Data الي مستخدمة في الوقت الحالي في ال RAM عشان ال Operations لي بتتعمل دلوقتي
#سادس نوع اسمه Archival Data : دي بقي ال Data الي معمولها Long Term Storage زي ال Records بتاعت ال Domain Password او ال Local Password لي بيحصلها Save في ال Registry و في ال SAM File مش هتيجي مرة تفتح يقولك لا مفيش Password انهاردة...لا دي موجودة علي طول
نيجي بقي للسؤال حلو : ليه ال Forensics صعبة و ليه ال Investigators مرتباتهم عالية ؟!
فيه Quote عن ال Forensics بتقول It Like Searching for a needle in a
haystack
الي هي بالعربي بدور علي ابرة ف كومة قش...انت ممكن يكون عندك 2 Tera من ال Data الي انت عملتلها Acquiring و تطلع ال Evidences بتاعت ممكن 100 MB بس بعد ما يطلع عينك و تقلب في كل ال 2 Tera دول...
نيجي للجزء ال Technical شوية...ايه هي اكتر ال Tools الي بتستخدم في ال Forensics في ال Cyber Market دلوقتي:
- Logicube Portable Forensic Lab (PFL)
- Forensic Talon, Forensic Dossier
CyberCheck Suite (C-DAC)
- CyberCheck Suite (C-DAC)t (FTK), Sleuthkit
- X-Ways Forensics, X-Ways Trace
- Celldek-Tek, MOBILedit! Forensic, Oxygen
Forensic Suite, Paraben
- CDR-Analyzer (Call Data Record)
- NetworkMiner, Wireshark
- SimCON
- Helix, DEFT, SANS Sift Kit, Matriux.
دي أغلب ال Tools وال Frameworks و ال Platforms لي بيشتغل عليها ال Cyber Investigators.
نيجي للسؤال حلو تاني : ليه ال Digital Crime أصعب من الجرايم العادية ؟!
اول سبب ال Anonymity : ان ال Hackers و ال Cyber Criminals بيكونوا Anonymous علي ال Internet او بيستخدموا Wippers و complex Proxy Chains بحيث ان محدش يقدر يوصلهم ف انك توصل لل Criminal دة شئ صعب جداً
تاني سبب ال Availability : كل الناس عرضة لل Cyber Crime من أول رئيس الجمهورية لحد البنت العادية الي بتنزل صورها علي Instagram
تالت سبب ال Ease of Use : انك سهل اوي تعمل Cyber Crime يعني مثال بسيط بنت منزلة صورتها علي Instagram نزلت انت الصورة حطيتها علي ال Photoshop غيرت فيها بدات تبتز البنت بس خلاص بقت دي عملية Blackmailing زي الفل و ف منتهي السهولة...قيس بقي علي كدة حاجات كتير و اكبر..
رابع و اهم و اصعب سبب الي هو No Geo Limitations : مفيش اي حدود جغرافيا في ال Internet انت ممكن تبتز واحد في اسبانيا و انت قاعد في الهند مثلاً و طبعاً مينفعش تتجاب و هندخل ف اتفاقيات تسليم مجرمين و بلاوي سودة...الفكرة ان اي حد ممكن يعمل اي حاجة ف اي حد من اي حتة و ف اي مكان..
السؤال قبل الأخير : طب و لو مفيش جريمة حصلت انا هفضل قاعد فاضي ؟!
لا طبعاً يا برنس...ال Forensics ممكن تستخدمها ف مجالات تانية و تكون مفيدة جداً زي ال Penetration Testing انت ممكن تعمل Dump لل Ram بتاعت الجهاز الي انت بتعمل عليه Pentest و تعملها Analysis هتلاقي فيها Passwords متخزنة ممكن تلاقي Domain Password او Local Password او اي حاجة انت و رزقك بقي..
و ممكن تستخدم ال Forensics في ال Reverse Engineering عشان تفهم ال Malware اشتغل ازاي و ايه هي ال Work Flow بتاعته و كدة و غيرهم من مجالات تانية ممكن تدخل فيها ال Forensics..
السؤال الأخير و الأهم عند معظم الناس : هل مجال ال Digital Forensics مطلوب !؟
انا مش هقولك انه مجال مطلوب كتير و مش هقولك أرقام انا بس هقولك كل ما تيجي تسأل ال Forensics مطلوبة ولا لا شوف و دور بنفسك علي حجم ال Cyber attacks الي موجودة دلوقتي و الي هتبقي موجودة بعد كدة هتعرف ان العالم كله بيحتاج لل Forensics Investigators كل يوم اكتر من اليوم الي قابله هما و ال Blue Team و هبقي اتكلم في جزء بعد كدة لواحده عن ال Incident Handling عشان دي قصة لواحدها..