التحقيق في جرائم الانترنت

لتحقيق في جرائم الحاسوب

كمال أحمد الكركي
المؤتمر العلمي الاول حول الجوانب القانونية والأمنية للعمليات الإلكترونيةمنظم المؤتمر : أكاديمية شرطة دبي – مركز البحوث والدراسات رقم العدد : 4تاريخ الإنعقاد : 26 /4/2003تاريخ الإنتهاء : 28/4/2003الدولة : دبي – الأمارات العربية المتحدة

المقدمة

مع شيوع استخدام وسائل تقنية المعلومات وتزايد الاعتماد على نظم المعلومات وشبكات الحاسوب وفي مقدمتها الأنترنت، شاعت في السنوات الأخيرة طائفة جديدة من الجرائم التي تستهدف المعلومات وبرامج الحاسوب كالدخول غير المصرح به إلى أنظمة الحاسوب والشبكات والاستيلاء على المعلومات أو إتلافها عبر تقنيات الفيروسات وغيرها من وسائل التدمير المعلوماتي أو جرائم قرصنة البرمجيات والاعتداء على حقوق الملكية الفكرية لمؤلفيها وجهات إنتاج هذه البرامج، وشاعت أيضاً الجرائم التي تستخدم الحاسوب وشبكات الاتصال كوسيلة لارتكاب أنشطة جرمية تقليدية كالاحتيال عبر الحاسوب والتزويرباستخدام التقنيات الحديثة، هذا عوضاً عن طائفة جديدة من الجرائم استخدمت تكنولوجيا المعلومات كبيئة لها، كما في جرائم توزيع المحتوى غير القانوني والضار عبر مواقع الإنترنت وجرائم المقامرة والأنشطة الإباحية عبر الإنترنت أو استثمار مواقع الإنترنت كمخازن للبيانات الجرمية ومواضع لتنسيق أنشطة الجريمة المنظمة وجرائم غسيل الأموال الإلكترونية.

وتشير الإحصائيات أن عدد جرائم الحاسوب في ازدياد مستمر فقد بلغ عدد الجرائم المبلغ عنها في اليابان (810) جرائم لعام 2001مقارنة مع (559) جريمة لعام 2000، وفي الصين بلغ عدد الجرائم المبلغ عنها (4561) جريمة لعام 2001 مقارنة مع (2670) جريمة لعام 2000، وفي كوريا بلغ عدد الجرائم المبلغ عنها (17201) جريمة لعام 2001 مقارنة مع (2190) جريمة لعام 2000، وفي سنغافورة بلغ عدد الجرائم المبلغ عنها (191) جريمة لعام 2001 مقارنة مع (185) جريمة لعام 2001( ).

كما تشير الدراسات إلى أن الخسائر الناجمة عن جرائم الحاسوب في ازدياد مستمر ففي دراسة عن جرائم الحاسوب تجري سنوياً من قبل معهد أمن المعلومات ومكتب التحقيقات الفيدرالي الأمريكي وجد بأن 51% من المشتركين في الدراسة سنة 1999 اعترفوا بأنهم قدروا الخسارة بالأرقام ونتيجة لذلك فإن قيمة الخسائر التي تم التبليغ عنها وصلت إلى (123.779.000) مليون دولار وهي تمثل الجزء الأدنى من الخسائر، وفي نفس الدراسة لسنة 2000 وجد أن 74% من المشتركين اعترفوا بالخسائر المالية الناتجة عن جرائم الحاسوب، وأن 42% قد بلغوا عن خسائر وصلت إلى (265.589.940) مليون دولار( ).

ومثل هذا النوع الخطر من الجرائم (جرائم الحاسوب والإنترنت) أثار على مدى السنوات المنصرمة ويثير الآن تحديات بالغة في حقل أنشطة المكافحة وأنشطة التحقيق والوصول إلى مرتكبيها كما أثار تحديات قانونية وفنية بشأن آليات مباشرة إجراءات التفتيش والضبط والتعامل مع الأدلة الرقمية (الإلكترونية) المتعلقة بهذه الجرائم، وهو ما استدعى جهداً دولياً عريضاً من قبل مؤسسات وهيئات تنفيذ القانون بغية رصد هذه التحديات وتوفير وسائل تذليلها سواء على المستوى الفني أو المستوى التشريعي، وفي تحديد أولي يمكننا تبين التحديات الرئيسة التالية في ميدان تحقيق وكشف جرائم الحاسوب والإنترنت.

• فهذه الجرائم لا تترك أثراً مادياً في مسرح الجريمة كغيرها من الجرائم ذات الطبيعة المادية كما أن مرتكبيها يملكون القدرة على إتلاف أو تشويه أو إضاعة الدليل في فترة قصيرة.

• والتفتيش في هذا النمط من الجرائم يتم عادة على نظم الحاسوب وقواعد البيانات وشبكات المعلومات، وقد يتجاوز النظام المشتبه به إلى أنظمة أخرى مرتبطة، وهذا هو الوضع الغالب في ظل شيوع التشبيك بين الحواسيب وانتشار الشبكات الداخلية على مستوى الدول، وامتداد التفتيش إلى نظم غير النظام محل الاشتباه يخلق تحديات كبيرة أولها مدى قانونية هذا الإجراء ومدى مساسه بحقوق الخصوصية المعلوماتية لأصحاب النظم التي يمتد إليها التفتيش.

• كما أن الضبط لا يتوقف على تحريز جهاز الحاسوب فقد يمتد من ناحية ضبط المكونات المادية إلى مختلف أجزاء النظام التي تزداد يوماً بعد يوم، والأهم أن الضبط ينصب على المعطيات والبيانات والبرامج المخزنة في النظام أو النظم المرتبطة بالنظام محل الاشتباه، أي على أشياء ذات طبيعة معنوية معرضة بسهولة للتغيير والإتلاف، وهذه الحقائق تثير مشكلات متعددة، منها المعايير املقبولة للضبط المعلوماتي ومعايير التحريز إضافة إلى مدى مساس إجراءات ضبط محتويات نظام ما بخصوصية صاحبه وإن كان المشتبه به – عندما تتعدى أنشطة الضبط إلى كل محتويات النظام التي تضم عادة معلومات وبيانات قد يحرص على سريتها أو أن تكون محل حماية بحكم القانون أو لطبيعتها أو تعلقها بجهات أخرى.

• وأدلة الإدانة ذات نوعية مختلفة، فهي معنوية الطبيعة كسجلات الحاسوب ومعلومات الدخول والاشتراك والنفاذ والبرمجيات، وقد أثارت وتثير أمام القضاء مشكلات جمة من حيث مدى قبولها وحجيتها والمعايير المتطلبة لتكون كذلك خاصة في ظل قواعد الإثبات التقليدية.

إذن فإن البعد الإجرائي لجرائم الحاسوب والإنترنت ينطوي على تحديات ومشكلات جمة، عناوينها الرئيسة، الحاجة إلى سرعة الكشف خشية ضياع الدليل، وخصوصية قواعد التفتيش والضبط الملائمة لهذه الجرائم، وقانونية وحجية أدلة جرائم الحاسوب والإنترنت، والحاجة إلى تعاون دولي شامل في حقل امتداد إجراءات التحقيق والملاحقة خارج الحدود، وهذه المشكلات كانت ولا تزال محل اهتمام الصعيدين الوطني والدولي.


• هدف الدراسة وغرضها :
انطلاقاً من الأهمية البالغة لهذا الموضوع على نحو ما أوضحنا فيما تقدم، تبين أن هناك حاجة للبحث المتعمق في المسائل العملية المتصلة بتحقيق وإثبات جرائم الحاسوب، لذا فإن هذه الدراسة تنصب على سبر غور المسائل الفنية والقانونية ذات الصلة بتحقيق وإثبات الجرائم الحاسوب، وتهدف إلى تحديد منضبط لأبرز صور جرائم الحاسوب والإنترنت في ضوء ما وصلت إليه الدراسات الجنائية المتخصصة من تطور على مدى السنوات الأخيرة في هذا الحقل، وتهدف إلى الوقوف على التحديات التي يواجه التحقيق في هذا النمط المستجد من الجرائم، كما تسعى إلى بيان الأصول العلمية والعملية لإجراءات التحقيق في البيئة الرقمية.

• إشكالية / مشكلة الدراسة :
إن التحقيق في جرائم الحاسوب والإنترنت موضوع مستجد، لم يحظ بعد بالاستقرار في مسائله على النحو الذي حظيت به أنشطة التحقيق في الجرائم التقليدية، لذا تتحدد مشكلة الدراسة الرئيسة بعدم توفر المعايير القياسية لما يعد صائباً وما لا يعد كذلك في ميدان التعامل مع هذه الجرائم وأنشطة مكافحتها، ويرتبط بالإشكالية الرئيسة أيضاً غياب الخبرة الفنية الملائمة للتحقيق في جرائم الحاسوب وغياب الأدوات التشريعية التي تتيح أمكنة توجيه هذا النشاط، لهذا فإن غرض الدراسة الرئيس السعي لتقديم أجوبة ملائمة – بتوفيق من الله ومشيئته – للأبعاد الرئيسة والفرعية لهذه الإشكالية.

• فرضيات الدراسة ومنطلقاتها:
هل يمكن أن تنطلق الدراسة هذه في محاولتها للوصول إلى أجوبة ملائمة للإشكالية الرئيسة من مجرد فرضية الكفاءة والفعالية في أنشطة مكافحة جرائم الحاسوب؟؟ إن هذه الفرضية وإن كانت محدداً هاماً بل وهدفاً لأجهزة إنفاذ القانون فإنها ستؤدي بالضرورة إلى نتائج قد تعارض مشروعية أنشطة التحقيق، لذا فإن الفرضيات التي تحكم تقديم الحلول للمشكلات المثارة تتمثل بما يلي :

• التحقيق بما يتضمنه من أنشطة التفتيش والضبط والتعامل مع الأدلة يخضع للمشروعية القانونية من حيث التقيد بما يقرره القانون لصحة وقانونية وسلامة هذه الإجراءات.
• التحقيق في البيئة الرقمية محكومة باحتياجات وقواعد وإجراءات تختلف عن التحقيق في بيئة الجرائم المادية التقليدية، سواء من حيث طبيعة السلوك الإجرامي أو من حيث طبيعة الدليل أو وسائل وآليات كشف الجريمة والوصول إلى الدليل الملائم لإثباتها.
• فعالية أنشطة التحقيق في هذا النمط من الجرائم رهن بتوفر الدراية الفنية والقانونية معاً لدى جهات مباشرة التحقيق، وهي دراية متخصصة لا يقتضيها فقط سلامة إجراءات التحقيق بل تتطلبها خطط تفعيل وتطوير أداء الجهة التي تمارسها.
• إن التحقيق في هذا النمط من الجرائم محكوم بعدم المس بالخصوصية المعلوماتية، أي حماية البيانات الشخصية المتعلقة بالحياة الخاصة المخزنة في نظم المعلومات والشبكات وحماية الأسرار التجارية للمنشآت محل الإجراءات التحقيقية. إن هذه الفرضيات الرئيسة محددات لازمة للحلول والأصول المقترحة، وتجاوز أي منها يجعل نتائج وتوصيات التعامل مع تحقيق جرائم الحاسوب مهدد بخطر عدم الملائمة وعدم الفعالية ومخالفة الشرعية.

• منهج الدراسة ومرجعياتها :
تعتمد الدراسة المنهج التحليلي التطبيقي، حيث تعرض للجوانب المتصلة بالمسألة مدار البحث ليصار إلى تحليلها والتوصل للحل أو الموقف منها في ضوء الاحتياجات العملية والتطبيقية وفي ضوء الأحكام الموضوعية الفنية والقانونية، وتستند مادة الدراسة من حيث مرجعياتها إلى أحدث الكتب والمؤلفات العربية والأجنبية في هذا الموضوع وإلى مجموعة واسعة من المقالات والأبحاث والتقارير والحالات التطبيقية والمنشورة على المواقع المتخصصة على الإنترنت.

• معيقات الدراسة:
إن أبرز عائق أمام هذا النوع من الدراسات الحاجة إلى تغطية المسائل من زاويتين الأولى فنية والثانية قانونية، وهو ما يتطلب الإحاطة بجانبي الدراسة توخياً لدقة الحلول والنتائج، إضافة إلى مشكلة قلة المراجع العربية المتخصصة، وقد ساعد في تجاوز هذا العائق توفر عدد جيد من المراجع الأجنبية والدراسات والمقالات المنشورة في مواقع هامة على شبكة الإنترنت.

• هيكلية الدراسة وموضوعات البحث:
إن تناول موضوع الدراسة الرئيس يتطلب ابتداء التمهيد لها بإستعراض موجز لماهية الحاسوب والإنترنت والقواعد القانونية العامة للتحقيق وتحديد عام لمشكلات التحقيق في جرائم الحاسوب وهذا ما سيكون محلاً للفصل الأول باعتبار هذه الموضوعات مدخلاً موضوعياً يحتاجه القارئ الكريم غير المحيط بالأبعاد الفنية أو القارئ الفني غير المحيط بالأبعاد القانونية.

وليتحقق بحث التحقيق في جرائم الحاسوب لا بد من تحديد منضبط لأنماط جرائم الحاسوب وصورها، وهو ما سيكون محلاً للفصل الثاني بغية تحديد المحل الموضوعي لأنشطة التحقيق الجنائي.

وفي الفصل الثالث فإننا نتناول موضوع التحقيق في جرائم الحاسوب من الزاويتين النظرية والعملية عبر إيراد التحديات على نحو تفصيلي وإيراد الجوانب الإرشادية اللازم توخيها لدى التحقيق في هذا النمط من الجرائم.

الفصل الأول
محددات عامة حول الحاسوب والإنترنت
ومشكلات التحقيق في البيئة الرقمية

المبحث الأول: الحاسوب والإنترنت.
المبحث الثاني: القواعد العامة في التفتيش الجنائي وضبط الأدلة وتحديات التعامل مع الأدلة الرقمية.

تمهيد وتقسيم :
يهدف هذا الفصل إلى توفير مدخل موضوعي لموضوع الدراسة، إذ ثمة حاجة لمعرفة غير المتخصص تقنياً بالمسائل الرئيسة حول وظائف أجزاء الحاسوب الرئيسة ذات الصلة بالأدلة الرقمية وكذلك المسائل الرئيسة ذات الصلة بالإنترنت من حيث ماهيتها وتطبيقاتها وفوائدها في حقل إنفاذ القانون (المبحث الأول)، وكذلك ثمة حاجة لمعرفة غير المتخصص قانوناً بالقواعد العامة للتفتيش والضبط الجنائيين وأبرز التحديات المتصلة بالتحقيق في جرائم الحاسوب (المبحث الثاني)، كل ذلك بغية تسهيل بسط الأحكام والوسائل القانونية والتقنية التي ستتناولها فصول هذه الدراسة.

المبحث الأول
الحاسوب والإنترنت

في هذا المبحث نبين وظائف أجزاء الحاسوب الرئيسة ذات الصلة بالأدلة الرقمية (المطلب الأول)، وللوقوف على مسائل الإنترنت الواسعة والمتشابكة في حدود ما تتطلبه هذه الدراسة، لا بد من تبين ماهية الإنترنت وأنظمتها وتطبيقاتها الشائعة، والوقوف بإيجاز على فوائد ومزايا الإنترنت في حقل إنفاذ القانون (المطلب الثاني).

المطلب الأول: وظائف أجزاء الحاسوب الرئيسة ذات الصلة بالأدلة الرقمية( ):
في كل مرة يتم فيها تشغيل الحاسوب يجب أن تتعرف على أجزائه الداخلية والطرفيات Peripherals، وعملية البدء هذه تسمى Boot وهي تتكون من ثلاث مراحل أساسية: إعادة تجهيز وحدة المعالجة المركزية CPU وفحص التشغيل الذاتي POST وبدء التشغيل من القرص Disk Boot.

1. وحدة المعالجة المركزية:
وهو محور اي جهاز حاسوب، وكل شيء يعتمد على قدرة CPU على معالجة الأوامر التي تتلقاها، ولذلك فإن أول مرحلة في عملية Boot هي إعادة تجهيز Reset لوحدة المعالجة المركزية بواسطة نبضة إلكترونية والتي تم توليدها عند ضغط زر التشغيل. وحالما يتم تشغيل CPU يتم تشغيل نظام المدخلات والمخرجات الأساسي BIOS.

2. نظام المدخلات والمخرجات الأساسي BIOS
يتعامل هذا النظام مع حركة المعلومات داخل الحاسوب، فكل برنامج تشغله على الحاسوب يستخدم هذا النظام للاتصال مع (CPU).

3. فحص التشغيل الذاتي:
وهذا برنامج ضمن BIOS يقوم ببدء الأجزاء الأساسية للحاسوب، وعندما يقوم CPU بتشغيل BIOS يتم أيضاً بدء برنامج POST والذي يقوم بدوره بالتأكد من أن جميع أجزاء الحاسوب تعمل بشكل صحيح بما في ذلك سواقات الأقراص Disk drives والشاشة والذاكرة RAM ولوحة المفاتيح.


4. نظام التشغيل Operating System : وهو الواجهة Interface بين الحاسوب والعالم الخارجي، ويكون نظام التشغيل عادة على قرص مرن أو قرص صلب أو قرص مدمج، لذلك عندما يقوم الحاسوب بتحميل نظام تشغيل فيبحث عن هذه الأقراص بترتيب معين حسب الإعداد Configuration ويقوم بتحميل أول نظام تشغيل يجده .
5. قرص الحاسوب Computer Disk:
عند إجراء عملية تجهيز أقراص الحاسوب لأول مرة Format يتم تقسيمها إلىSectors و Tracksوأي مجموعة من Sectors تسمى Cluster وهي وحدة التخزين الأساسية في القرص. وعندما تقوم بتخزين ملف يأخذ حجماً أقل من Cluster واحد فإن الملفات الأخرى لن تستخدم الفراغ الإضافي فيه، وبمعنى آخر حالما يحتوي Cluster على معلومات فإنه يتم حجزه بالكامل، وهذا يشبه نظام طاولات المطعم إلى حد ما، فإذا جلس ثلاثة من الناس على طاولة فإن الطاولة تحجز حتى يغادروا، وإذا جلس معهم شخص رابع غريب فلربما يشاركهم الوجبة. ونفس الفكرة موجودة في الحاسوب فإذا تم وضع معلومات إضافية في جزء غير مستخدم من Cluster فإن المعلومات الجديدة قد تتداخل مع المعلومات القديمة وكل قرص حاسوب يحتفظ بسجل للمعلومات في كل Cluster وعند شطب ملف فإن المرجع إلى ذلك الملف يتم شطبه من السجل ولكن المعلومات نفسها لا تشطب لذلك بالإمكان استرجاع ملف بعد شطبه، وحتى عند إعادة الكتابة على الملف المشطوب وإذا لم يأخذ الملف الجديد جميع الـ Cluster يمكن أن يبقى جزء من الملف القديم وأن يتم استرجاعه بعد شطبه وإعادة الكتابة عليه.

المطلب الثاني
ماهية الإنترنت وأنظمتها وتطبيقاتها الشائعة
1. ماهية شبكة الإنترنت :
إنها شبكة كمبيوتر معينة تتيح الاتصال لملايين الحواسيب وآلاف الشبكات الصغيرة في أنحاء العالم باستخدام نفس تقنية الاتصال التي تبث عبر خطوط الهاتف والميكروويف والأقمار الفضائية.

وجميعها تبث المعلومات عبر ما يعرف بـ TCP/IP بروتوكول التحكم بالبث وبروتوكول الإنترنت، بكلمات بسيطة هي تقنية تتيح لكافة الشبكات والأنظمة أن تتحدث إلى بعضها البعض. والمعلومات تنتقل في الإنترنت في حزم Packets وتمر في أي جزء من الإنترنت حيث الحركة هادئة( ).

عندما تدفع لحساب الإنترنت فإن المال الذي تدفعه يشتري حق الوصول، وفعلياً فإنك تستأجر الحق باستخدام اتصال الإنترنت الخاص بمؤسسة كبيرة تملك المصادر المالية والتقنية لتأسيس إتصال مستمر ومباشر للإنترنت.

2. من يملك الإنترنت ويتحكم بها ويديرها؟؟
ليس ثمة شخص أو مؤسسة تملك الإنترنت، إن شبكات الكمبيوتر تخص حكومات وشركات ومؤسسات ومنظمات وأشخاصاً، كلهم يؤلفون الإنترنت وهم يملكون أجزاءهم الفردية فقط، وهذا يعني أنه لا يوجد من أو ما يتحكم بها أو يديرها لوحده، مع أنه هناك مؤسسات معينة تتفق على تقنيات مشتركة وتخصيص العناوين ولكن لا يوجد سلطة قوية مركزية لإدارتها.
إن قلة ومحدودية السيطرة المركزية أو التحكم يؤدي إلى قوة الإنترنت وجذبها، وهو السبب الرئيسي لنموها الهائل ووصولها واستخدامها في أنحاء العالم. وكنتيجة مباشرة، إذا تم الارتباط بالإنترنت عبر أي وسيلة فإن خدماتها تصبح في متناول المستخدم.
3. ما هي الإنترانت Intranet:
الإنترانت عبارة عن إنترنت داخلية، وهي تستخدم نفس تقنية الاتصال وبرنامج التشغيل وكلها تمثل حلقة مغلقة ضمن الإنترنت الأوسع. وربما تكون مقتصرة على نفس تنظيم الشركة وتشمل روابط لشبكات ذات علاقة بها، ولكن لا يمكن الوصول إليها من الخارج كما لا يمكن الوصول إلى الأنترنت عبرها. ومع ذلك فإن هناك اتجاهاً متزايداً حيث تسمح الإنترانت بالوصول إلى الإنترنت الأوسع عبر كومبيوترات بعيدة التي تستخدم تكنولوجيا "Firewall" وهو عبارة عن نظام أمن وتصفية لإيقاف الوصول غير المرغوب به من وإلى الشبكة المغلقة.

4. أنظمة الإنترنت :
يقصد بأنظمة الإنترنت الأدوات الرئيسة لعمل الإنترنت وتطبيقاتها في الاستخدام، وسنقف تالياً على هذه الأنظمة بشيء من التفصيل، وعلينا أن ندرك أنه كلما تقدمت التكنولوجيا فإن كل مجال من المجالات التكنولوجية سوف تتفاعل مع بعضها، والحدود أو الفروقات فيما بينها سوف تمحى، وهناك العديد من البرامج التي يتم طرحها وتطويرها باستمرار( ).
أولاً: البريد الإلكتروني : e-mail

أ. ما هو البريد الإلكتروني :
وهو عبارة عن معلومات إلكترونية تكون عادة بشكل كتابي أو بياني يمكن أن يرسل من مستخدم إلى آخر وهو شبيه تقريباً بالبريد التقليدي ولكنه أسرع وقليل التكلفة عند استخدامه( ).

عادة عندما يرسل البريد ليس هناك سجل فوري فيما إذا كان قد وصل وجهته، وعلى الرغم من ذلك فإن معظم برامج البريد الإلكتروني التجارية سوف تعيد الرسالة الأصلية إلى المرسل إذا لم يكن ممكناً تسليمها إلى مستقبلها، وأي خطأ بسيط في التهجئة الصحيحة والدقيقة لعنوان الإنترنت – كما هو الأمر في نظام الهاتف – سيكون قاتلاً بحيث أن الرسالة لن تصل مستقبلها.

البريد الإلكتروني في الإنترنت مصمم للنصوص فقط ولذلك لا يمكن أن يتعامل مع ملفات ثنائية (ملفات كبيرة عادة تتكون من برامج حاسوب ورسومات) ولذلك قبل إرسال مثل هذه الملفات يتم تحويلها إلى شكل نص بواسطة أساليب (برامج) متعددة، ومن أكثر هذه البرامج شيوعاً BINAEX و UUENCODE و MIME، فإذا شاهدت هذه المصطلحات في البريد الإلكتروني أو مكان آخر فإنه من الأكيد أن الرسومات وبرامج الحاسوب تم تحويلها لنقل عبر الإنترنت وليس من الضروري الفهم العميق لهذه البرامج لأنها عادة مدمجة في معظم برامج البريد الإلكتروني أو يمكن إنزالها مجاناً على الإنترنت، المهم في الموضوع هو أنه عندما تذكر هذه البرامج في طلب أو توجد ضمن مادة مستخدمة ربما تدل على أن الهدف إرسال ملفات أكبر، وهذا عادة يبرر أي فحص أو تدقيق.


ب. ما الذي يمكن الإفادة منه مع البريد الإلكتروني:
إن البريد الإلكتروني وفي عدة أحيان يحتوي بنوداً تسمى (محتويات) أو (مرفقات الملف) وهي تشبه إرسال رسالة مع صور أو مواد أخرى في المغلف هذه المواد في لغة الحاسوب يمكن أن تشمل الإباحية قرصنة البرامج، برامج الحاسوب، الصوت، أفلام الفيديو، فيروسات، ..........الخ.

ج. كيف يعمل البريد الإلكتروني :
عندما يرسل مستخدم الإنترنت رسائل بالبريد الإلكتروني فإنها سوف تنتقل إلى مزود خدمات الإنترنت. ويقوم الحاسوب المصمم للتحكم بالبريد بإيصال المعلومات إلى أحد أجهزة الحاسوب والموظفة لخدمة البريد والواقعة في مناطق معينة من الإنترنت، وهذه بدوره سيرسل المعلومات قريباً من وجهتها المقصودة، وحالما تصل المعلومات حاسوب البريد المستقبل فإنها تستقر هناك حتى يتفقد الشخص "صندوق بريده" ليبحث عن البريد الإلكتروني أو إذا كان هناك برنامج تلقائي بحيث يخبر المستقبل أنه قد ورد إليه بريد وثم سيستلم البريد.
د. كيف تقرأ أو تفهم البريد الإلكتروني :
يأتي البريد الإلكتروني على شكلين (البريد الإلكتروني) الذي يصمم ويبث إلكترونياً ويخزن من قبل الحاسوب على قرص صلب أو مرن، و(النسخة الورقية) التي يختار المرسل أو المستقبل أو أي شخص أن يطبعها، ومن المهم أن نلاحظ أن هناك نسختين مختلفتين لكل من البريد الإلكتروني والنسخة الورقية، النسخة البسيطة يمكن أن تشاهدها عند كتابة أو استقبال البريد في برنامج بريد الإلكتروني، وبالضرورة فإن برنامج البريد الإلكتروني يزيل الكثير من الإجراءات التي تحتاج إلى استعالها، النسخة المفصلة والتي تعطي تفصيلاً عن مواضيع مثل نوع برنامج البريد الإلكتروني الذي تمت الكتابة بموجبه وكيف وصلت الرسالة من (أ – ب) وأوقات الإجراء..........الخ.

هـ. ما هي النسخة البسيطة Simple version لرسالة البريد الإلكتروني :
في كلا الشكلين الإلكتروني والورقي فإن النسخة البسيطة ستعطي معلومات أساسية عن مصدر الرسالة ولمن أرسلت والوقت والتاريخ وثم جسم الرسالة، وهذه النسخة عادة تخزن في صندوق بريد برنامج البريد الإلكتروني وتعطي معلومات أكثر من كافية للاستخدام اليومي حيث أن أكثر المستخدمين لا يرغبون أن يعرفوا عن أصول البريد الإلكتروني.

و. ما هي النسخة المفصلة :
هذا النوع من البريد الإلكتروني عادة يوجد في بيئة ملفات الحاسوب تحت مستوى التشغيل وعادة في ملفات مثل inbox .mbx و mbx, outbox .mbx هي مثال على ملف صندوق بريد وهناك أنواع أخرى، وعند البحث عن هذه الملفات من الأفضل استشارة شخص كفؤ في برنامج البريد الإلكتروني، ومثال هذه الملفات عادة تحتوي على معلومات تفصيلية تحت واحد أو أكثر من المجالات Headings التالية:

1. الممر : Path
هذا سيفصّل الطريق الذي سلكه البريد من المرسل إلى المستقبل. وعلى سبيل المثال فإن Path سيصف الكمبيوترات والشبكات التي سلكها البريد الإلكتروني ليصل إلى وجهته المقصودة، وهذا يمكن أن يساعد الفاحص خصوصاً أين انتقل البريد الإلكتروني عبر الشبكة الداخلية، وهذا الممر من الممكن أن يترك أثراً ممتازاً ليدل على المصدر الأصلي.
2. العنوان الصادر (المرسل) Originating address
هذا سوف يفصل العنوان الفعلي للمرسل الأصلي ولكن يأخذ بعين الاعتبار مواضيع ذات صلة بذلك مثل كيفية إخفاء أو تزوير الهوية على الإنترنت.

3. علامات الوقت والتاريخ:
هذا المجال يحدد مناطق التوقيت وتاريخ دخول البريد الإلكتروني إلى الإنترنت لأول مرة، وذلك يعطينا معلومات مهمة عند محاولة تأكيد وقت ومكان صدور البريد. ولكن يجب أن ندرك أن العديد من الأنظمة تستعمل GMT توقيت غرينتش – لندن/إنجلترا لتحديد علامات الوقت والتاريخ بغض النظر عن أي مكان في العالم يتم استعمال نظام البريد الإلكتروني فيه.

4. رقم تمييز الرسالة :
هذا الرقم يمثل الرقم المرجعي المميز لتلك الرسالة، وربما يحمل معلومات عن البرنامج الفعلي للبريد الإلكتروني مثل نوع البرنامج المستخدم لجمع وإرسال البريد الإلكتروني. وهو مفيد أيضاً عندما يحتاج مصدر البريد إلى تحقق أو عندما يطلب دليل الإثبات.

5. جسم الرسالة :
ربما تكون في نص بسيط ومقروء، ومعظم البريد يشفّر بواسطة برنامج الإلكتروني في أشكال مثل UUENCODEMIE ، BINHEX والتي تسمح ببث النص عبر الإنترنت.

وكقاعدة عامة فإن الرسالة التي تحتوي على سطور قليلة (ما بين 10-20) ستكون على شكل نص text file، أما الرسائل التي تحتوي على مئات أو آلاف السطور فستكون صوراً graphics وصوتاً أو برنامج حاسوب.

6. المرفقات :
هذه يمكن أن تحتوي على برامج أو ملفات ويمكن أيضاً أن توجد بشكل مفصّل أو أن تختصر (تضغط)، ويعد أسلوب المرفقات هو أفضل وسيلة لإرسال الملفات الكبيرة بواسطة البريد الإلكتروني.

ثانياً: مجموعة الأخبار : Newsgroups "Usenet"
هي شبكة مشتركة من مجموعات حوار الحاسوب حيث من الممكن عرض وإرسال وإنزال البريد الإلكتروني ويشمل النص والصورة والفيلم والصوت وبرامج الحاسوب.

هذا المجال مشابه من حيث السياق إلى IRC ولكنه فيه صندوق بريد ثابت حيث يرسل المستخدم ويقرأ البريد وبرنامج الحاسوب وملفات الرسومات والصوت......الخ، وذلك في أنواع عديدة من الموضوعات.



ثالثاً: بروتوكول نقل الملفات: FTP
يسبق قسم الشبكة من الإنترنت، وهو أساساً شبكة من آلاف مواقع الحاسوب التي تقع في أنحاء العالم والمجهزة للسماح بالوصول عن بعد remote access، وقد نشأت أصلاً في المجتمع الأكاديمي والأبحاث وهي مصدر لا زال مستخدماً ولو أنها ذات مدى أقل من الشبكة web، وكل موقع من FTP يحتوي على معلومات يمكن تنزيلها مجاناً، ومن ضمنها عدد كبير من المصادر تشمل الأعمال الأدبية، المكتبات الصورية، أرشيفات برنامجية، الأوراق الحكومية والقانونية، الموعد الاقتصادي والكثير الكثير، وتبقى أفضل وسيلة لنقل الملفات الكبيرة عبر الإنترنت( ).

رابعاً: الشبكات الخاصة – تلنت Telnet
التلنت Telnet برنامج شبكة يتيح للمستخدم أن يدخل ويعمل على الحواسيب الأخرى المتصلة بشبكة معينة وليست شرطاً بالإنترنت كله، وهو يعمل مع بروتوكول الإنترنت وبروتوكول التحكم بالبث TCP/IP وهو البرنامج الذي يتيح للأنظمة الأخرى في الإنترنت أن تتصل ببعضها، ويمكن استعماله للدخول في نظام آخر عندها يقدر المستخدم على الوصول وتشغيل البرامج والخدمات التي قد لا توجد في حاسوبهم.

خامساً: الشبكة العالمية World Wide Web "WWW"
إنها بدون شك أكثر جزء محبب من الإنترنت للمستخدم الجديد وهي أساساً شبكة تتكون من ملايين المواقع تتصل ببعضها باستعمال برنامج بياني، ويمكن تشبيهها بكتالوج ضخم من المعلومات الحية والمتفاعلة مع بعضها، ومن السهل الانتقال من موقع إلى آخر بغض النظر عن الموقع أو البلد أو مناطق التوقيت، وكل موقع على الشبكة يمكن أن يحتوي على تنظيم مدهش من المعلومات عن أي موضوع وقد يحتوي على خليط من النص والرسومات وملفات الصوت. وكل موقع على الشبكة يقع على حاسوب شخصي أو حاسوب يكون جزءاً من شبكة أو يخص مزود ISP، وهي عبارة عن قاعدة معلومات تقدم بطريقة معينة ولغة تسمى html وهي وسيلة بيانية ووتوثيقية جداً لعرض المعلومات.

سادساً: محادثات الإنترنت على مراحل IRC Internet Relay Chat
أساساً هي شبكة حية من قنوات الحوار، وفي أي وقت هناك الآلاف من القنوات الفاعلة، وهناك ثلاثة أنواع من: IRC
• عامة : متاحة لجميع المستخدمين.
• خاصة : يمكن مشاهدتها ولكن وصولها مقيد.
• سرّية: ليست معلنة بشكل عام ووجودها مرهون عن طريق الشيفرة الصوتية word of mouth وكل قناة لها اسم ورقم أو كلاهما أو حتى رموزاً، هي دائما تسبق بالرمز (#) والذي يحدد اسم/رقم القناة.




سابعاً: هاتف الإنترنت Internet Telephone
وهو عبارة عن برامج حاسوب طورت لتتيح للمستخدم أن يتحدث مع الآخرين عبر الإنترنت، والفائدة هي أن المستخدمين يستطيعون التحدث إلى بعضهم في أنحاء العالم عبر الإنترنت بتكلفة مكالمة هاتفية عادية، وهناك الآن ثلاثة أنظمة مختلفة( ):

• النظام الأول: يسمح للمستخدمين، والذين يملكون معدات وبرنامج حاسوب بالاتصال ببعضهم عبر نظام طلب مباشر.
• النظام الثاني: هنا المستخدمون يحتاجون إلى معدات حاسوب وبرنامج فيه النشاط الهاتفي يحدث عبر القنوات كمثل قنوات IRC ولكنها اتصالات صوتية.
• النظام الثالث: هنا يحتاج المستخدم لمعدات حاسوب وبرنامج، هذا المتصل يرتبط بموقع شبكة تجاري معين، المكالمة الهاتفية تسير إلى أقرب مقسم للمستقبل ومن ثم إليه.

هذه الأنظمة الثلاثة لها نفس الهدف: تقليل تكلفة المكالمات البعيدة وتقليل الاعتماد على النظام الهاتفي التقليدي.

ثامناً: تفسير بعض المختصرات الشائعة في بيئة الإنترنت وأنظمتها :
HTML وتعني Hyper Text Mark-up Language وهي لغة الحاسوب التي تكتب بها مواقع الشبكة وهي أساساً خليط من النصوص والرسومات وهي تجسيد تفاعلي حيث يبدو أحياناً حياً.

URL وتعني Uniformed Resource Locator وهو امتداد لنظام عناوين الإنترنت، وهو يحدد جميع المعلومات الضرورية لشخص وهو يحدد عنوان بريدك الإلكتروني وموقع الشبكة وموقع FTP وعناوين مجموعة الأخبار:
HTTP* Hyper Text Transfer Protocol)

وهو بروتوكول تكنولوجي والذي يتحكم بالوصول إلى كل العناوين المختلفة في الشبكة ويجب أن تضع هذا في مقدمة كل عنوان لمواقع الشبكة .HTTPS وهي شكل آمن من HTTP.

استخدامات وفوائد شبكة الإنترنت في ميدان تطبيق القانون( )

1. استخدامات الإنترنت في حقل إنفاذ القانون؟

أ. كمصدر للمعلومات والاستخبارات :
الشبكة تحتوي على تنظيم شاسع من المواقع التي تقدم معلومات عن أي موضوع معروف للإنسان، المشكلة التي يواجهها كثير من المستخدمين هي كيفية إيجاد معلومات محددة بدون قضاء وقت طويل للبحث عنها، أسهل طريقة لتجاوز هذه الصعوبات هي الإلمام بالبواحث search engines والمنتشرة باتساع على الشبكة، هناك تقريباً ألف باحث متوفر، وبكلمات أخرى فهي تقدم الوسيلة التي نجد بها المعلومات.

ب. كمصدر لدلائل الجريمة :
العديد من مواقع الشبكة تستعمل من قبل الكثير من المنظمات الإجرامية والثائرة على السلطة والأفراد المتورطين في الأشكال المختلفة من النشاط الإجرامي. مثل هذه المعلومات الموجودة على موقع معين تحتوي على دليل مباشر على نشاطهم أو على الأقل الأماكن الأخرى حيث يوجد مثل هذا النشاط بالإضافة إلى ذلك، فإن العديد من المواقع تخزن المعلومات تلقائياً عن الزيارات التي تلقتها من مستخدمي الإنترنت، وهذه المعلومات تكون عبارة عن وقت وتاريخ الزيارة وعنوان المستخدم.
وربما تمتد هذه المعلومات لوصف ماذا فعل المستخدم عندما زار موقع، أي تنزيل المعلومات أو البريد الإلكتروني الذي استعمله مع الموقع.

ج. وسيلة ديناميكية للإعلام بين الشرطة والجمهور:
وذلك لإعلام الجمهور عن خدمات الشرطة، عن هيكلها وأهدافها وإنجازاتها، ويمكن تطويره لاستلام تقارير من المواطنين عن الجرائم والآراء والاتجاهات والأفكار التي تختص بمشكلات اجتماعية معينة على سبيل المثال فإن شرطة دورسيت في المملكة المتحدة وبالتعاون مع محطة إذاعة تضع الحوادث الجرمية على موقع على شبكة( ).

د. وسيلة إتصال :
لا شك بأن الإنترنت هو نظام اتصال عالمي سريع وفعال ويمكن استغلاله في عدة طرق مختلفة، أنه قليل التكلفة وسهل الاستخدام ولا يكلف أكثر من مكالمة محلية تلفونية، ويستطيع أن يقدم وسيلة بديلة للإبلاغ عن الجريمة على الشبكة وإعطاء المعلومات حول نشاط مجرم أو مشتبه به بواسطة مبادرات مثل مانعي الجرائم.

وبما أن تكنولوجيا الشيفرة تتطور فإن الإنترنت وسيلة ممتازة للاتصال بشكل خفي وإعطاء المعلومات بدون كشف الاسم وفوق ذلك فهو سهل الاستخدام لأن جميع التقنيات والأنظمة الموجودة تصمم لتدار بنفس الطريقة.

هـ. وسيلة لاكتساب المعلومات والمعرفة:
وهو أداة بحث قوية وممتازة يزداد استعمالها باستمرار من قبل الحكومات ورجال الأعمال، وهو يؤمن الوصول إلى كميات لا تعد ولا تحصى من المعلومات وكل ذلك ضمن بيئة آمنة وسليمة أمنياً.


و. وسيلة استخبارات ودليل على نشاط المجرم والمشتبه به:
يمكن استعمال الإنترنت لمراقبة النشاط الجرمي للأفراد والجماعات والمشتبه بهم في مجالات مثل مواقع الشبكة و newsgroups ومحادثات الإنترنت بالترحيل IRC أن المعلومات والأدلة يمكن الحصول عليها من جميع تلك المجالات ذات الصلة.

2. كيف تتوفر المعلومات؟
عندما تتصل بموقع على الشبكة فإن حاسوبك تلقائياً ينزل أجزاء من المعلومات على الموقع والذي بدوره يضعها في "مخبأ" مؤقت على حاسوبك، وهذا سيسرّع العملية إذا اتصلت بالموقع مرة أخرى. ومن الممكن تنزيل المحتويات بأ كملها على موقع شبكة، وهذه عملية معقدة نسبياً ويجب أن يقوم بها شخص كفؤ، وتستطيع أن توفر المعلومات بواحدة من طريقتين.

• في "html" فإنك ترى الشكل البياني على الشاشة، هذا سينسخ بأفضل طريقة ما هو موجود على صفحة الشبكة web page ولكنه سيأخذ مكان تخزين أكبر.
• في "text" هذا سيوفر محتويات صفحة الشبكة في نص بسيط وسيتطلب فراغاً أقل.

عندما تنفذ أمر "save" فإن البرنامج سيسألك بأي شكل تريد التخزين وأين تضعه في حاسوبك.

3. ما هي أفضل سبل الوصول للمعلومات ذات الصلة بتطبيق القانون في بيئة الإنترنت؟

أولاً: Search Engines البواحث:
هناك برامج بواحث متوفرة بحرية على الإنترنت، وهي تشغل بشكل واسع بحيث أنها ستبحث عن أي معلومة تريدها. بالنسبة للشرطة فهي تشبه إلى حد كبير حاسوب الشرطة المركزي للاستعلامات باستثناء أن البواحث تتوصل بواسطتها إلى أي شخص على الإنترنت( ).

أ. كيف تعمل البواحث؟
هي عبارة عن برامج حاسوب تم تصميمها للبحث عن ملايين العناوين لقواعد بيانات الإنترنت. ومع ذلك هناك عدد متزايد من البواحث والتي صممت خصيصاً للبحث عن أجزاء أخرى من الإنترنت مثل عناوين البريد الإلكتروني، مجموعات الأخبار، FTP، telnet و IRC، وهي تنجز البحث في وقت قصير نسبياً، عادة خلال ثواني أو دقائق، والعديد منها تقدم إمكانية البحث في عدة لغات مختلفة وهناك الآلاف منها ومع أنها تبدو مختلفة عن بعضها فهي تستعمل نفس التكنولوجيا، وهي تقع على مواقع الشبكة web sites وعدد منها يتم دمجه في متصفحات الشبكة web Browsers ويمكن الوصول إليها بالضغط على زر البحث( ).


ب. كيف تستعمل البواحث :
إنها سهلة الاستعمال، ببساطة عليك طباعة المعلومات التي تريدها وتبدأ البحث بالضغط على الزر أو الصورة. والمعلومات التي تبحث عنها قد تكون تفاصيل عن فرد أو شركة أو معلومات عن أي معلومات يمكن تصورها، إن نتائج البحث عادة ما توضع في قائمة من أجل أفضل استجابة وببساطة اضغط على كل نتيجة حتى تحصل على ما تريد أو تقرر أن تبدأ بحثاً آخر.

ج. كيف تستثمر الإنترنت كمصدر للأدلة :
نتائج البحث يمكن أن تعتمد كدليل بعدة طرق مختلفة:
• الملاحظة المادية للنتيجة .
• طباعة نتيجة البحث.
• تخزين نسخة من نتيجة البحث في ملف الحاسوب على القرص الصلب في الحاسوب أو على وسيلة خارجية مثل القرص المرن.

ويمكن قراءة الملاحظات الإرشادية أو صفحة المساعدة التي تأتي مع كل بحث، هذه تعطي تعليمات بسيطة حول كيفية استعمال محرّك البحث. كل باحث سيعطي إرشاداً حول كيفية تصفية البحث وجعله محدداً أكثر وهكذا تزيد فرص دقة النيتجة المعروضة. من المفيد استعمال مواقع book-marking في متصفح الإنترنت العام، سيكون من السهل الرجوع إليها فيما بعد وستوفر كتابة العنوان. وتذكر أن الإنترنت مصدراً لا يصدق ويتطور باستمرار وهناك بواحث جديدة تضاف بالإضافة إلى الإمكانيات الأخرى.

ثانياً: المتصفحّات Browsers
وهي عبارة عن برامج حاسوب طوّرت لتتيح الوصول إلى سلسلة متنوعة من الأنظمة وهي تتراوح بين :
• البحث عن إرشادات الإنترنت وملفات الحاسوب.
• الوصول إلى الشبكة وزيارة المواقع المختلفة.
• إرسال واستقبال وتخزين البريد الإلكتروني.
• الوصول إلى FTP ومواقع Telnet وتنزيل الملفات.
• العمل في مجموعات الأخبار.

بالرغم من أنها معقدة التصميم فإنها تعطى بشكل "رسومات"، وخلال وقت قصير فإن المستخدم المبتدئ يمكن أن يصبح كفؤاً في هذا المجال. أنها سهلة التنزيل على الحاسوب ويمكن تشغيلها على الخط Online أو بدون offline، أكثرها متعدد الوظائف ومتفاعل مع بعضه بحيث أنها تستخدم للانتقال بين الأجزاء المختلفة للإنترنت بالتأشير والضغط على أزرار البرنامج باستعمال "فأرة" الحاسوب. ثم من السهل التحرك بين أجزاء الإنترنت مع الحاجة إلى الحد الأدنى من المعرفة والمهارة والكفاءة. هناك تقريباً ثلاثين متصفحاً عاماً متوفراً بحرية عبر الإنترنت وقد وصفت بأنها مفاتيح الإنترنت( ).

أ. كيف تعمل ؟
كل متصفح هو عبارة عن صندوق من البرامج المختلفة تسحب مع بعضها إلى مكان واحد، السبب الرئيسي لسهولة الاستعمال هو أنه بدونها سيضطر المستخدم للدخول على برامج مختلةف لعمل أشياء مختلفة.

ب. ما المعلومات والأدلة التي تحملها؟
المتصفحات تخزن وتسجل كمية كبيرة من النشاط، وهذا جزئياً وظيفة ذاتية للبرنامج ويعكس الأوامر التي يعطيها المستخدم للمتصفح. إن نوع المعلومات تشمل تفاصيل المواقع التي وصل إليها المستخدم ويعطي تفاصيل الزيارات إلى مواقع الشكبة، مجالات ftp مجموعات الأخبار وهكذا.


المبحث الثاني
القواعد العامة في التفتيش الجنائي وضبط الأدلة
والمشكلات المثارة فيما يتصل بالأدلة الرقمية

1. تفتيش نظم الحاسوب وضبطها( ):
يعتبر التفتيش إجراء من إجراءات التحقيق يتطلب أوامر قضائية لمباشرته، ويهدف للبحث عن الأدلة المادية التي ترتبط بالجريمة مدار التحقيق ولا يشمل لذلك الأدلة الشفوية أو القولية لاتصال الأخيرة بعنصر الشخص – الشاهد، ويجري التفتيش بخصوص جرم تحقق وقوعه، ويوجه التفتيش إلى مكان يتمتع بالحرمة، أو يتجه إلى الشخص المشتبه به، ويخضع التفتيش في وجوده وإجراءاته التنفيذية إلى أحكام القانون والتي من أبرزها صدور أمر التفتيش أو مذكراته الكتابية عن الجهة التي حددها القانون، مع بيان الأسباب الموجبة لذلك ومحل التفتيش المخصوص.
وتثير جرائم الحاسوب والإنترنت تحديات بشأن الإطار القانوني الملائم لإجراءات التفتيش والضبط التي تباشرها سلطات التحقيق المكلفة بتقصي الجرائم وإحالة الجناة للقضاء، ويبدو أن هذا الإطار يغاير أطر للتفتيش والضبط المتصلة بالجرائم التقليدية، ويرجع ذلك إلى أن تقنية الحاسوب تنطوي على حالات مختلفة من حيث ظروفها وأحوالها وتتطلب لإجراء التفتيش تقنيات لتفتيش نظم المعلومات، فقد لا يكون النظام محل التفتيش مملوكماً للمشتبه به وليس ثمة وسيلة ميسرة لمعرفة ذلك، كما أن ملفات الحاسوب قد تكون مخبأة أو محمية داخل نظام الشخص وقد تنقل حول العالم من نظام لآخر بثوان، كما يسهل إتلافها بمجرد استخدام لوحة المفاتيح، ربما ليس إتلافاً كاملاً ولكنه قد يكون معطلاً لإنجازالتفتيش عندما لا يكون من يجري التفتيش خبيراً في تقنيات التحري عن الملفات المحمية أو المتلفة كما أن الدليل نفسه يصعب تحديد مكانه ابتداء، فقد يكون داخل النظام أو قد يكون مخزناً على وسائط أخرى، كتخزينه على الأقراص باختلاف أنواعها، وقد يكون موجوداً أصلاً في جزء من الشبكة لا يرتبط بالمشتبه به مباشرة لكنه يستخدم هذا الموقع لإخفاء الأدلة أو لتمثل مدخلة إلى نظم الحاسوب المستهدفة، والملفات أيضاً قد تكون مشفرة لا يظهر محتواها إلا بفك التشفير، وقد تكون البيانات التي تثبت حصول الفعل جزءاً من خادم نظام حاسوب يقع خارج الحدود في دولة أخرى، وقد يكون نشاط الجاني مباشراً بالأساس من حاسوب لا يخصه أو من حاسوب محمول يسهل عليه التخلص منه أو إنكار ملكيته، كل هذه الحقائق وغيرها الكثير يجعل من تحديد السبب الموجب للتفتيش أمراً صعباً ويجعل من تقديم وصف محدد لمحل التفتيش أمراً أكثر صعوبة.

والضبط القضائي هو الأثر المباشر للتفتيش، وهو من بين إجراءات التحقيق التي تهدف إلى وضع اليد على الأدلة المتحصلة من التفتيش وتحريزها وحفظها لمصلحة التحقيق.

وضبط الأدلة الكونية أو ما يتعلق بجرائم الحاسوب والإنترنت يتصل بضبط المكونات المادية لأنظمة الحاسوب، وضبط المكونات المعنوية – البرمجيات، وضبط المعطيات التي تتناقل أو يجري تبادلها في نطاق شبكة المعلومات التي تربط الحاسوبات معاً وما يتصل بها.

وباعتبار مكونات نظام الحاسوب المادية من الأشياء. فإنها في الأصل أشياء مادية يجوز ضبطها وتحريزها وأما بالنسبة للشبكات فإن ما يعني التحقيق في الغالب المعطيات المستخرجة من الخوادم والأجهزة التي تحكم وتسيطر على هذه الشبكات، فإن تحصلت عليها جهة التحقيق من الجهة المعنية وفق ما يقرره القانون وما يجيزه – إن لم تكن هي المستهدفة بالتفتيش والضبط – ليس ثمة مشكلة، أما إن لم يتم تحصيلها وتوفر الموجب لضبط خادم الشبكة – النظام المتحكم بالشبكة – وأجاز القانون والقضاء ذلك، فإن ما يضبط قد يمتد إلى النظام المادي كله بما يتضمنه من معطيات وبرامج.

2. تحديد عام للتحديات المثارة في حقل الادلة الرقمية والتعامل معها:
من السهل الادعاء بوجود قفاز ملطخ بالدماء في منزل مشتبه به معين ولكن إثبات ذلك مسألة أخرى، فعندما يتم الحديث عن البراءة أو الإدا نة فإن إثبات أصالة الأدلة وسلامتها يصبح غاية في الأهمية، لذلك فإن الدليل يجب أن يتناغم مع قواعد الادلة، ومن منظور العلم الجنائي هنالك نواحي عديدة لمعالجة وفحص الأدلة الرقمية ومنها( ):
‌أ- تمييز الأدلة الرقمية : وهي عملية تتكون من عنصرين، أولاً يجب على المحقق أن يميز الأجهزة Hardware مثل جهاز الحاسوب والأقراص المرنة وكوابل الشبكات والتي تحتوي على المعلومات الرقمية، وثانياً يجب على المحقق أن يميز بين المعلومات غير المهمة والمعلومات المرتبطة بالجريمة.
‌ب- جمع وحفظ الأدلة الرقمية والأجهزة: يجب حفظ الادلة الرقمية بحالتها الأصلية لأن القانون يطلب أصالة الأدلة وعدم تغيير الحالة الأصلية للأدلة ومن هنا يجب طباعة الدليل وفي هذه الحالة فإن للنسخة المطبوعة قيمة قانونية كدليل إلا إذا كان الدليل الأصلي محل شك. ومن المهم جمع الأدلة بطريقة لا تتغير معها وعلى أن تكون مقبولة في المحكمة ومن الضروري عدم ترك أي دليل وهنا قد يقوم المحقق بأخذ كل شيء أو قد يأخذ ما هو متعلق فقط بالقضية أي الأشياء الأساسية.
‌ج- توفير الوقت والجهد وتجنب تدمير أو مقاطعة عمل فرد أو مؤسسة ما: فبعض أجهزة الحاسوب حساسة لإدارة مؤسسات وقد يؤدي أخذ الجهاز إلى توقف عمل المؤسسة، مثل أجهزة المستشفيات فإن أخذ مثل هذه الأجهزة قد يعرض حياة الناس للخطر.
‌د- توثيق الأدلة الرقمية والأجهزة: إن التوثيق مهم لعدة أسباب لأن هذا يثبت أن الدليل أصيل ولم يتغير، فأحياناً يتم استدعاء الأشخاص الذين جمعوا الأدلة للتأكيد على أن دليلاً معيناً هو نفسه الذي جمع منذ البداية، كذلك يستخدم التوثيق للتفريق بين الدليل الأصلي والنسخة المأخوذة عنه، أما إذا لم يستطع المحقق التفريق بين الأصل والنسخة فقد يكون لذلك آثار سيئة بالنسبة للمحقق، والتوثيق مهم لدى محاولة إعادة بناء الجريمة فمثلآً عند جمع حاسوب يجب تعليم جميع الكوابل لمعرفة من أين جاءت فيما بعد، وأيضاً يلزم التوثيق وبالذات توثيق هوية الأشخاص الذين جمعوا الدليل وتعاملوا معه من أجل الحفاظ على سلسلة الوصاية.
هـ- تصنيف ومقارنة وافراد الدليل الرقمي: وهذه المرحلة هي عملية إيجاد الخصائص التي تصف الأدلة بشكل عام وتميزها عن غيرها، فمثلاً أكثر الأشخاص يعرفون رسائل البريد الإلكتروني ولكن المحققين المدربين يمكنهم تصنيفها بدقة مثل تحديد نوع التطبيق المستخدم، وهناك أيضاً أنواع مختلفة من ملفات الصور مثل jpg, gif, tiff والمقارنة مهمة عند فحص الدليل الرقمي باستخدام عينة قياسية Control Specimen بحيث يؤدي ذلك إلى إظهار نواحي فريدة من الدليل الرقمي، ويمكن استخدام هذه النواحي لربط القضية مع جهاز معين.

و. الدليل الرقمي وإعادة البناء:
1. إعادة بناء الدليل الرقمي المشطوب أو المخفي أو المشفر: ويعتمد ذلك على نوع الدليل الرقمي ونوع الحاسوب ونظام التشغيل وإعدادات الحاسوب. عندما يتم شطب ملف فعادة يبقى موجوداً على القرص ويمكن استرجاعه باستخدام برامج خاصة، وحتى عند إعادة الكتابة على الملفات المشطوبة فإن جزءاً منها يبقى ويمكن قراءتها مرة أخرى باستخدام برامج خاصة، ومن التحديات الأخرى الملفات المشفرة حيث أن برامج التشفير أصبحت شائعة وأصبح بإمكان المجرمين بعثرة الدليل الذي يدينهم باستخدام شيفرة غير مقروءة وبالتالي يصبح فك التشفير مسألة صعبة ويتطلب فك التشفير كلمة سر خاصة ويمكن في عدة حالات فك التشفير باستخدام الخبرة والأجهزة المناسبة ولكن محاولة فك التشفير غير عملية في بعض التحقيقات لأنها تأخذ وقتاً خالياً.

2. إعادة بناء الجريمة: ويشمل ذلك إصلاح الأدلة المتلفة واستخدامها لتحديد الأعمال المحيطة بجريمة ما، والهدف هنا هو صيانة كيفية ووقت حصول الأحداث، فلا يكفي معرفة أنه قد حصل اختراق بل يجب معرفة كيف ومتى وأين حصل ذلك وعند إعادة بناء ظروف الجريمة سوف تعبأ الفجوات في القضية ويتم فهم ما حصل بالتحديد. ومن المهم عدم الاعتماد كلياً على الدليل الرقمي حيث يجب النظر إلى الدليل المادي.





الفصل الثاني
تصنيفات وصور جرائم الحاسوب

المبحث الأول : تصنيفات جرائم الحاسوب
المبحث الثاني : صور جرائم الحاسوب

تمهيد وتقسيم :
يشير مصطلح جريمة الحاسوب إلى أي جريمة تتضمن استخدام أجهزة الحاسوب والشبكات( ). ومن وجهة نظر التنفيذ القانوني يجب فهم ما يحيط بهذا المصطلح من أجل التحقيق في الأنواع المختلفة من هذا الشكل من الجرائم، فعلى سبيل المثال يتطلب التحقيق في اختراق الحاسوب أسلوباً معيناً، بينما التحقيق في جريمة قتل ذات أدلة رقمية فيتطلب إجراء آخر، كذلك فإ

لمبحث الأول
التحقيق في جرائم الحاسوب

إن استعراض الأمور ذات العلاقة بمسائل التحقيق في جرائم الحاسوب يتطلب الوقوف على مراحل ومنهج التحقيق في هذه الجرائم (المطلب الأول) والوقوف على قواعد التفتيش والضبط في ميدان جرائم الحاسوب والتخطيط للتحقيق وإيجاد واسترجاع الدليل فيها (المطلب الثاني).

المطلب الأول
مراحل ومنهج التحقيق في جرائم الحاسوب

في مجال الضبط والتفتيش ينتقل المحقق إلى مسرح جريمة الحاسوب ويقوم بمهمة استرجاع ومعالجة الدليل المادي، أما اكتشاف المعلومات فيشمل وصول المحقق إلى مصادر المعلومات من غير المواد المضبوطة مثل سجلات الملفات وقواعد البيانات بهدف تحديد ومعالجة المعلومات التي قد تثبت أو تنفي شيئاً ما، وأحياناً قد تتطلب القضية تفتيشاً وضبطاً بالإضافة إلى اكتشاف المعلومات ويمكن تلخيص مراحل التفتيش والضبط واكتشاف المعلومات في الشكلين التاليين( ):

مراحل التفتيش والضبط

أ
تكوين الخطة ب
الذهاب وتأمين مسرح الجريمة ج
توثيق وضع مسرح الجريمة د
البحث عن الأدلة هـ
استرجاع الأدلة و
معالجة الأدلة


مراحل اكتشاف المعلومات

أ
تكوين الخطة د
البحث عن الأدلة و
معالجة الأدلة

نجد من الشكلين أن هناك مراحل مشتركة ولكن الشكل الأول متعمق أكثر لأن التفتيش والضبط يتعامل مع الدليل المادي الموجود في مسرح الجريمة مثل أجهزة الحاسوب والعناصر المكونة له والوسائط Media بالمقارنة مع الدليل المنطقي في اكتشاف المعلومات.

ربما يفترض البعض أن اكتشاف المعلومات يتبع بالضرورة مراحل التفتيش والضبط أي بعد تعيين الحاسوب في مسرح الجريمة يقوم المحقق بإجراء الكشف على المعلومات من ذلك الحاسوب للبحث عن الدليل المنطقي على القرص الصلب، ومع أن ذلك يبدو صحيحاً منطقياً إلا أنه خاطئ عند التطبيق حيث أن آخر مرحلة من التفتيش والضبط هي معالجة الأدلة حيث يقوم المحقق بفحص المعلومات الموجودة على القرص الصلب للحاسوب الموجود في مسرح الجريمة، والصفة المميزة هنا هي أن اكتشاف المعلومات لا يحدث على الحاسوب أو الأجزاء أو الوسائط المضبوطة ولكنه استرجاع الدليل المنطقي من المواد غير المضبوطة أي من خلال تتبع مصادر المعلومات أو تتبع البريد الإلكتروني مثلاً وهذا ما يتم غالباً في مختبر الأدلة، ونلاحظ هنا أن عملية الفحص قد تتم في مسرح الجريمة وقد تتم في مختبر الأدلة وهذا يعتمد على نوع الجريمة وعلى ملابساتها وبناء على تقديرات المحقق وقدرات فريق التحقيق.

تبدأ عملية التفتيش والضبط بالمرحلة (أ) وهي تكوين الخطة حيث يقرر كبير المحققين حجم المهمة ويحدد نوع الدليل الذي يتم البحث عنه وكيفية إجراء التفتيش عن الأدلة وتوزيع المسؤوليات والأدوار على المحققين الآخرين، وفي المرحلة (ب) وهي الذهاب وتأمين مسرح الجريمة بحيث يصل المحققون إلى مسرح الجريمة ويقومون بتأمين الموقع من الأشخاص غير المصرح لهم بذلك، وتشمل مرحلة توثيق وضع مسرح الجريمة (ج) ملاحظة المحقق لموضع الأدلة والأشياء المتعلقة بها ضمن مسرح الجريمة. أما مراحل البحث عن الدليل واسترجاع الدليل (د) و (هـ) فهي تشمل قيام المحققين بإيجاد وتغليف ونقل الدليل إلى مختبر الأدلة، وأخيراً تشمل مرحلة معالجة الأدلة (و) إدارة وتحليل الأدلة داخل المختبر.

أما عملية اكتشاف المعلومات فهي تبدأ بالمرحلة (أ) وهي تكوين الخطة وهي مماثلة للمرحلة (أ) في التفتيش والضبط، أما مرحلة البحث عن الدليل (ب) فهي تشمل وصول المحقق إلى مصادر المعلومات كالسجلات Log Files وقواعد البيانات والإنترنت من أجل تحديد المعلومات المتعلقة بالقضية، ومرحلة معالجة الدليل (ج) تماثل المرحلة (ج) في التفتيش والضبط.

إن قدرة المحقق على تأمين وإدارة دليل الحاسوب بفعالية بالإضافة إلى معلومات القضية هو حجر الأساس في التعامل مع مثل هذه القضايا، ومن أفضل الوسائل لتتبع الدليل والتعامل مع معلومات القضية هي استخدام نظام حاسوب مصمم لتلك الغاة، أو إذا لم يتوفر ذلك يمكن استخدام معالج كلمات يتم تصميمه لتلك الغاية.

ويجب تأمين جميع البيانات التحقيقية لمنع فرصة الوصول غير المشروع أو العبث بالمعلومات الحساسة عن القضية، ويمكن هنا استخدام برنامج تشفير قوي لتأمين جميع البيانات التحقيقية.

وبالنسبة للكتابة على الورق – أي أخذ ملاحظات – فهنالك عيوب كثيرة تشوب هذه الطريقة ومنها :
‌أ- لا يمكن تأمين الملاحظات المكتوبة بسهولة مثل الملفات الإلكترونية.
‌ب- لا يمكن دمج الملاحظات المكتوبة ضمن مصادر المعلومات الأخرى مثل الملفات الإلكترونية.
‌ج- لا يمكن تخزين الملاحظات المكتوبة ضمن قواعد بيانات من أجل البحث والتحقيق.

وهذا لا يعني عدم استخدام المحققين للملاحظات المكتوبة على الورق ولكن يجب تجميعها في شكل إلكتروني أمن بالسرعة الممكنة.

لا شك بأن استخدام منهج علمي للقيام بالتحقيقات يتطلب بعض الجهد ولكن هناك أسباب تبرر ذلك، فالمنهج العلمي يتيح للمحقق التعامل مع جريمة الحاسوب بشكل عقلاني وشامل، وهو يشكل البروتوكول الذي تجمع بواسطته الأدلة عن طريق احتمالية ضياع الدليل، وبدون مثل هذا المنهج سيكون من الصعب التحقيق وضبط الاحتيال وسوء استخدام الحاسوب، وقد يؤدي إلى خسائر مالية.

عدا عن ذلك فإن محور أي علم جنائي سواء كان متعلقاً بالحاسوب أم لا هو العلم نفسه لذلك فإن أي عملية تحقيق يجب أن تبرز المنهج العلمي، فمثلاً يجب أن تكون هناك مراحل عقلانية وواضحة يتم اتباعها في التحقيق، وبالإضافة إلى ذلك فإن مثل تلك المراحل ستكون صمام أمان ضد النتائج المتحيزة عن طريق إعطاء إطار عقلاني تجري داخله جميع نشاطات التحقيق، وبدون منهج علمي متمرس فإن المحقق يجري عمله بطريقة غير علمية ومحدودة لغاية معينة.

ويمكن تلخيص المنهج العلمي بالخطوات العريضة التالية( ):
‌أ- تحديد وبحث المشكلة.
‌ب- تشكيل فرضية.
‌ج- إختبار الفرضية.
‌د- تقييم الفرضية النظر إلى نتائج الاختبار وتنقيح وإجراء اختبارات جديدة إذا لم تكن النتائج ملخصة.
هـ- إذا كانت الفرضية مقبولة يجب تقييم تأثيرها.

من المفيد معرفة كيفية تطبيق المنهج العلمي لجنائيات الحاسوب، فنجد أن المرحلة الأولى من المنهج العلمي تحدث عند ارتكاب الجريمة ومعرفة المحقق بها، والمرحلة الثانية يجيب فيها المحقق عن أسئلة من – ماذا – أين – متى – لماذا – كيف، والمراحل الثالثة والرابعة يتم فيها جمع وتقييم الدليل لدعم النظرية المكونة في المرحلة الثانية، والمرحلة الخامسة تخص النشاطات الاستنتاجية عند إنهاء التحقيق. وإذا لم يطبق المحقق جميع المراحل في التحقيق سيفقد التكامل بين معلومات القضية حيث أن بعض تلك المعلومات قد تكون شاملة وكاملة أكثر من غيرها، وهذا قد يؤدي إلى ضعف في الادلة وإجراءات جمعها وقد يؤثر ذلك على طريقة تقديمها في المحكمة .

إن عمليات التفتيش والضبط واكتشاف المعلومات يمكن أن تختلف باختلاف درجات الاستعمال المخصصة للقضية، فمثلاً القضايا المهمة جداً من الدرجة الأولى تجري فيها جميع المراحل المبينة في القسم السابق في التفتيش والضبط واكتشاف المعلومات أو كليهما. وبالنسبة للقضايا الأقل أهمية يمكن إستخدام نسخة مبسطة من التفتيش والضبط واكتشاف المعلومات، وهذا تفريق مهم لأن ذلك يعني وجود سياسة لمعرفة موضع تطبيق أي نسخة من المنهج العلمي.

المطلب الثاني
قواعد وأصول التعامل مع الأدلة الرقمية

إن العلم الجنائي يبدأ في مسرح الجريمة، فتأمين وجمع الأدلة يلعب دوراً مهماً في عملية التحقيق، وهنالك خمس قضايا مهمة يجب معالجتها( ):

• التفتيش والضبط في ميدان جرائم الحاسوب (البند أولاً فيما يلي).
• إجراء التخطيط قبل الدخول إلى مسرح جريمة الحاسوب (البند ثانياً فيما يلي).
• اتباع الأصول بشأن إيجاد الدليل (البند ثالثا فيما يلي).
• التعامل مع الفيروسات (البند رابعاً فيما يلي).
• استرجاع الدليل (البند خامساً فيما يلي).

أولاً: القواعد الأساسية للتفتيش والضبط في ميدان جرائم الحاسوب
هذه القواعد مفيدة وضرورية لتتبع الأدلة وإدارتها كما أنها تشكل حماية ضد أي طعن بهذه الأدلة بسبب احتمال سوء التعامل معها وهذه القواعد هي( ):

القاعدة الأولى: لا تغير الدليل الأصلي
من السهل عدم تغيير أدلة الأجهزة والبرامج عندما لا تكون الأجهزة قيد الاستخدام مطفأة، لا تعمل ..، ولكن إذا كان الحاسوب يعمل يصبح من الصعب تغيير حالته المادية والمنطقية خلال التفاعلات، وفي الواقع إذا لم يكن هناك من يعمل على جهاز الحاسوب وهو في حالة تشغيل ربما يكون مشغولاً في الكتابة I/O buffers وتنفيذ وظائف مؤقتة وتأدية أي أعمال روتينية، وحتى أنظمة التشغيل البسيطة قد تحتوي على برامج TSR أي الإنهاء والبقاء على الجاهزية والتي تعمل في الخلفية، وأي تفاعل بين المستخدم والحاسوب قد يسبب تغييراً في حالة الحاسوب حتى وإن كان هذا التفاعل ضربة على لوحة المفاتيح keystroke، وقد يكون لتلك التغييرات أثار على الدليل الإلكتروني.

عند التعامل مع الأجهزة والبرامج يجب أن يكون المحقق حريصاً لتقليل جميع التفاعلات وبالتالي تقليل احتمال تغيير تلك الأنظمة وهذا يعني شيئين:
أ‌. خلال الفحص المباشر لحاسوب متعلق بجريمة حاسوب يجب استخدام ديسك أو قرص boot إذا تم تشغيل الجهاز أجهزة الحاسوب الكبيرة main frame لا يتم الوصول إليها بهذه الطريقة.
ب‌. النشاطات الجنائية يجب أن تجري على أساس صورة لما هو موجود على الحاسوب أي أخذ نسخة احتياية عن الجهاز والعمل عليها bit stream backups لضمان عدم المساس بالدليل الأصلي، ولهذا لا بد من التعامل مع النظام من قبل أشخاص مختصين بعلوم الحاسوب.

القاعدة الثانية: لا تنفذ البرامج على حاسوب مسرح الجريمة
يمكن تصوير حاسوب مسرح الجريمة مثل عروض المتحف، أي يمكن النظر إليها ولا يمكن لمسها، أن تنفيذ أي برنامج مباشرة على حاسوب مسرح جريمة قد يسبب الضرر للأدلة الموجودة عليه أو على الأقل قد يغير حالة الذاكرة أو الملفات وإذا كان لا بد من تنفيذ البرامج على حاسوب مسرح الجريمة يجب التعامل معه من قبل مختص ويجب توخي الحرص وتوثيق جميع الخطوات.

القاعدة الثالثة: لا تسمح للمشتبه به بالتعامل مع حاسوب مسرح الجريمة
إن الأدلة الإلكترونية من السهل شطبها أو إتلافها لدى العمل على جهاز الحاسوب لذلك يجب عدم السماح للمشتبه به بالعمل على هذه الأجهزة، فلا يجب أن يكون هناك أي سبب للسماح له بالتعامل مع أي جزء في الجهاز أو حتى الوصول إلى مصدر الطاقة.

القاعدة الرابعة: إعداد نسخة احتياطية عن وسائط تخزين المعلومات الموجودة في مسرح الجريمة
إن إعداد نسخة احتياطية bit stream backups ضرورية للعمل الجنائي فيجب أن تقتصر نشاطات التحقيق على النسخ الاحتياطية لضمان المحافظة على الدليل الأصلي، ومن القضايا المتعلقة بهذه المسألة هي RAM drive حيث يجب على المحقق أن يعرف فيما إذا كان حاسوب مسرح الجريمة فيه قرص أو قرصان في resident memory ومن الواضح بأن عملية bit stream backups الجارية على القرص تتطلب التعامل مع نظام التشغيل – وهو شيء يخالف القاعدة الأولى والثانية، ومع ذلك فإن سواقة RAM قد يكون مخزناً غير ثمين للأدلة، ويجب أن يتم التعامل معها بحرص شديد.

القاعدة الخامسة: توثيق جميع نشاطات التحقيق
وهذا مهم جداً للعمل الجنائي فمنذ لحظة فتح القضية إلى لحظة إغلاقها يجب توثيق كل ما يفعله المحقق بالوقت والتاريخ، ويمكن استخدام جهاز كمبيوتر محمول note book ومن المهم حفظ المعلومات المسجلة بواسطة كلمة سر مثلاً واستخدام التشفير وعمل نسخة احتياط آمنة ويجب الاحتفاظ بملفات منفصلة لكل عمل.

القاعدة السادسة: تخزين دليل الحاسوب
يجب تخزين أدلة الأجهزة والبرامج في بيئة مناسبة، ويجب الحذر من المجالات الكهرومغناطيسية والكهرباء الساكنة والغبار، ومن أجل تقليل بث الشحنات الساكنة ويقترح استخدام الرفوف والخزائن الخشبية.

ثانياً: التخطيط
قبل وصول المحققين إلى مسرح الجريمة يجب إعداد خطة عمل بشكل شامل ويقترح قسم جرائم الحاسوب في مكتب التحقيقات الفيدرالية الأمريكي FBI اتباع الخطوات التالية( ):
‌أ- إعداد المواد والمغلفات الضرورية لمثل هذا التفتيش.
‌ب- إعداد الشكل المبدئي للأوراق المطلوبة لتوثيق التفتيش.
‌ج- التأكد من أن جميع المختصين يدركون أشكال الأدلة بالإضافة إلى التعامل المناسب معها.
‌د- تقييم النتائج القانونية لتفتيش مسرح جريمة الحاسوب.
‌ه- مناقشة التفتيش مع المشتركين فيه قبل الوصول إلى مسرح الجريمة إذا أمكن.
‌و- تعيين شخص مسؤول قبل الوصول إلى مسرح الجريمة.
‌ز- إعداد مهام الطاقم الأساسية قبل الوصول.
‌ح- الأخذ بعين الاعتبار أمن وراحة طاقم التفتيش عند مواجهة مسرح جريمة خطير أو طقس عاصف.
‌ط- تقييم مهام الطاقم المطلوبة لمعالجة مسرح الجريمة بشكل ناجح.

وكل من هذه الاقتراحات لها دلالات يمكنها أن تساعد في نجاح التحقيق أو أن تدمره، وفيما يخص جريمة الحاسوب نوضح الاقتراحات الأربعة الأولى تالياً:

الاقتراح الأول: إعداد مواد التغليف
إن مواد التغليف المناسبة مهمة جداً فيما يتعلق بالأجهزة والبرامج، وبشكل خاص المقاومة للكهرباء الساكنة والأغطية البلاستيكية ورغوة التغليف والصناديق الكرتونية القوية هي جميعاً من الوسائل الآمنة لنقل الدليل من الميدان إلى المختبر، بالإضافة إلى الأوعية المناسبة للديسكات والأقراص المدمجة والأشرطة ووسائل التخزين الأخرى والضرورية لحماية جميع وسائل التخزين من التلف المادي. ومن المواد الأخرى الضرورية كاميرا تحميض فوري، 35 ملم، (فيديو)، وأجهزة حاسوب تحقيق notebook وكوابل وأجهزة شبكات، وبرامج تحقيق أقراص وديسكات booting.

الاقتراح الثاني: إعداد الشكل المبدئي للأوراق المطلوبة لتوثيق التفتيش
ربما قد يكون الأفضل بدل استخدام الورق لتوثيق مسرح الجريمة استخدام التوثيق الإلكتروني، وفي كلتا الحالتين فإن وسيلة التوثيق الجاهزة ستوفر الوقت في مسرح الجريمة.

وبالنسبة للتفتيش والضبط هناك سجلان إلكتروني أو ورقي: سجل أدلة التفتيش والضبط وسجل نقل الأجهزة، والأول يستخدم في مسرح الجريمة من أجل تتبع المعلومات عن أدلة الحاسوب بينما الثاني يستخدم لتسجيل الأدلة التي تنقل من مسرح الجريمة إلى المختبر.

وبعد إرجاء الدليل إلى المختبر يتم فتح سجل ثالث وهو سجل أدلة المختبر وهو يتتبع أدلة الحاسوب أثناء فحصها، ويجدر الانتباه إلى أن برامج إدارة القضايا الجيد سيقدم للمحقق وصولاً إلى جميع ملفات السجلات في واجهة تطبيق واحدة وملائمة، مثل هذا البرنامج أفضل كثيراً.

الاقتراح الثالث : التأكد من أن المختصين يدركون لأشكال الأدلة
إذا لم يفهم المحققون ما الذي يتعاملون معه في مسرح الجريمة فهناك فرصة لسوء التعامل مع الأدلة وبالنتيجة اضطراب في سلسلة الوصاية، وكذلك إذا كان المحققون غير مجهزين بشكل مناسب لجمع الأدلة وإدارتها في مسرح الجريمة فيمكن أن يتدمر الدليل وسلسلة الوصاية معاً.

من أجل ضمان سلامة العمل الجنائي يجب تدريب المحققين على التعامل الصحيح مع مسرح الجريمة قبل وصولهم إليه وأن يشتمل الفريق على أشخاص من مختبر الأدلة للقيام بعمليات الضبط والتفتيش لأجهزة الحاسوب في مسرح الجريمة.

الاقتراح الرابع: تقييم النتائج القانونية لتفتيش مسرح الجريمة
يجب الانتباه لمسألة حق الخصوصية للمشتبه بهم، ويجب على المحققين أن يحصلوا على مذكرة تفتيش قضائية إلا في بعض الحالات التي يكون فيها الجهاز المراد العمل عليه هو جهاز المشتكي، ونظرياً يجب أن لا يكون هناك أي صعوبات قانونية أمام المحققين أثناء جمع الأدلة، ويجب الانتباه إلى النتائج القانونية للدخول إلى الاتصالات الإلكترونية المخزنة على خادم معين server والتي قد تستلزم مذكرة تفتيش منفصلة، فمثلاً لوحة الأخبار Bulletin Board تعطي مراسلات إلكترونية بين الأعضاء، المعلومات التي تعتبر جزءاً من الجريمة يتم إرسالها بين العديد من الأعضاء دون إثبات أن مشغل النظام متورط في النشاط الإجرامي، ويجب أن تكون مذكرة التفتيش محدودة بالحقائق والبريد بين الأطراف المشتركين في النشاط الإجرامي، فتفتيش الحاسوب بأكمله والذي يحتوي على بريد جميع الأطراف غير المتورطين في الجرائم هو انتهاك للخصوصية.

ومن المفيد تقييم مسرح جريمة الحاسوب قبل وصول التحقيق إلى هناك، فمثلاً يمكن معرفة مواقع وكميات أجهزة الحاسوب والطرفيات peripherals مسبقاً وفي هذه الحالة فإن النشاطات التي تجري في مسرح جريمة الحاسوب ستكون واضحة وسيكون الدليل أقل عرضة للتلوث وفي ضوء ذلك يمكن معرفة نوع مواد التغليف المطلوبة وأشكال الأدلة التي سيواجهها المحقق ونوع التفتيش المطلوب.

ثالثاً: إيجاد الدليل
على الرغم من أنه ليس هناك قضيتا جرائم حاسوب متشابهتان إلا أن التفتيش والضبط يجب أن يبدأ بنفس الطريقة:
‌أ- بعد التخطيط المبدئي يتم الذهاب وتأمين مسرح الجريمة مادياً وإلكترونياً.
‌ب- توثيق وضع مسرح الجريمة بالصور والاسكتشات والملاحظات.
‌ج- وأخيراً يتم التفتيش عن أدلة الحاسوب.

إن الذهاب وتأمين مسرح الجريمة يشمل وصول المحققين إلى مسرح الجريمة وحمايته من الأشخاص غير المصرح لهم بدخول مسرح الجريمة والذين قد يفسدون الدليل، ويمكن عمل ذلك بواسطة إغلاق الأبواب ووضع حراس الأمن على المداخل والسيطرة.

يجب البدء بتوثيق مسرح الجريمة حالما يتم تأمينه وذلك بواسطة التصوير والاسكتشات والملاحظات لتحديد وضع مسرح الجريمة ومواقع جميع الأدلة، ويمكن استحدام كاميرات 35 ملم أو كاميرات الفيديو أو كاميرات التحميض الفوري، وتستمر عملية التوثيق خلال المراحل الباقية من التفتيش والضبط، وأثناء وجود المحققين في مسرح الجريمة لا يجب بالضرورة الاسترسال في التوثيق – ولكن المطلوب توثيق مسرح الجريمة وموقع الدليل والحالة التي وجد عليها( ).

وحالما يصل فريق التفتيش إلى مسرح جريمة الحاسوب يقوم رئيس الفريق بتوزيع المسؤوليات للقيام بالتفتيش، ومن المهم أن يكون لدى الباحثين عن الأدلة فهم للأشياء التي قد يجدونها وكيفية التعامل معها بالإضافة إلى تكوين فكرة مسبقة عن مكان وجودها.

ومن المواقع التي قد توجد فيها الأدلة في مسرح الجريمة :
• أسطح المكتب: Desktop قد تحتوي على ملاحظات مهمة ووسائط حاسوب وأدلة manuals ومعدات حاسوب وكوابل.
• الشاشات: قد تحتوي على ملاحظات مع كلمات سر ومعلومات أخرى مهمة.
• بجانب الهاتف: قد توجد ملاحظات مع أرقام تليفون مهمة أو كلمات سر أو أسماء المستخدمين.
• في المحفظة أو الحقيبة: قد تحتوي على بطاقات هوية وملاحظات أو كلمات سر وأرقام مهمة.
• منظمات الجيب الإلكترونية: قد تحتوي على أسماء مستخدمين مهمة وكلمات سر وملاحظات الإلكترونية ووثائق.
• في جيب المشتبه به: قد تحتوي على ديسكات أو أشرطة أو أقراص مدمجة أو ملاحظات مهمة.
• سلة المهملات: قد تحتوي على نسخة من دليل الحاسوب بالإضافة إلى ملاحظات ووثائق ذات قيمة .
• داخل المكتب والأدلة manuals قد تحتوي على ملاحظات مهمة ووثائق وديسكات وأقراص.
• تحت لوحة المفاتيح: قد تكون هناك ملاحظات ووثائق وديسكات وأقراص.

وأثناء عملية التفتيش يجب أن يتذكر المحققون أنه قد يجوز أو لا يجوز لهم التفتيش أو الضبط في أماكن معينة وهذا ما يجب تحديده في مذكرة التفتيش إلا في بعض الحالات المعينة، وإذا دعت الحاجة لتفتيش أشياء أخرى غير مذكورة في المذكرة يستلزم هنا استصدار مذكرة جديدة أو تعديل المذكرة الحالية.

وفي نطاق المؤسسة قد تكون الاشياء مختلفة حيث أن المؤسسة على الأرجح تملك الدليل الذي يبحث عنه المحققون، فمثلاً جميع معدات وبرامج ووسائط الحاسوب التي يدخل إليها المشتبه به خلال عمله كلها مملوكة من قبل رب العمل.



رابعاً: بروتوكول التعامل مع الفيروسات
لدى التعامل مع تهديد فيروسات الحاسوب فيما يتعلق بمسرح جريمة الحاسوب يجب تحديد طريقة لذلك، فكلما كان تفاعل المحقق مع الدليل في الميدان أقل كلما كان ذلك أفضل، فأحسن مكان لتأدية النشاطات المتعلقة بالدليل هو مختبر الأدلة لأنه مكان آمن ومسيطر عليه، وسواء في الميدان أو في المختبر سيتعرض الدليل وسلسلة الوصاية للخطر إذا استخدم المحقق وسائط ملوثة بالفيروسات على جهاز مسرح الجريمة، وكذلك فإن الدليل الملوث بالفيروس يمكن أن يكون هشاً لدرجة كبيرة، وتالياً كيفية التعامل مع الفيروسات( ):
‌أ- استخدام وسائط نظيفة خالية من الفيروسات عند التعامل مع حاسوب مسرح الجريمة.
‌ب- بعد التعامل مع حاسوب مسرح جريمة يجب تنظيف كل الوسائط المستخدمة باستثناء نسخة الاحتياط backup فيجب أن تحتوي جميع ما موجود على الحاسوب في مسرح الجريمة.
‌ج- عدم محاولة تنظيف حاسوب مسرح جريمة لأن ذلك قد يتلف الأدلة.
‌د- بعد استرجاع نسخة احتياط bit stream إلى حاسوب مختبر الأدلة إذا كان ذلك الاسترجاع ضرورياً يجب:
• الفحص عن أي فيروسات على حاسوب المختبر.
• تنظيف حاسوب المختبر قبل البدء بالنشاطات الجنائية الإضافية إذا كان ذلك ضرورياً وتذكر أن تنظيف حاسوب مسرح الجريمة قد يتلف أدلة مهمة.

من متطلبات التعامل مع جريمة الحاسوب أن تكون جميع الوسائط نظيفة وأن تنظف هذه الوسائط جميعها بعد الاستخدام باستثناء نسخة الاحتياط. ومن غير المفضل تنظيف وسط تخزين النسخة الاحتياطية بعد استخدامها لأن أي فيروسات مخزنة هناك قد تكون متعلقة بالدليل الجنائي كما أن هذا التنظيف قد يدمر الأدلة الأخرى وعلى هذا الأساس لا يجوز تنظيف حاسوب مسرح الجريمة، وإذا كانت هناك أي فيروسات على نسخة الاحتياط يجب توثيقها بحرص ولا يجب تنظيفها إلا إذا شكلت تهديداً للأدلة.

خامساً: استرجاع الدليل
بعد التفتيش المبدئي لمسرح الجريمة يتم توثيق أجهزة الحاسوب والوسائط وإعدادها للنقل إلى مختبر الأدلة وتتألف هذه العملية من عدة مراحل:

المرحلة الأولى : بدء سجل أدلة التفتيش والضبط
بالإضافة إلى الصور والاسكتشات لمسرح الجريمة يجب عمل سجل لأدلة الحاسوب وهذا السجل يحتوي على وصف موجز للأجهزة والوسائط المعينة خلال التفتيش عن الأدلة كما يجب توثيق الوقت والتاريخ وأساء فريق التحقيق بما في ذلك الشهود ومساعي التفتيش ومواقع الأجهزة والوسائط.



المرحلة الثانية: توثيق أجهزة الحاسوب والوسائط والوسائل
بعد فتح سجل الأدلة يجب على المحقق أن ينتقل إلى تسجيل حالة أجهزة الحاسوب والوسائل والوسائط ويجب اتباع الخطوات التالية باستخدام سجل الأدلة حيث أمكن:

** أجهزة الحاسوب:
• أخذ صور لشاشة الحاسوب ولواجهة وخلفية وجوانب الحاسوب وللكوابل المربوطة على الحاسوب وللطرفيات المربوطة على الحاسوب peripherals.
• تسجيل فيما إذا كان الحاسوب يعمل أو مطفأ وتسجيل ما كان يعمله .
• تسجيل فيما إذا كان الحاسوب مرتبطاً مع شبكة .
• تسجيل احتمال فقد المعلومات بسبب التهديدات الخارجية مثل الطقس والكهرباء والمجال المغناطيسي.

** الوسائل (الأدوات) Devices
• أخذ صور لواجه وخلفية وجوانب الأداة وللكوابل المرتبطة مع الأداة.
• تسجيل فيما إذا كانت الأداة تعمل أم مطفأة وماذا كانت تعمل .


**الوسائط Media:
• إذا كان ذلك ضرورياً يمكن تصوير الوسائط مثل الديسكات والأقراص والأشرطة المغناطيسية وتسجيل سعة تخزينها ومكان وجودها في الموقع.

المرحلة الثالثة: تحديد فيما إذا كان من الممكن إغلاق الأجهزة
يجب على المحقق أن يحدد فيما إذا يجب إغلاق الجهاز وإذا لم يستطع ذلك يمكنه الاستعانة بخبير نظام معين قبل البدء، ومن الأمثلة على جهاز حاسوب لا يجب إطفاؤه هو main frame أو server يدعم أعمال مؤسسة ما.

وإذا أغلق الجهاز فيجب أن يدرك المحقق أن هناك معلومات قد تكون مخزنة على سواقة RAM وفي هذه الحالة يجب اتخاذ الخطوات الكفيلة بعمل backup ويجب أخذ ملاحظات لذلك التقييم.

المرحلة الرابعة: إغلاق أجهزة الحاسوب العاملة
يجب على المحقق أن يقوم بإغلاق الجهاز بطريقة سليمة shutdown وذلك للأجهزة المشكوك بها، أي باستخدام وسيلة الإغلاق الطبيعية لنظام التشغيل، وإذا لم يكن ممكناً إغلاق الجهاز بشكل طبيعي وبناء على تقييم الشخص الفني في فريق التحقيق، وكالعادة يجب تسجيل جميع الحركات فيسجل التفتيش والضبط.



المرحلة الخامسة: تعليم الأجهزة والكوابل والوسائط
يجب إستخدام ملصقات labels أوأوراق طرفية tags لتمييز أجهزة الحاسوب والوسائط والكوابل والأدوات، وإذا كان هناك أكثر من حاسوب في مسرح الجريمة يمكن استخدام نظام ترميز لتمييز الطرفيات peripherals والكوابل ولتمييز مكونات كل جهاز.
المرحلة السادسة: تجهيز الحاسوب والوسائط والأدوات للنقل .
يجب إعداد جميع أدلة الحاسوب بحرص من أجل نقلها إلى مختبر الأدلة، ويجب تغليف كوابل وأجهزة الحاسوب في صناديق كرتونية وتعليمها بملصق تعبر عن محتوياته( ).

كما يمكن استخدام رغوة التغليف والأغطية البلاستيكية المقاومة للكهرباء السكانة anti-static ويجب وضع وسائط التخزين في أوعية مناسبة، كما يجب وضع جميع الصناديق التي تخص نظام حاسوب معين مع بعضها البعض وذلك من أجل تسهيل تتبع نقلها من مسرح الجريمة إلى مختبر الأدلة وتسليمها.

وأثناء شحن الصناديق من أجل النقل يتم استخدام سجل النقل لتسجيل المعلومات التي تستخدم لاحقاً لتأكيد تسليم جميع المواد إلى وجهتها، وهذه المعلومات تشمل تاريخ ووقت النقل، ومحتويات الصندوق واسم الشخص الذي نقل الصناديق.

ويجب أن يحرص المحقق أن يبقى جميع الأجهزة والبرامج بعيدة عن الحرارة والمجال المغناطيسي يمكن استخدام بوصلة لاختبار المجال المغناطيسي.

المرحلة السابعة: نقل الحاسوب والأدوات والوسائط
يجب أن يحرص المحقق بشأن كيفية نقل أدلة مسرح الجريمة وذلك من أجل المحافظة على سلسلة الوصاية، وأفضل ترتيب هو أن ينقل المحقق بنفسه الأدلة إلى المختبر.

المرحلة الثامنة: تفريغ أجهزة الحاسوب والأدوات والوسائط
عند وصول الحاسوب والأدوات والوسائط إلى مختبر الأدلة يجب تفريغها بحرص، ويجب على المحقق الرئيسي أو مسؤول المختبر أن يتأكد من المواد بحسب سجل النقل، كما يجب توثيق تاريخ ووقت وصول المواد واسم الشخص المسؤول عن استلامها وتفريغها.

يجب فحص جميع الطرود للتأكد من عدم حصول عبث أثناء النقل ومن ثم وضع الأدلة في المختبر من أجل تأمينها وفحصها، كما يجب تخزين سجل التفتيش والضبط وسجل النقل في المختبر عند إنهاء التفريغ، لاحظ بأن استخدام برنامج إدارة قضايا جيد يتيح تخزين السجلات الجنائية معاً بطريقة إلكترونية آمنة.


المبحث الثاني
معالجة الأدلة واكتشاف المعلومات

إن الأدلة وإجراءات التحري والتحقيق في بيئة جرائم الحاسوب لا يكفيها المعرفة العامة بل تحتاج تدريباً متواصلاً، يتوازن مع التحديات الجديدة في عالم التقنية، وهو تدريب يمتد إلى برمجيات البحث المتقدمة وأجهزة التوصل المعقدة مع النظم ووسائل وآليات كشف الأدلة وحفظها وأنواع الأدلة الإلكترونية، وغيرها.

يجب فيمن يستخدم الكمبيوتر والإنترنت لغايات التحقيق أن يكون مستخدماً محترفاً لشبكات الحاسوب، وأن يكون محققاً ماهراً وملماً بمعرفة القوانين والممارسات السائدة، وأن يكون راغباً وقادراً على التعلم بسرعة لأن تقنية الشبكة تتطور بمعدل سريع، ويجب أن يكون لدى المحقق فهم أساسي لأنظمة المعلومات، فالقدرة على تشغيل حاسوب واستخدام معالج كلمات وتصفح الشبكة لا يفي بالغرض لوحده، فيجب أن يعرف المحقق ممارسات إدارة النظم وأن يعرف المسائل المتعلقة بأمن الحاسوب وكيفية عمله وأنظمة التشغيل وقواعد البيانات والشبكات بالإضافة إلى الخيال ومهارات الاستنباط لحل القضايا.

ولمعالجة الأدلة واكتشاف الجريمة ثمة متطلبات فنية وبشرية لازمة للتوافر في القسم الذي يتولى هذه المهمة واتباع مراحل معالجة الأدلة الرقمية (المطلب الأول) وقواعد اكتشاف المعلومات (المطلب الثاني).

المطلب الأول
متطلبات مختبر جرائم الحاسوب واتباع مراحل معالجة الأدلة الرقمية( )

أولاً: متطلبات مختبر جرائم الحاسوب
1. التقنيات والأجهزة
1. أجهزة حاسوب ثابتة مزودة بالإضافات وتحدّث باستمرار.
2. طابعات ملونة وأبيض وأسود.
3. مساح ضوئي.
4. أجهزة حاسوب دفترية مزودة بالإضافات الحديثة وبطاقة شبكة ووصلات خارجية جاهزة للربط مع أي شبكة ومزودة بعدة نظم تشغيل.
5. جهاز التنصت المحمول الميداني ومن الأمثلة عليه جهاز COMSTORE.
6. أقراص صلبة ذات سعة عالية.
7. External CD RW.
8. 8. External ZIP Drive عدد (1).
9. تشكيلة من الوصلات وأدوات التفكيك مفاتيح، مفكات براغي.
10. مجموعة من الدعامات المحمولة الفارغة أقراص مدمجة، أقراص 3.5 إنش.
2. البرمجيات واجب توفرها في مختبر جرائم الحاسوب :
1. أنظمة التشغيل ومنها Dos, Win9x, WinMe, WinXP, WinNT, UNIX.
2. برمجيات الضغط وفك الضغط ومنها ZIP, RAR, ACE, ARC.
3. برمجيات معالجة الصور وعرضها وتحويلها وتصميمها:
ACDSee, Compupic, GWS, Xnview, Photoshop, CorelDraw.
4. برمجيات نسخ الأقراص المدمجة Nero, Easy CD Creator, ISO Buster.
5. برمجيات الاتصال بين أي من حواسب المختبر والحاسوب المضبوطة عبر الـ Ports.
6. أدوات البحث الدقيق واستعادة الملفات المشطوبة أو المحطمة.
Encase Norton Utilities, Rescue Disk, Disk Search, Disk Edit, and Hexedit.
7. برامج التشفير وفك التشفير مثل PGP.
8. برامج إلغاء أو كشف كلمات المرور لمختلف برامج الحاسوب والرسائل الإلكترونية.
Advance office 2000 password recovery, Access Data.
9. برامج كشف الأجزاء المخفية على الأقراص المدمجة WINONCD.
10. برامج كشف الأجزاء المخفية على الأقراص الصلبة PC Tools Norton.
11. برامج نسخ الأقراص الصلبة Safe back, Ghost, Back Office.
12. برامج التصنت على شبكة الإنترنت والرسائل الإلكترونية واختراق المواقع Simantic Forest.
13. أدوات البحث على الإنترنت NetScape, Taiga,Web Ferret.
14. برامج معالجة الفيروسات F-Prot, F-Secure, PCcillin, McAfee.
15. برامج فحص ثغرات الشبكات ونقاط الضعف فيها التي يمكن للقراصنة اختراق الشبكة من خلالها.
16. برامج حماية الشبكات والأنظمة من الاختراق firewalls.
وأية برامج أخرى قد تكون ضرورية.

3. الدورات والتأهيل الفني
ويجب أن يكون العاملون في المختبر يجيدون العمل على البرامج واللغات التالية:
Internet architecture and using, Internet programming using (Java, Java- Script, HTML, XML, Internet Protocols (TCP/IP, DNS, Http… Internet Networks and Servers and its Security, Web Sites and ActiveX and Java Security, Secure Remote Access.
• Firewalls and Encryption.
• Networks Administration and operating using (WinNT, UNIX, Solaris, Networks broadband Analysis- ISDN and Frame relay and SMDS and ATM, Networks Infrastructure, implementing TCP/IP networks.
• High level languages (C+, Visual C and Low Level Languages (Asembly…).
• دورة في آلية عمل التجارة الإلكترونية وماهية التواقيع الإلكترونية. ومن الممكن إضافة أي أجهزة أو برمجيات أو دورات وذلك حسب المستجدات. ومن الممكن إضافة أي أجهزة أو برمجيات أو دورات وذلك حسب المستجدات.


ثانياً: مراحل معالجة الدليل في المختبر
بعد نقل الأدلة إلى المختبر يجب تسجيل كل دليل وهذا يساعد على ضمان سلسلة الوصاية كما أنه يساهم في تقديم الدليل إلى المختبر وتشمل هذه العملية المراحل التالية( ):

المرحلة الأولى: بدء سجل الأدلة
يجب على المحقق أن يتأكد من جميع أجهزة الحاسوب والأدوات والوسائل في مختبر الأدلة قبل فتح سجل أدلة المختبر ويحفظ في المختبر إذا كان هناك برامج إدارة قضايا جيد) ولكل دليل من الأدلة يجب توثيق ما يلي :
• وقت وتاريخ الوصول إلى مختبر الأدلة.
• وصف للدليل على أن يطابق الوصف الموثق سابقاً في سجل التفتيش والضبط.
• حالة الدليل عند وصوله يجب أن يطابق الحالة التي وجد عليها أثناء التفتيش والضبط.
• اسم المحقق الذي تأكد من الدليل قد يكون أولاً نفس الشخص الذي ضبطه.

ومن هذه النقطة إن أي شخص يرغب بالتعامل مع الدليل عليه أن يتأكد منه أولاً ثم يعيد التأكد منه بعد انتهاء عمله، وهذا يوجب إيراد النقاط التالية في سجل الأدلة:
• تاريخ ووقت التأكد من الدليل.
• تمييز الدليل.
• اسم المحقق الذي تأكد من الدليل.
• وقت وتاريخ التأكد للمرة الثانية.

المرحلة الثانية: عمل نسخة احتياطية من الأقراص الصلبة والوسائط
يجب أخذ نسخ احتياطية من النشاطات الجنائية بواسطة bit stream backups للأقراص الصلبة والوسائط، ومثل هذه النسخ هي bit-for-bit أي أن جميع الملفات والمعلومات المخفية والممحوة والطبيعية مشمولة في النسخة الاحتياطية. وبواسطة وضع نسخة احتياط bit- stream backups في ملف معلومات واحد بواسطة برنامج GNU dd يصبح من السهل للمحقق أن يبحث في محتويات النسخة الاحتياطية بأكملها باستخدام UNIX.

هناك طريقتان لتوليد نسخة احتياط للقرص الصلب، أولاً يمكن عمل boot للحاسوب بواسطة ديسك أو قرص مدمج ونسخة إلى إدارة أخرى. أو بعد إغلاق الحاسوب يؤخذ القرص الصلب ويتم نسخه بواسطة جهاز خاص ناسخ أقراص.

وتكمن ميزة الطريقة الأولى في أنه لا حاجة للتعامل إعدادات الجهاز حيث أن ترك الجهاز دون لمسه أحياناً ضرورة قصوى، ولكن سيئة هذه الطريقة هي أن المحقق يضطر للتعامل مع الحاسوب بتشغيل برنامج عليه من أجل توليد نسخة احتياطية.

أما ميزة الطريقة الثانية فهي أن الحاسوب مسرح الجريمة لا يتم استخدامه رغم أن القرص الصلب سيقرأ حيث يتم استخلاص القرص الصلب من الحاسوب، ولكن سيئة هذه الطريقة هي أن المحقق يتطلب كفاية فنية من أجل فك وتركيب القرص الصلب.

وفي كلتا الحالتين فإن نسخة احتياط bit stream backups يجب الحصول عليها بأقل قدر ممكن من التعامل مع الحاسوب. إن عمل نسخ احتياطية من الديسكات والأشرطة والأقراص المدمجة أسهل من الأقراص الصلبة ويتوقع من مختبر الأدلة أن يحتوي على الأدوات الضرورية لقراءة الوسائط المشبوهة مختلفة الأنواع.

المرحلة الثالثة: البدء بالفحص الجنائي
باستخدام نسخ احتياطية bit stream backups من المرحلة الثانية يمكن للمحقق أن يقوم بالفحص الجنائي بأمان، ويجب الانتباه إلى القواعد المذكورة في أساسيات التفتيش والضبط وبروتوكول الفيروسات ويجب تسجيل جميع الخطوات في سجل الأدلة، وكل مادة في السجل يجب أن تشمل وقت وتاريخ الفحص الجنائي ووصفاً للفحص واسم المحقق.

المطلب الثاني
اكتشاف المعلومات

تختص عملية التفتيش والضبط بدليل مسرح جريمة الحاسوب حيث يصل المحقق إلى مسرح الجريمة ويؤمنه ويضبط الأدلة وينقلها إلى المختبر لمعالجتها، بينما اكتشاف المعلومات تتعامل مع الناحية المنطقية – أي المعلومات الإلكترونية، ونعرض تالياً لأهداف اكتشاف المعلومات والقواعد الأساسية لذلك والتخطيط لاكتشاف المعلومات والبحث عن المعلومات ومعالجة أدلة كشف المعلومات.

1. أهداف اكتشاف المعلومات :
• تأكيد أو نفي أن مستخدم نظام حاسوب قد تجاوز أو أسماء استخدام صلاحيات الوصول.
• تحديد فيما إذا حصلت حركة معينة في النظام خلال فترة معينة ومن الذي أجرى هذه الحركة.
• توثيق نشاطات مستخدم أو مجموعة مستخدمين على نظام الحاسوب ضمن فترة معينة.
• تتبع الرسائل الإلكترونية إلى مصدرها.

2. القواعد الأساسية لاكتشاف المعلومات :
عدا عن الأنظمة المنعزلة فإن اكتشاف المعلومات يشمل كذلك الشبكات سواء intranet أو internet وهناك عدة قواعد أساسية يجب أن يراعيها المحقق في هذه المرحلة وهي( ):

القاعدة الأولى : عدم تعديل المعلومات المكتشفة
من المهم للمحقق أن لا يعدل الأدلة المسترجعة أثناء النشاطات الجنائية حيث من المحتمل أن تتغير الأدلة سواء المبنية على الأجهزة hard ware أو البرامج soft ware خلال مجريات التحقيق بما أن الأجهزة سوف يتم تشغيلها والبرامج سوف يتم تنفيذها ومن وسائل ضمان ذلك هي تخزين المعلومات على ملفات read only أو بواسطة استخدام نظام تحكم لمراجعة revision control system وعلى أي حال على المحقق أن يصنع هضم الرسالة message digest للمعلومات المكتشفة حتى يتأكد من أن تلك المعلومات لم تتغير خلال مجرى التحقيق.

القاعدة الثانية: عمل نسخة احتياط backup للمعلومات المكتشفة
أثناء مجرى التحقيق كما أسلفنا على المحقق ان يقلل قدر المستطاع من تفاعله مع أدلة مسرح الجريمة الحاسوب لذلك يجب حفظ الأدلة بطريقة ما، وأفضل الطرق لعمل هذه هي عمل نسخة احتياطية من الأدلة بحيث يتم إجراء النشاطات الجنائية على نسخ bit stream وليس الدليل الأصلي والذي يجب حفظه. وبهذه الطريقة يمكن تجنب التفاعل المدمر مع الملف الأصلي عن طريق أخذ نسخة عنه بعد جمعه، وهنا أيضاً يمكن استخدام نظام تحكم للمراجعة revision control system لحفظ نسخ الملفات وأيضاً ضمان سلامتها.

3. التخطيط لاكتشاف المعلومات:
على الرغم من أن اكتشاف المعلومات لا يتعامل مع التفتيش وجمع الأدلة المادية مثل الأجهزة والوسائط، إلا أن مراحل تخطيط عملية الاكتشاف مشابهة لمراحل التفتيش والضبط حيث أن الفرق الوحيد هو أنه لا يوجد فريق تفتش في اكتشاف المعلومات بل يمكن لشخص واحد أن يقوم بعملية الاكتشاف خصوصاً إذا تم استخدام أدوات البحث.

قبل البدء في اكتشاف المعلومات من المهم وضع خطة لضمان الفهم الواضح لما يبحث عنه المحقق، وهذا يقلل من مخاطر إتلاف أو فساد المعلومات أثناء استرجاعها.

وهناك أربع خطوات ضرورية في عملية اكتشاف المعلومات:

الخطوة الأولى: إعداد الأجهزة ووسائط التخزين الضرورية
بالنظر إلى أهمية النسخة الاحتياطية من الدليل ولأن المعلومات المكتشفة هي هشة فيجب على المحقق تخزين تلك المعلومات والأدلة وعليه أن يتأكد أن الوسائط كافية للتخزين مثل JAZZ cartridges.

الخطوة الثانية: إعداد الوسائل الإلكترونية لتوثيق البحث
من المهم توثيق جميع المعلومات لضمان سلامة ونزاهة التحقيق بواسطة برنامج توثيق إلكترونية ملائم وآمن، وهذا سيوفر الوقت والإرباك أثناء عملية اكتشاف الدليل. كما تتطلب المسألة استخدام سجلين: سجل الأدلة المكتشفة وسجل أدلة المختبر حيث يختص الأول بالمعلومات المكتشفة ويختص الثاني بالفحص الجنائي للأدلة.


الخطوة الثالثة: التأكد من معرفة الخبراء لجميع أشكال الأدلة
يجب على المحقق أن يعرف الناحية التركيبية والمعنوية للشيء الذي يبحث عنه وكيفية إجراء البحث، وبهذه الطريقة يتجنب المحقق الخوض في المعلومات بدون هدف محدد، فهو يقوم بوضع استراتيجية لتلاءم المعلومات المستهدفة، كذلك يتم تقليل احتمال فساد الأدلة التي قد يحدث بسبب القيام بعملية البحث نفسها.

الخطوة الرابعة: تقييم الوضع القانوني لاكتشاف المعلومات
يجب على المحقق أن يدرك مسائل مثل حقوق المشتبه بهم وخصوصيتهم، وأن يتأكد من أن التحقيق يجري بطريقة قانونية وأخلاقية، وعلى جميع الأحوال يجب استشارة الدائرة القانونية لمعرفة ما يمكن وما لا يجوز عمله فيما يتعلق بالتحقيق.

4. البحث عن المعلومات:
لا يوجد هناك إجراء محدد مسبقاً للبحث عن المعلومات لأن الخطوات المطلوبة تعتمد كلياً على القضية، فمثلاً قد يحتاج المحقق إلى ابتكار وظائف main frame batch للخوض عبر مئات megabytes من المعلومات، أو قد يتطلب الموقف تمشيط ملفات الحسابات في UNIX server أو قد يستدعي الأمر أن يبحث المحقق في سجلات router عن أي إشارات لنشاطات شبكة والاحتمالات المتخذة خلال اكتشاف المعلومات متروكة للظروف ومعرفة تصور المحقق.

وحالما يتم تحديد وجمع المعلومات تصبح جاهزة للتحليل، ومع ذلك فالعملية بأكملها سترجع إلى إطار آخر مع خطوط عريضة للتأكد من ملفات المعلومات في مختبر الأدلة والتعامل معها بعد ذلك .

إن الخطوة المطلوبة هنا هي أن يحفظ المحقق سجلاً مفصلاً لكل ما يقوم به، وهذا السجل يقابل سجل التفتيش والضبط ويسمى سجل أدلة اكتشاف المعلومات، ويجب أن تشمل مواد ذلك السجل ما يلي :
• وقت وتاريخ التحقيق.
• اسم المحقق.
• وصف لما يحاول المحقق اكتشافه.
• وصف لكيفية تقدم التحقيق.
• وصف النتائج.

5. معالجة أدلة كشف المعلومات :
بعد نجاح المحقق في جمع المعلومات تقع على عاتقه مهمة إحضار المعلومات إلى المختبر تمهيداً لبدء الفحص الجنائي. وكما هو الحال مع أدلة الحاسوب المادية مثل أنظمة الحاسوب والأقراص الصلبة والوسائط يجب أن تمر المعلومات في إجراءات التسجيل لضمان حفظ سلسلة الوصاية، وتتألف هذه الإجراءات مما يلي :


الخطوة الأولى: عمل نسخة احتياطية من المعلومات المكتشفة
لا يجب بالضرورة أن تكون النسخ الاحتياطية المأخوذة عن الملفات المكتشفة على نمط bit stream وذلك لأن عملية اكتشاف المعلومات لا تجري على الوسائط المضبوطة وهكذا فهي لا تتطلب حفظ الأنظمة كدليل.

• مناطق الاهتمام Areas of Interests خلال إجراء الفحص على شبكة الإنترنت( ):
• برامج الأنظمة: وهي تحدد كيفية إعداد وتشغيل الحاسوب الفعلي، وبالتحديد برامج Windows لأنها تسجل الكثير من التفاصيل عن إعداد واستعمال النظام.
البرامج مثل ملفات الإنترنت المؤقتة Temporary Internet Files وملفات التاريخ History تحتوي عموماً على معلومات مفيدة.
• الإنترنت وبرامج الشبكة: هذه ستخلق المعلومات الأكبر وخصوصاً برامج البريد الإلكتروني ومجموعة الأخبار، والشبكة، و IRC وهكذا.
ومن المهم أيضاً أن تتذكر بأنها تحتوي على معلومات سابقة عن نشاط المستخدم.
• الملفات المخفية والمحذوفة التي تم استرجاعها : إن مجرد كونها مخفية أو محذوفة فهذا يعني أنها من المحتمل أن تحتوي على معلومات مفيدة.
الملفات المشفرة والمزورة الاسم : أيضاً هذا النوع من الملفات يدل على شكل من الأمن بشكل مشروع أو غير ذلك ولها القدرة على كشف معلومات مفيدة.

الخطوة الثانية: بدء سجل أدلة المختبر
يجب الاحتفاظ بسجل يحتوي على المعلومات المكتشفة ويجب ان يدون في السجل:
• الوقت والتاريخ.
• وصف لكل ملف مكتشف.
• اسم المحقق الذي تأكد من الملف.

الخطوة الثالثة: الاستمرار بالفحص الجنائي
باستخدام النسخ الاحتياطية يمكن للمحقق أن يقوم بالفحص الجنائي لملفات كشف المعلومات، وكالعادة يجب تدوين العمل في السجل مع ذكر :
• الوقت والتاريخ.
• الوصف.
• اسم المحقق.


الخاتمـة والتوصيـات

تناولنا في هذا البحث موضوعاً ينطوي على قدر كبير من الأهمية وتتعلق به مسائل نظرية وعملية، فعالجنا موضوع التحقيق في جرائم الحاسوب، وذلك من خلال الوقوف على ما هية أنظمة الحاسوب والإنترنت والقواعد العامة في التفتيش والضبط ومن ثم الوقوف على ماهية وصور جرائم الحاسوب، والوقوف على القواعد والأصول للتحقيق في هذه الجرائم من حيث قواعد التفتش والضبط ومسائلها الفنية البحتة، والوقوف على قواعد وأصول التعامل مع الأدلة الرقمية المتعلقة بهذه الجرائم، وفي هذا الاستعراض وقفنا على التحديات والمشكلات التي تواجه عملية التحقيق في جرائم الحاسوب واستعرضنا وسائل التامل مع هذه التحديات.

وقد أظهرت الدراسة كنتيجة عامة أن الأساليب التكنولوجية التي ترتكب فيها جرائم الحاسوب تتطور مع التطور الحاصل على أجهزة وشبكات وبرمجيات الحاسوب، فاختراق نظم المعلومات كان في بدايات ظهور جرائم الحاسوب يتم عن طريق خطوط الهاتف العادية أو عن طريق الحصول بطريقة أو بأخرى على كلمة السر Password، أما في الوقت الحاضر فقد طورت تقنيات وبرمجيات تسمح بالاختراق عن طريق زراعة برمجيات صغيرة ومتقدمة وقد ازداد استخدام الحاسوب كوسيلة تقنية أو ارتكاب أفعال تغيير في البرامج أو المعلومات المخزنة فيه وكذلك سرقة برامج الكمبيوتر أو إعادة إنتاجها وتوزيعها ما يعد اعتداءً على حقوق الملكية الفكرية Intellectual Property للبرمجيات، كما.

ومع أهمية هذه الخطوة، وفي ضوء ما ظهر من هذه الدراسة من حاجة ماسة لمزيد من الاستعداد والتأهيل لمواجهة خطر هذه الجرائم وتوفير القدرة والفعالية لأساليب التحقيق بها وكشفها، فإنه لا بد من اتباع مزيد من الخطوات العملية والفنية والتأهيلية لمواصلة الجهد في هذا الحقل، وفي هذا الصدد فإن الدراسة تظهر الحاجة إلى مزيد من الخطوات في هذا الحقل.
















التوصيــات

في ضوء هذه النتائج العامة، وما أظهرته الدراسة المتقدمة من نتائج فرعية، يوصي الباحث بما يلي:

1. تدريب العاملين في ميدان التحقيق في جرائم الحاسوب من أجهزة الشرطة والقضاء بصور ومخاطر جرائم الحاسوب وطرق ارتكابها وأسس التعامل مع الأدلة الرقمية.
2. إنشاء أقسام أو وحدات فنية متخصصة للتحقيق في جرائم الحاسوب والتعامل مع الادلة الرقمية واكتشافها ورفدها بالكفاءات البشرية المتخصصة وبالتجهيزات الفنية الملائمة من حيث البرمجيات والأجهزة.
3. الانضمام إلى الاتفاقيات الدولية التي تشتمل على نصوص تنظيم إجراءات التفتيش والضبط المباشر الواقع عبر الحدود على أنظمة الحاسوب المتصلة بشبكة الإنترنت.
4. إصدار دليل إرشادي تقني وقانوني حول صور جرائم الحاسوب والأصول العلمية لكشفها والتحقيق فيها وأساليب التعامل مع الأدلة الرقمية ومواصلة تحديث هذا الدليل بشكل دوري وكلما دعت الحاجة لذلك وتعميمه على العاملين في مجال التحقيق في الميدان وعلى أجهزة القضاء، والاستفادة من الدليل الصادر عن المنظمة العالمية للشرطة الجنائية الإنتربول.

أتمنى أن تكون هذه الدراسة وفي حدود مساحة العرض المتاحة وفي حدود المشكلات التي واجهت الباحث قد حققت الغرض المرجو منها في استظهار أصول للتحقيق في جرائم الحاسوب.