البيانات الوصفية للأدلة الرقمية

بدأ مصطلح البيانات الوصفية يتسلل من دوائر التكنولوجيا إلى مجال السلامة العامة على مدى السنوات الـ 15 الماضية. ويرجع السبب في ذلك إلى التركيز المستمر على التكنولوجيا والأدلة الرقمية للقبض على المجرمين. فبين استخدام الوكالات للأدوات الرقمية، واستخدام المجرمين للتكنولوجيا لتعزيز جهودهم، تلعب البيانات الوصفية دورًا مهمًا في المقابل في الأدلة، وفي إثبات الذنب أو البراءة في المحكمة. ولكن بالنسبة لغير المبتدئين، لا يزال المصطلح يبدو وكأنه هراء. نهدف اليوم إلى تقديم فهم أساسي للبيانات الوصفية للأدلة الرقمية. ولكن لكي نبدأ هذا الأمر بأكبر قدر ممكن من الارتباك، دعونا نعرض لكم التعريف القياسي للبيانات الوصفية.

تعريف البيانات الوصفية

مجموعة من البيانات التي تصف وتعطي معلومات عن بيانات أخرى.

يبدو الأمر وكأن الأشخاص الذين توصلوا إلى فكرة البيانات الوصفية نحاول عن قصد إرباك الجمهور. لكن إحدى الطرق لفهم ماهية البيانات الوصفية هي التفكير في بطاقة مكتبة من نظام ديوي العشري. تمثل كل بطاقة عنوان كتاب واحد، وتحتوي على معلومات مصنفة عن هذا العنوان، لتشمل المؤلف، والنوع، وسنة النشر، وشركة النشر، ومكان الكتاب داخل تلك المكتبة المعينة، وهكذا. والفرق الرئيسي هو أنه بينما يمكننا النظر إلى بطاقة فهرس المكتبة ماديًا بسهولة نسبية، فإن البيانات الوصفية مخفية داخل الملف الإلكتروني المعني. يتطلب استرداد البيانات الوصفية بعض المهارات التقنية لاسترداد البيانات الوصفية، ولكن من السهل للغاية تحقيق ذلك. سنستمر بشرح الأدلة الرقمية، كما يعرفها نظام المحاكم في الولايات المتحدة:

الأنواع الأساسية للأدلة الرقمية

تُعرّف المحاكم في الولايات المتحدة الأدلة الرقمية في ثلاث فئات:

• الأدلة الرقمية التي تم إنشاؤها بواسطة آلة
• دليل رقمي تم إنشاؤه بواسطة إنسان
• الأدلة الرقمية التي تم استردادها

الأدلة الرقمية المستندة إلى الآلة

مع هذا النوع من الأدلة، هذا الدليل الذي تم إنشاؤه فقط بواسطة جهاز، سواء كان جهاز كمبيوتر، أو هاتف خلوي، أو تلفاز ذكي، أو كاميرا، وما إلى ذلك. أياً كان الجهاز، فإنه ينتج دليلاً رقمياً من تلقاء نفسه، ويكون فريداً من نوعه بالنسبة للجهاز نفسه. إن اختبار هذا النوع من الأدلة في المحكمة بسيط، من حيث أنه يجب فقط إثبات أن الجهاز كان يعمل بشكل صحيح في وقت إنتاج الأدلة التي أنتجها. تكمن الصعوبة في ربط إنتاج تلك البيانات بإنسان. بشكل أساسي، وضع شخص أمام الجهاز أو الكتابة أو التلاعب. ولكن بمجرد إثبات النشاط، وربط الشخص به، عادةً ما يكون من السهل جدًا تحديد ما قام به الشخص من خلال تحليل البيانات الوصفية التي تخدم أغراضًا متعددة لتوضيح ما تم القيام به، وكيف تم القيام به، وبأي جهاز.

الأدلة الرقمية التي أنشأها الإنسان

قد يبدو هذا المصطلح زائداً عن الحاجة عندما ننظر إلى شرحنا السابق للأدلة الرقمية المستندة إلى الآلة. ومع ذلك، فإن ما يعترف به هذا المصطلح هو عمل الشخص الذي يكتشف الدليل الرقمي بعد وقوعه. وقد يكون هذا الشخص زوجًا أو جارًا أو حتى شخصًا غريبًا أو محترفًا مدربًا، وعلى الأرجح أن يكون لديه خلفية في مجال تكنولوجيا المعلومات. من خلال بعض الوسائل الثابتة قام هؤلاء الأشخاص بإنشاء أساس شكوى تتعلق بجريمة ارتكبها شخص ما من خلال الوسائل الرقمية، وقاموا منذ ذلك الحين بتزويدنا بتلك المواد. من المهم أن نلاحظ أن المحاكم لن تعترف بهذه المعلومات كدليل إلا إذا تم تقديمها من قبل الشخص أثناء الإجراءات، أو قبلتها المحكمة بموجب استثناءات الإشاعات.

الأدلة الرقمية المسترجعة

ربما يكون هذا هو التعريف الأسهل للفهم لدينا، وهو الدليل الذي نستعيده، أو يقوم به الفنيون المحترفون لدينا. وبالعودة إلى أدلتنا الرقمية التي أنشأها الإنسان، فإن متطلبات تقديم هذه الأدلة ذات شقين. الأول، أنت بحاجة إلى الشاهد الذي يمكن أن يشهد على أن هذا الدليل مرتبط بالمشتبه به، ويجب أن يكون موظفونا قادرين على الشهادة بصحة هذا الدليل، بما في ذلك طرق جمعه. بالطبع، إذا كان السيناريو ينطوي على جهاز شخصي للمشتبه به، ولدينا القدرة على وضع الجهاز واستخدامه في يد المشتبه به دون الحاجة إلى شهادة طرف ثالث، فإن ذلك يصلح أيضًا، هناك الكثير من الحالات التي حدثت مؤخرًا، خاصةً مع الهواتف المحمولة، حيث استثمرت العديد من الوكالات في موظفيها لاستعادة البيانات فورًا من الهواتف المحمولة التي بحوزة المشتبه بهم. أمثلة على البيانات الوصفية أحد أكثر أشكال الأدلة الرقمية شيوعًا التي يتم تقديمها في المحكمة هو البريد الإلكتروني. وتجمع رسائل البريد الإلكتروني بين نوعين من الأدلة الرقمية، المستندة إلى الآلة والمُنشأة بشرياً. فالعناوين في رسالة البريد الإلكتروني هي شيفرة تعتمد على الآلة، في حين أن أسطر تعبئة النص هي من إنشاء الإنسان. عندما تدمج هاتين المجموعتين من البيانات، فإن ذلك يساعد في تكوين صورة ليس فقط لما تم إرساله، ولكن من أين نشأت، حيث أن الأجزاء المستندة إلى الآلة في البريد الإلكتروني في التعليمات البرمجية تكون فريدة من نوعها للجهاز الذي أتت منه. معظم الناس لا يعرفون هذا، لكن رأس البريد الإلكتروني الحقيقي يحتوي على الكثير من البيانات في الواقع، لدرجة أن أمرًا بسيطًا لإخفائه عادةً سيكشف كل شيء عن البريد الإلكتروني، بما في ذلك مصدره، بما في ذلك عنوان IP. يمكن أن يكون ذلك مفيدًا إذا كان البريد الإلكتروني ينشأ من نطاق فريد. ولكن، في كثير من الحالات، يعني استخدام مزود خدمة مثل Gmail أن عنوان IP سيعود ببساطة إلى أحد مواقع شبكة Google المشتركة. في تلك الحالات، يمكن أن يساعد النظر إلى اسم الخادم الذي صدر منه البريد الإلكتروني في تضييق نطاق نوع الخدمة التي استُخدمت لإرسال البريد الإلكتروني. تتمثل إحدى طرق العثور على اسم الخادم في رأس الرسالة في تحديد موقع قسم يسمى “معرّف الرسالة”. سيحتوي على رمز رقمي فريد مرفق به، والذي يمثل البريد الإلكتروني المحدد الذي تبحث عنه، بالنسبة لجميع الرسائل الإلكترونية المرسلة لذلك الخادم. سيحتوي الجزء التالي من هذا السطر على رمز @، متبوعًا باسم الخادم. على سبيل الجدال، قد تبدو البنية العامة مثل “wx258128d.serverhost.local” وهذا ما يمكننا استخدامه لتضييق نطاق مصدر البريد الإلكتروني. يمكننا استخدام اسم الخادم هذا لمعرفة مصدره، مثل مزود خارجي لمنتجات مايكروسوفت للمؤسسات، مثل Outlook، أو شركة تستضيف عملاء الأعمال مباشرةً. هناك الكثير من السيناريوهات الأخرى التي يمكن اكتشافها، ولكن النقطة المهمة هي أن هذه النسخة الأساسية من البيانات الوصفية التي لا تتطلب مذكرة تفتيش، يمكن استخدامها لتضييق نطاق موقع المشتبه به وتحديد المعلومات الخاصة به. لن تحل بالضرورة الجريمة أو من ارتكب الجريمة. ولكن إذا كانت هذه القطعة الواحدة من البيانات الوصفية يمكن أن تعطينا هذا القدر من المعلومات، فتخيل ما الذي يمكن أن توفره المزيد من البيانات الوصفية الأخرى؟ وأفضل ما في البيانات الوصفية هو أنها تُستخدم جميعها للتحقق من صحة البيانات. لذا، إذا كان هناك خطأ ما في البيانات نفسها، يمكن للخبير المدرب أن يشير إليه على الفور، ولكن يمكنه أيضًا معرفة ما هو تالف وما هو غير تالف، مما يعني أنه ليس بالضرورة أن يضيع كل شيء في تلك الحالات.

مثال شائع آخر هو الصور الفوتوغرافية. سواء كانت صورًا فوتوغرافية لمسرح الجريمة، أو صورًا لأدلة عُثر عليها في موقع منفصل، أو صورًا للضحية، فكلها تحتوي على بيانات وصفية، وبالتالي نحتاج إلى معرفة مكانها وما يمكننا استخلاصه منها. على سبيل المثال، معظم الكاميرات التي تعمل بالكاميرات الرقمية الحديثة تخزّن بيانات النظام العالمي لتحديد المواقع (GPS) الخاصة بمكان التقاط كل صورة. وقد أجرينا مؤخراً اختباراً داخلياً باستخدام عينة عشوائية من الصور الفوتوغرافية مع أوصاف مكتوبة مطابقة مأخوذة من الإنترنت. في إحدى الحالات الملحوظة، وجدنا صورة فوتوغرافية يزعم صاحبها أنها من منطقة معينة في فيرجينيا. نظرنا إلى الصورة ولم نتفق مع وصفهم. قمنا بتنزيل الصورة وراجعنا بيانات نظام تحديد المواقع العالمي (GPS) الموجودة ضمن مجموعة البيانات الوصفية للصورة، ووجدنا أن الإحداثيات في الصورة تتوافق مع منطقة في كاليفورنيا. ربما كتب المالك الوصف لصورة مختلفة ووضع صورة كاليفورنيا عن طريق الخطأ. لكن النقطة المهمة هي أن البيانات الوصفية للصورة تخبرنا بقصة دقيقة ومختلفة عن قصة الشخص الذي يحتفظ بالصورة. تخيل كيف يمكن لهذا النوع من المعلومات التي لا جدال فيها أن تساعد في تحقيق جنائي. يتم إرفاق التاريخ والوقت أيضًا بالصور الفوتوغرافية، ولكننا لا نجد أن هذه البيانات موثوقة، حيث أن معظم الكاميرات لديها إعدادات يمكن للمستخدم التلاعب بالوقت والتاريخ الفعليين. من الصعب القيام بذلك في الهواتف المحمولة، ولكن هناك حالات حدث فيها ذلك. حجم ملف الصورة الفوتوغرافية ونوع الملف يتناسبان أيضًا مع تعريف البيانات الوصفية لدينا، ثم هناك تنسيق ملف الصورة القابل للتبادل، أو بيانات Exif. لا توجد لدينا مساحة كافية هنا لمناقشة بيانات Exif، سنقوم بتأمين ذلك لمقال آخر.

القبض على مفتعل حرائق متعمدة بواسطة البيانات الوصفية

في ديسمبر 2014، ألقى محققون من قسم شرطة فيلادلفيا القبض على ليونارد مونرو بعد سلسلة من محاولات الحرق العمد الغريبة التي تضمنت وضع زجاجات المولوتوف بين أبواب العواصف والأبواب الأمامية في عدة منازل متلاصقة على طول شارع كولتر الشرقي. في حين أن الجريمة في حد ذاتها غير عادية إلى حد ما، إلا أن الطريقة التي تمكن المحققون من تجميعها معًا تعطينا نظرة خاطفة على المستقبل مع البيانات الوصفية. كان مونرو قد طور نوعًا من الخلاف مع النساء اللاتي يعشن في المنازل المعنية، واللاتي كان لديه طفل مشترك معهن. والشيء غير المعروف الآن، هو سبب وجود مشاكل عائلية بين مونرو وجميع النساء في نفس الوقت، ولا احتمالات أن تعيش جميع النساء في نفس الشارع. وبغض النظر عن ذلك، فإن ما ثبت باستخدام البيانات الوصفية هو أن مونرو قام بتحميل تطبيق لهاتفه الخلوي يسمح للمستخدم بإرسال رسائل من هاتفه برقم هاتف مختلف مرتبط بالرسالة، بدلاً من الرقم الأصلي المخصص للهاتف الخلوي. بالنسبة للضحايا، وخاصة أولئك المتورطين في مشاجرات منزلية، يمكن أن يكون هذا الأمر مخيفًا للغاية. لأن المعتدين عليهم يمكن أن يتجرأوا على إرسال تهديدات أو إهانة أو مضايقة ضحاياهم. لقد كان المحققون في قسم شرطة باريس ذكيين عندما يتعلق الأمر بتحديد التكنولوجيا وكيفية تسجيل استخدامها. وقد قدموا مذكرات استدعاء للحصول على سجلات الرقم، بمجرد أن تعرفوا على شركة الاتصالات. بعد ذلك، اكتشفوا أن الرقم المعني مرتبط مباشرةً بهاتف مونرو الخلوي. يخضع مونرو حاليًا للمحاكمة، لذلك لا يتوفر سوى معلومات سريعة عن اعتقاله، ولكن عند النظر في كيفية عمل البيانات الوصفية والمعلومات المقدمة بشأن كيفية تحديد المحققين لمونرو وأنشطته من خلال هاتفه الخلوي، يمكن للمرء أن يرى كيف أن البيانات الوصفية تروي القصة في نهاية المطاف، حتى لو لم يكن المشتبه به كذلك. ضع في اعتبارك أن مونرو بريء حتى تثبت إدانته.

الاستنتاجات

هذه نظرة عامة أساسية جدًا عن البيانات الوصفية، وعلى الرغم من أن الأمثلة المقدمة قليلة، إلا أننا نأمل أن يكون هذا تعريفًا بموضوع البيانات الوصفية بطريقة مضبوطة ومدروسة، بحيث يمكنك أخذ هذه المعرفة والتوسع فيها بنفسك. ما هو واضح هو أن البيانات الوصفية تساعدنا في توضيح المسائل المتعلقة بالتحقيق، ويمكنها أن تدعم بعض الروايات حول بعض الأفعال، ويمكن استخدامها لتحديد النشاط المشبوه، والمسؤولية العامة عن فعل معين. يتطلب الأمر البحث والقراءة وتطبيق تلك المعرفة لتحقيق أقصى استفادة من البيانات الوصفية. تسحب بعض أنظمة إدارة الأدلة الرقمية البيانات الوصفية تلقائيًا من جميع الملفات الرقمية وتجعلها قابلة للبحث بسهولة من قبل المستخدم. كلما زاد استخدامك للبيانات الوصفية، كلما وجدت كيف يمكن أن تعمل بشكل أفضل لوكالتك في عملك، حتى خارج نطاق المصادقة والتعرف والتخلص.

كن آمناً هناك!