home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 801.93JUN002.TXT < prev    next >
Text File  |  1993-06-03  |  8KB  |  181 lines

  1.                         THE COMPUTER
  2.                 HIGH-TECH INSTRUMENT OF CRIME
  3.  
  4.                              By 
  5.  
  6.                      Michael G. Noblett
  7.                             Chief
  8.         Document Analysis, Research, and Training Unit
  9.                        FBI Laboratory
  10.                        Washington, DC
  11.  
  12.  
  13.      The use of computers as criminal instruments or as devices
  14. to collect information associated with criminal enterprises
  15. increases yearly.  Criminals use computers to store data
  16. relating to drug deals, money laundering, embezzlement, mail
  17. fraud, extortion, and a myriad of other crimes.  In addition to
  18. the simple storage of records, criminals also manipulate data,
  19. infiltrate computers of financial institutions, and illegally
  20. use telephone lines of unsuspecting businesses.
  21.  
  22.      Statistics suggest that the law enforcement community must
  23. act quickly and decisively to meet the challenge presented by
  24. the criminal use of computers.  For example:
  25.  
  26.      .  Over 4.7 million personal computers were sold in the
  27.         United States in 1988, as compared with 386,500 in 1980
  28.  
  29.      .  An estimated 60 percent of personal computers are now
  30.         networked
  31.  
  32.      .  $500 million is lost annually through illegal use of
  33.         telephone access codes
  34.  
  35.      .  $1 trillion is moved electronically each week, and
  36.  
  37.      .  Only 11 percent of computer crime is reported.
  38.  
  39.      While the law enforcement community, in general, often
  40. thinks of computer crime as high-tech crime, a growing segment
  41. of the population looks at computers and the data they store as
  42. nothing more than electronic paper.  They feel very comfortable
  43. keeping their records, whether legal or illegal, in this format.
  44.  
  45.      In order to address the legitimate need for access to
  46. computers and the information they contain, law enforcement must
  47. develop a structured approach to examine computer evidence.  The
  48. examination of this evidence can provide investigative and
  49. intelligence information, and at the same time, preserve the
  50. information for subsequent admission in court.
  51.  
  52. PRESERVING COMPUTER EVIDENCE
  53.  
  54.      As more and more records are converted from paper to
  55. electronic storage, individuals are becoming more and more
  56. computer literate.  Unfortunately, a growing number of
  57. individuals use their computer knowledge for illegal activities.
  58.  
  59.      While there is no typical computer case, the majority fall
  60. into the broad category of white-collar crime.  During
  61. investigations of these cases, several problems repeatedly
  62. occur.  However, by following the guidelines offered in this
  63. article, law enforcement agencies can protect valuable computer
  64. evidence.
  65.  
  66. Conduct Preliminary Examinations
  67.  
  68.      Investigators should take immediate action to protect a
  69. computer's memory.  Often, investigators attempt to generate
  70. investigative and intelligence information on site.  While this
  71. approach is reasonable and should be encouraged, it is equally
  72. important that the computer be protected from any input
  73. introduced unintentionally by investigators.
  74.  
  75.      For instance, many computer systems update files to the
  76. current date when read.  In order to preserve the evidence in
  77. the same condition as it was when seized, steps must be taken to
  78. ensure that no dates are changed and nothing is written into or
  79. deleted from the computer's memory.  Specialized software
  80. currently on the market protects the computer's memory and
  81. should always be used before an examination.
  82.  
  83.      Investigators should also consider that anyone conducting a
  84. preliminary examination may be called on to testify concerning
  85. the procedures followed and the accuracy of the results.
  86. Because of this possibility, documented policy and protocol
  87. detailing steps to follow during examinations must be
  88. established.  Examiners should closely follow guidelines set by
  89. their particular agency to avoid any legal discrepancies.
  90.  
  91. Seize Supporting Software
  92.  
  93.      When investigators seize a computer, they should also take
  94. all supporting software and documentation.  This simple action
  95. eliminates a host of problems that may arise during the
  96. examination of the computer.  It is logical, but not necessarily
  97. correct, to assume that the software that runs the seized
  98. computer is common and commercially available.
  99.  
  100.      As commercial software is developed and marketed,
  101. manufacturers add new features and correct previously identified
  102. problems.  Once the manufacturer revises the old programs, the
  103. data seized may not be compatible with the particular version of
  104. the same software.  Therefore, it is good policy to seize all
  105. software, documentation, handwritten notes, and any other
  106. related items found near the computer.
  107.  
  108. Seize the Entire Computer System
  109.  
  110.      Many of the items connected to the seized computer are
  111. probably standard pieces of equipment found in any computer
  112. facility.  However, it only takes one unique, nonstandard piece
  113. of equipment to render a system incompatible with others.  For
  114. this reason, it is best to seize all the equipment related to
  115. the computer.  If it turns out that some of the items are not
  116. needed for the examination, they can be quickly returned to the
  117. site.
  118.  
  119.      The FBI Laboratory does not recommend that investigators
  120. remove and submit the hard drive (memory), located inside the
  121. computer, for examination.  The manner in which the computer is
  122. set up internally is often crucial to reading, displaying, and
  123. printing the data on the hard drive.  Thus, removing just the
  124. hard drive may be useless to the investigation.
  125.  
  126.      In light of technical considerations, it may be appropriate
  127. to use an expert as a consultant in the execution of these 
  128. types of search warrants.  This is especially true if
  129. investigators do not seize the entire system.  Concerns
  130. regarding incompatibilities of computer systems should be stated
  131. in the supporting affidavit as justification if investigators
  132. plan to seize the entire computer system.
  133.  
  134. Package Equipment Properly
  135.  
  136.      If investigators need to ship the computer to another
  137. facility for examination, they should package it properly.
  138. Oftentimes, examinations take an inordinate amount of time
  139. because poorly packaged computers are damaged in shipment and
  140. must be subsequently repaired.
  141.  
  142.      Likewise, shipment of computer diskettes and other memory
  143. devices requires certain precautions.  Because of the potential
  144. hazard of static electric discharge, these items should not be
  145. shipped in plastic evidence envelopes.  In addition, the
  146. evidence should be marked to avoid exposure to strong magnetic
  147. fields, such as those generated by x-ray machines.
  148.  
  149. COMPUTER ANALYSIS AND RESPONSE TEAM
  150.  
  151.      To assist with investigations involving computers as
  152. evidence, the FBI Laboratory established the Computer Analysis
  153. and Response Team (CART) at FBI Headquarters.  Computer
  154. professionals with a variety of experience and expertise, along
  155. with a sensitivity to the needs of the law enforcement
  156. community, staff the team.  The CART has a full range of
  157. hardware available, as well as unique utility software useful in
  158. forensic examinations of computer-related evidence.
  159.  
  160.      Limited by the number of technical personnel available to
  161. conduct these investigations, this service is available to
  162. police agencies authorized to submit evidence to the FBI for
  163. forensic examination.  In addition to its traditional forensic
  164. examination, the FBI Laboratory's CART provides on-site field
  165. support to both Bureau field offices and local police
  166. departments.  Approval for this on-site support depends on the
  167. individual case, the resources available, and the needs of the
  168. requesting agency.
  169.  
  170. CONCLUSION
  171.  
  172.      The FBI Laboratory has seen the submission of computer
  173. evidence double and then double again in the past few years,
  174. reflecting the proliferation of computers in society.  With the
  175. role of the computer becoming more predominant in society, its
  176. impact is felt in every law enforcement investigative program.
  177. Therefore, it is important for law enforcement to have the
  178. necessary knowledge and procedures ready to address adequately
  179. the examination of computer evidence and records.
  180.  
  181.