In maart 2015 kondigde CIA-directeur John Brennan de oprichting aan van een nieuwe CIA-directie van digitale innovatie, de eerste nieuwe CIA-directie in zo'n vijf decennia. De nieuwe divisie is opgericht om technieken op het gebied van digitale forensische wetenschap te bevorderen, een pijler van forensische wetenschap met betrekking tot de activiteiten van onderzoek en herstel van gegevens en metadata (gegevens over de gegevens) in digitale apparaten, en om het vermogen van de CIA om te traceren te verbeteren. "Digitale stof" achtergelaten tijdens routinematige cyberactiviteiten. Zoals Brennan op 28 april in een toespraak tijdens een Intelligence and National Security Alliance-leiderschapsdiner uitlegde: 'Overal waar we gaan, alles wat we doen, laten we wat digitaal stof achter, en het is echt moeilijk om clandestien te opereren, laat staan heimelijk, als je' je digitale stof achterlaat. '
Het belangrijkste doel van digitaal forensisch onderzoek is de evaluatie van de toestand van een digitaal artefact dat mogelijk kan worden gebruikt bij elk onderzoek op een computersysteem. Met behulp van de technieken van digitaal forensisch onderzoek kan een onderzoeker digitaal bewijsmateriaal verkrijgen, analyseren en de bevindingen van die analyse rapporteren. De ontwikkeling van digitale forensische instrumenten en andere nog geavanceerdere technieken zou het voor regeringen en particuliere bedrijven mogelijk moeten maken om met succes het digitale stof achter te laten dat is achtergelaten door degenen - een verdachte of andere belanghebbende - die te maken hebben met vermeende onwettige cyberactiviteiten.
Methodologieën.
Digitale forensische methodologieën worden in verschillende situaties toegepast, met name door leden van de wetshandhaving of door andere officiële autoriteiten om bewijs te verzamelen in een strafrechtelijke of civiele rechtszaak of door particuliere bedrijven om te helpen bij het uitvoeren van een intern onderzoek. De term digitaal forensisch onderzoek is uiterst algemeen en kan worden gebruikt om tal van specialisaties te karakteriseren, afhankelijk van het specifieke onderzoeksgebied. Netwerk forensisch onderzoek is bijvoorbeeld gerelateerd aan de analyse van computernetwerkverkeer, terwijl forensisch onderzoek naar mobiele apparaten zich voornamelijk bezighoudt met het herstellen van digitaal bewijs van smartphones en tabletcomputers. Er zijn potentieel oneindige methodologieën voor digitale forensisch onderzoek, maar de meest gebruikte technieken zijn het uitvoeren van trefwoordzoekopdrachten via de digitale media, het herstellen van verwijderde bestanden, het analyseren van niet-toegewezen ruimte en het extraheren van registerinformatie (bijvoorbeeld door gebruik te maken van aangesloten USB-apparaten).
Bij het omgaan met digitaal bewijs is het essentieel om ervoor te zorgen dat de integriteit en authenticiteit van de gegevens en metagegevens tijdens de onderzoeksfasen niet worden aangetast. Het is dus van cruciaal belang om elke wijziging van het door het werk van de onderzoekers veroorzaakte bewijs te vermijden en ervoor te zorgen dat de verzamelde gegevens "authentiek" zijn, dwz in alle opzichten identiek aan de oorspronkelijke informatie. Hoewel cybercrime-strijders in films en op televisie slim het wachtwoord van een persoon kunnen identificeren en vervolgens rechtstreeks kunnen inloggen op de computer of een ander slim apparaat van het doelwit, zou in de echte wereld een dergelijke directe actie het origineel zodanig kunnen veranderen dat er iets gevonden kan worden op het apparaat onbruikbaar of op zijn minst niet-ontvankelijk voor de rechtbank.
De acquisitiefase, ook wel 'beeldvorming van exposities' genoemd, bestaat uit het verkrijgen van een beeld van de inhoud van de computer of een ander apparaat. Het grootste probleem met digitale media is dat ze gemakkelijk kunnen worden gewijzigd; zelfs de poging om toegang te krijgen tot bestanden of tot de inhoud van het geheugen van een computer kan hun toestand veranderen. Het is daarom noodzakelijk directe toegang te vermijden door een exact beeld te creëren van het vluchtige geheugen en van de schijven van het te analyseren systeem. Dat kan worden bereikt door een "bit-kopie" (een exacte bit-voor-bit reproductie) van de media te verkrijgen door gebruik te maken van gespecialiseerde schrijfblokkeringstools die de gegevens "spiegelen" terwijl elke wijziging aan de oorspronkelijke inhoud van de media wordt voorkomen.
De groei van opslagmedia en de verspreiding van paradigma's zoals cloud computing vereisen de toepassing van nieuwe acquisitietechnieken waarmee onderzoekers een "logische" kopie van de gegevens kunnen maken in plaats van een volledig beeld van het fysieke opslagapparaat. In een geconcentreerde poging om de integriteit van de gegevens te waarborgen, gebruiken onderzoekers "hashing" -mechanismen die kortere waarden met een vaste lengte genereren die het langere of complexere origineel vertegenwoordigen. De gehashte waarden maken sneller zoeken mogelijk en maken het voor onderzoekers mogelijk om elk moment te evalueren op consistentie in de digitale inhoud die wordt onderzocht. Elke wijziging in de inhoud zou een verandering in de hash van het digitale artefact veroorzaken, die gemakkelijk zou kunnen worden opgemerkt zonder dat de hele database hoeft te worden doorzocht.
