¿Es posible que las pruebas forenses digitales sean múltiples tipos de pruebas al mismo tiempo?

Navega tus respuestas
1

Estoy estudiando para obtener la certificación CCSP y el curso de capacitación en línea que estoy tomando es un poco vago sobre el tema de los tipos de evidencia (dentro del contexto de la ciencia forense digital).

Específicamente, me gustaría saber si es posible que las pruebas de una investigación forense digital sean múltiples tipos de pruebas al mismo tiempo. Por ejemplo, ¿pueden los contenidos digitales apostar Evidencia directa y Evidencia real y Mejor evidencia ?

El instructor los presentó como tipos de pruebas completamente independientes e independientes uno del otro, pero me parece que podría haber algunas coincidencias aquí y que una pieza de evidencia digital podría tener múltiples propósitos.

    
pregunta Mike B 07.03.2018 - 17:02
fuente

1 respuesta

2

Primero veamos qué significa cada uno de estos términos:

  1. Evidencia directa: "prueba o refuta un hecho directamente". Es común que la evidencia directa tome la forma de testimonios de testigos presenciales, pero este no tiene por qué ser el caso. Las pruebas reales o documentales también pueden ser pruebas directas.
  2. Evidencia real: utilizada indistintamente con evidencia física , es "cualquier evidencia que sea un objeto tangible, como testimonio opuesto u oral o evidencia documental, que registra la información que se ofrece como evidencia . " Además, "se usa para probar un hecho basado en las características de todo o parte de un objeto". Por ejemplo, si me paro en un semáforo y me atrasan y mi airbag se despliega, el airbag sería un ejemplo de evidencia real.
  3. Mejor evidencia: "requiere que un original o una copia altamente precisa de un documento u otro objeto sea llevado a la corte".

Ahora, a su pregunta: ¿Puede una pieza de evidencia caer en las tres categorías?

Sí, y aquí hay un ejemplo (común). Imagine un disco duro externo con un terabyte de pornografía infantil. Si un científico forense puede demostrar que el disco duro externo pertenece al acusado que está siendo acusado de poseer pornografía infantil, entonces se cumple la condición de evidencia directa.

Para evidencia real, supongamos que el acusado cubrió su disco duro externo con una variedad de adhesivos. Tras el examen, el acusado se hace el tonto, pero el fiscal revela que una búsqueda en su apartamento encontró hojas de las mismas pegatinas que estaban en su disco duro. Las características del disco duro, las etiquetas adhesivas, serían una buena razón para creer que el disco duro pertenece al acusado.

Por último, el disco duro original del demandado o una copia forense podrían satisfacer la mejor condición de evidencia. Hashing la copia forense puede verificar que la "imagen" (en el sentido forense digital, no necesariamente una imagen) es idéntica a los medios de origen, lo que significaría que la copia forense del disco duro digital satisfaría la mejor condición de evidencia.

Fuentes:

respondido por el user171922 07.03.2018 - 20:14
fuente

Lea otras preguntas en las etiquetas

¿Existe una forma pasiva de verificar las implementaciones de DKIM (en el nivel de DNS) sin activar un evento de correo electrónico real? Problemas de seguridad relacionados con la clave API en el sitio web