Al març de 2015, el director de la CIA, John Brennan, va anunciar la creació d'una nova Direcció CIA d'Innovació Digital, la primera nova direcció de la CIA en unes cinc dècades. La nova divisió es va crear amb l’objectiu d’avançar en tècniques en forenses digitals, un pilar de ciències forenses relacionades amb les activitats d’investigació i recuperació de dades i metadades (dades sobre les dades) que es troben en dispositius digitals i per millorar la capacitat de rastreig de la CIA. "Pols digital" deixat enrere durant les ciberactivitats rutinàries. Tal com va explicar Brennan el 28 d'abril en un discurs en un sopar de lideratge de l'Aliança per a la Intel·ligència i la Seguretat Nacional, "Arreu on anem, tot el que fem, deixem una mica de pols digital, i realment és difícil operar clandestinament, molt menys encobertament, quan" tornant a deixar pols digital a la teva estona."
El propòsit principal de la forense digital és avaluar l'estat d'un artefacte digital que pot ser utilitzat en qualsevol investigació sobre un sistema informàtic. Utilitzant les tècniques de la forense digital, un investigador pot adquirir proves digitals, analitzar-la i informar de les anàlisis. El desenvolupament d’eines forenses digitals i d’altres tècniques encara més avançades hauria de permetre als governs i empreses privades estudiar amb èxit la pols digital deixada per aquells —un sospitós o una altra persona d’interès— relacionats amb sospitoses ciberactivitats il·legítimes.
Metodologies.
Les metodologies forenses digitals s’apliquen en diverses situacions, sobretot per membres de l’ordenança o d’altres autoritats oficials per recopilar proves en un cas penal o civil o per empreses privades per ajudar a la investigació interna. El terme forense digital és extremadament general i es pot utilitzar per caracteritzar nombroses especialitzacions, depenent del camp particular d’investigació. Per exemple, els forensics de xarxa es relacionen amb l’anàlisi del trànsit de xarxes d’ordinadors, mentre que els forenses per a dispositius mòbils es preocupen principalment de recuperar evidències digitals de telèfons intel·ligents i tauletes. Hi ha metodologies potencialment infinites per als forenses digitals, però les tècniques més utilitzades inclouen realitzar cerques de paraules clau a través del suport digital, recuperar fitxers suprimits, analitzar l’espai no assignat i extreure informació del registre (per exemple, mitjançant dispositius USB adjunts).
Quan es tracta d’evidències digitals, és fonamental assegurar-se que la integritat i l’autenticitat de les dades i els metadats no es vegin afectats durant les fases d’investigació. Així, és crucial evitar qualsevol alteració de l’evidència causada pel treball dels investigadors i assegurar-se que les dades recollides siguin “autèntiques” –igual, idèntiques en tots els sentits a la informació original. Tot i que els combatents de cibercrimina a les pel·lícules i a la televisió poden identificar de manera intel·ligent la contrasenya d’una persona d’interès i, després, iniciar la sessió directament a l’ordinador de la destinació o un altre dispositiu intel·ligent, al món real aquesta acció directa pot alterar l’original de manera que s’hi trobi qualsevol cosa. el dispositiu no es pot utilitzar o almenys inadmissible als tribunals.
La fase d’adquisició, també anomenada “imatge d’exposicions”, consisteix a obtenir una imatge del contingut de l’ordinador o d’un altre dispositiu. El principal problema dels mitjans digitals és que es poden modificar fàcilment; fins i tot l’intent d’accedir a fitxers o al contingut de la memòria d’un ordinador pot alterar el seu estat. Per tant, cal evitar l'accés directe creant una imatge exacta de la memòria volàtil i dels discos del sistema analitzat. Es pot obtenir obtenint una “còpia de bits” (una reproducció exacta a bit) del material mitjançant les eines especialitzades de bloqueig d’escriptura que “emmirallen” les dades alhora que impedeixen qualsevol modificació al contingut original del material.
El creixement de la mida dels suports d’emmagatzematge i la difusió de paradigmes com la computació en núvol exigeixen l’adopció de noves tècniques d’adquisició que permetin als investigadors prendre una còpia “lògica” de les dades en lloc d’una imatge completa del dispositiu d’emmagatzematge físic. En un esforç concentrat per assegurar la integritat de les dades, els investigadors utilitzen mecanismes de “trastorn” que generen valors de longitud fixa més curta que representen l’original més llarg o més complex. Els valors desplegats permeten cerques més ràpides i permeten als investigadors avaluar cada moment la coherència del contingut digital que s’està investigant. Qualsevol modificació del contingut provocaria un canvi en l'hash de l'artefacte digital, que es podia veure fàcilment sense la necessitat de cercar tota la base de dades.
