web whitepaper節(jié)省時間加速調(diào)查idml en us zh

1

白皮書

節(jié)省時間，加快調(diào)查

增強現(xiàn)場對移動設備數(shù)據(jù)的訪問

Cellebrite的2015年移動取證行業(yè)趨勢報告顯示，有近80%的受訪者表示遇到后臺研究室工作積壓的問題，近一半的受訪者表示積壓時間超過一個月。

對于缺少關鍵數(shù)據(jù)的調(diào)查案件來說，這樣的等待時間實在太長了。關鍵數(shù)據(jù)通常能夠提供有關犯罪同謀或嫌疑人罪行的“確鑿證據(jù)”，至少也能讓調(diào)查人員獲得無法從證人或受害人陳述中獲取的新線索。

即使不存在積壓問題，取證研究室的檢查人員也可能需要加班，對案件進行優(yōu)先排序，以確保調(diào)查人員能夠及時獲取證據(jù)。此外，還有可能出現(xiàn)的情況就是，研究室檢查人員認為交付時間合理，而調(diào)查人員或現(xiàn)場工作人員卻仍然認為時間太長。

其他代價包括較高的人為錯誤風險，因為檢查人員需要處理大量存儲著海量數(shù)據(jù)的設備。案件可能會因為設備未經(jīng)過妥善處理而無法偵破，或在證據(jù)被分析之前被判決，因此有可能造成處罰較輕。

PAGE

2

如果沒有有關程序問題及其法律基礎的合理培訓和政策，不應在現(xiàn)場、車輛內(nèi)或工作站內(nèi)部署任何工具。在現(xiàn)場進行移動設備提取的工作人員應該對所在國家的搜查和扣押法律有著深入了解，包括允許進行無證搜查的特別情況，例如征得同意之后或遇到緊急狀況。

全球各地的研究室都在努力應對移動設備證據(jù)激增帶來的挑戰(zhàn)，在那些不斷縮減工具、人員和培訓預算的地區(qū)尤其如此。然而，通過讓現(xiàn)場工作人員進行選擇性提取和基本分析，數(shù)字取證研究室可以縮短服務交付時間。此舉可以減輕取證研究室的很大壓力，從而讓專家能夠?qū)⒅攸c放在深層次取證提取和分析方面。

這種模式可應用于各種案件中的兩種截然不同的情境：

巡邏和專業(yè)部門可以根據(jù)立即可用的移動設備證據(jù)，收集新證據(jù)，進而偵破非重大案件。應用情境包括相撞調(diào)查、搜查逮捕、家庭暴力響應等。

遇到現(xiàn)場搜查、禁止停車、高風險緊急事件以及其他需要快速做出決策的情況時，專業(yè)調(diào)查員和巡邏人員可以預覽和并可視化數(shù)據(jù)，從而獲得可控訴證據(jù)。

在兩種情境中，用戶都可以快速將數(shù)據(jù)范圍縮小到特定的時間段和/或位置，根據(jù)大部分法庭的要求離析證據(jù)。

收集立即可用的證據(jù)

并非所有“關鍵”證據(jù)都會被刪除或隱藏在元數(shù)據(jù)中，因此，無需將所有證據(jù)都送到研究室進行深入處理?，F(xiàn)場工作人員可從下列情境中發(fā)現(xiàn)移動證據(jù)收集功能的價值：

搜捕

只要有恰當?shù)姆墒跈啵ㄋ巡榱睢⑺巡橥鈺蚱渌环戏梢蟮袚?jù)可查的例外情況），調(diào)查人員就能在抓捕到嫌犯后查看移動設備數(shù)據(jù)，此舉將令很多案件從中受益。

執(zhí)法人員可從因駕駛被盜車輛而被攔下的嫌犯那里找到其通過移動設備炫耀罪行或與朋友共謀犯罪的信息。

一個亂涂亂畫的嫌犯的設備中可能包含此前標記位置的圖片，調(diào)查人員可據(jù)此將嫌犯與各犯罪現(xiàn)場聯(lián)系起來。

因破壞行為、行兇搶劫和其他妨害治安行為而被抓捕的多名疑犯可能會通過文字消息策劃犯罪活動，因此會受到更嚴重的處罰。

家暴嫌犯發(fā)送給受害人的文字或即時消息可能會通過道歉或威脅暴露罪行，并會在各方的陳述中去除“他說/她說”的沖突。

對于大多數(shù)現(xiàn)場先遣救援人員或?qū)＜叶?，移動設備扣押和證據(jù)收集是他們每日或每周工作的一部分。利用豐富的現(xiàn)場工作經(jīng)驗和廣泛的與人互動技巧應作為培訓的重要部分。這樣，他們可以提出適當?shù)膯栴}，以便篩選、提取并評估基本的移動設備證據(jù)，進而幫助他們做出決策。

相撞調(diào)查

移動取證提取軟件讓調(diào)查人員能夠在導致重大傷亡的相撞現(xiàn)場提取數(shù)據(jù)。這樣，調(diào)查人員就能完成調(diào)查，而司機也無需因設備被拿走調(diào)查而等待比清理現(xiàn)場所需時間還要長的時間了。

調(diào)查人員可立即審查數(shù)據(jù)，也可簡單提取一份他們可傳給取證檢查人員進行深入分析的取證副本，具體取決于相撞和潛在犯罪的嚴重程度。

因此，與文字和即時消息、電郵、瀏覽器歷史和通話有關的時間及數(shù)據(jù)戳可用于研究車輛行車記錄儀、紅燈攝像頭、證人證言和車禍現(xiàn)場照片及測量儀器中的數(shù)據(jù)，從而明確相撞是如何發(fā)生的以及為何會發(fā)生——不管數(shù)據(jù)是否會暗示或排除分神駕駛嫌疑。

收集可控訴移動數(shù)據(jù)

服務搜查令

住宅或企業(yè)搜查令可產(chǎn)生大量的數(shù)字媒體，包括筆記本電腦、游戲系統(tǒng)、硬盤、數(shù)字攝像頭、閃存驅(qū)動器和移動設備。這些數(shù)字媒體中所存儲的海量信息意味著調(diào)查人員需要想辦法來預覽設備以確定證據(jù)是否存在上面，以便只查封包含相關證據(jù)的設備。

幾年前開發(fā)的傳統(tǒng)的計算機預覽工具沒辦法與其他媒體同時處理移動設備。添加移動證據(jù)預覽功能可確保調(diào)查人員能獲得他們所需的全部證據(jù)。

收集實時情報

在長期調(diào)查毒品或人口販賣、團伙犯罪或有組織犯罪的過程中，情報收集能力可成為了解犯罪組織、其成員的日常活動及其他模式的關鍵。這關乎到行動規(guī)劃，如死盯或多人同時抓捕。

調(diào)查人員可憑借恰當?shù)姆蓹嗔ν诰蚨酒非閳?，分析涉嫌毒品生產(chǎn)商、經(jīng)銷商或信使的文字消息和通話記錄以查找與販賣有關的內(nèi)容與活動。

懲教機構內(nèi)部的緩刑/假釋檢查和肅清也可發(fā)現(xiàn)不僅違反監(jiān)禁條款，還有助于了解“外面”正在進行之活動的數(shù)據(jù)。

由于很多民眾都非常注重隱私，如果執(zhí)法機構所采用的數(shù)據(jù)抽取工具可以讓他們僅獲得相關證據(jù)，而不訪問隱私數(shù)據(jù)，那么這家機構將被認為是透明和可以信賴的機構，與那些被認為過度提取、遮遮掩掩的機構形成鮮明對比。

現(xiàn)場移動證據(jù)收集工具的有效部署

部署前和部署后的考慮因素

許多組織明明需要開展分工式移動證據(jù)收集，但卻因為技術和預算方面的原因無法制定相應方案。為避免“一把抓”現(xiàn)象，需要先進行需求評估，確定優(yōu)先事項，確定如何節(jié)省時間和金錢，甚至列出初始費用。因素包括：

既定地區(qū)或管轄區(qū)的犯罪類型和犯罪率。如果調(diào)查人員由于無法快速獲取證據(jù)而無法立案，那么他們可能能夠識別那些經(jīng)常進出監(jiān)獄的慣犯。

定罪、認罪減刑以及完成相關事項所需的時間，也可作為現(xiàn)場方案部署的有用考量標準。使用移動設備邏輯取證提取可以減少工作量，篩選出更有力的證據(jù)資格，以確定能否立案，或是需要在后臺研究室進行更加深入的物理提取。通過這種篩選，后臺研究室可以將精力集中刑事案件、需開庭審理案件以及可定罪案件。

目前數(shù)字取證研究室的交付時間。每月的移動設備流入量，無論預計會增加或是保持不變，都可以作為一個考量指標。同時針對工作人員進行一次調(diào)查，看看他們在知道無需等待數(shù)據(jù)并能自行進行數(shù)據(jù)提取的情況下，能否繳獲更多設備。

提取的數(shù)據(jù)應便于管理報告。因此，各機構需要通過控制用戶訪問提取工具和所收集的數(shù)據(jù)確保各用戶對自己的行為負責。

確定是否需要在車輛內(nèi)部署提取工具，或是只需在附屬站點等戰(zhàn)略位置部署，也是極為重要的。因素包括：

目標用途。所有人員都可使用所部署的工具，還是僅限主管和相撞再現(xiàn)者等部分專家使用？

地理位置。巡邏區(qū)或管轄區(qū)的面積和負責人數(shù)決定了工作人員返回中央位置進行提取所需的時間。燃油和時間成本也要考慮。

適當?shù)奶崛」ぞ呤褂谜邞ㄓ龅郊夹g問題時的處理辦法。警員可根據(jù)案件嚴重性、設備證據(jù)重要性和時間等具體情況，選擇采取相應行動，例如嘗試不同的工作站，將設備送到后臺研究室。

網(wǎng)絡連接。警用無線電在某些地方可能無法使用，警員需要在線和離線均可工作的可靠解決方案，以便提取和上傳數(shù)據(jù)。

案件優(yōu)先等級。低優(yōu)先級案件的設備可以在事件之后在工作站進行評估。但是，較高優(yōu)先級事件或?qū)r間敏感的調(diào)查工作可能需要在現(xiàn)場進行數(shù)據(jù)提取。

輪班（包括當前輪班模型）、人員工資、個案調(diào)查、燃料與能源、基礎設施、甚至訴訟等運作成本。

目前車輛安裝的移動數(shù)據(jù)終端可能達不到軟件所需的最低或推薦要求，而升級可能導致成本過高，錯開部署又可能導致所需時間過長。

組織的車輛和/或基礎設施可能沒有足夠的帶寬來將移動設備提取、統(tǒng)計數(shù)據(jù)和報告上傳到中央取證或情報服務器，為每個人員提供無線卡來移動數(shù)據(jù)是不切實際的。

組織沒有相關的政策或標準操作程序或準則來規(guī)范數(shù)據(jù)的傳輸和存儲，而建立可應對法律挑戰(zhàn)和降低風險的有效制度需要時間。

對大量人員進行培訓成本較高，而且時間上也不允許。

但是，部分措施實施起來卻相對容易一些，例如為工作人員提供便攜式存儲設備，方便他們存儲所提取的數(shù)據(jù)并將數(shù)據(jù)傳輸?shù)饺∽C研究室。在其他案件中，組織可能會發(fā)現(xiàn)實施局部分工式調(diào)查具有更高的成本效益，即在附屬辦公地點安裝固定移動證據(jù)提取設備，并在之后根據(jù)需要使用大型提取設備。

相對于將移動設備證據(jù)傳輸?shù)街醒霐?shù)字取證研究室，這類設備可更有效地進行數(shù)據(jù)提取。為滿足現(xiàn)場數(shù)據(jù)提取需求，戰(zhàn)略性部署的便攜式設備能夠比中央研究室人員更及時地做出響應。

無論是部署在附屬辦公場所的解決方案，還是移動設備，通過局域網(wǎng)和/或安全的虛擬專用網(wǎng)絡(VPN)連接網(wǎng)絡都是至關重要的。這樣，工作人員就可以根據(jù)需要，與其他人員共享統(tǒng)計數(shù)據(jù)、報告和原始數(shù)據(jù)，或發(fā)送到預定義的中央位置，或作為交接班流程的一部分，上傳批處理文件。

現(xiàn)場交流的藝術應包括直接詢問有關是否擁有移動設備，如果有的話，征得搜查同意，包括密碼和相關內(nèi)容類型。這相當于征得同意搜查住宅或汽車，包括獲得鑰匙或密碼。

培訓和配備人員

對于大多數(shù)現(xiàn)場先遣救援人員或?qū)＜叶?，移動設備扣押和證據(jù)收集是他們每日或每周工作的一部分。利用豐富的現(xiàn)場工作經(jīng)驗和廣泛的與人互動技巧應作為培訓的重要部分。這樣，他們可以提出適當?shù)膯栴}，以便篩選、提取并評估基本的移動設備證據(jù)，進而幫助他們做出決策。

因此，數(shù)據(jù)提取解決方案應該成為警員工作流程和報告流程的一部分。這使得在任何犯罪現(xiàn)場的警員或調(diào)查人員能夠獲得與其職責對應的可控訴情報。

一切從培訓開始，而培訓必須讓警員能夠輕松理解相關信息，將培訓內(nèi)容與他們的日常經(jīng)驗結合起來，并通過定期進修掌握新知識。無論是實時或錄影形式的在線培訓，都可以幫助組織管理較大規(guī)模的部署。

要讓工作人員避免翻看設備，因為就算征得了同意，其法律效力也會降低，而使用提取軟件能夠提高從相關時間和日期范圍找到關鍵證據(jù)的可能性。直觀的提取界面可以減少因疲勞或壓力造成的人為錯誤。

此外，即使能夠證明某個現(xiàn)場解決方案可以減少加班并改善調(diào)查人員對各類案件數(shù)據(jù)的訪問，研究室管理人員可能依然會認為所需調(diào)查的手機依舊太多。這表明，現(xiàn)場工具的采用仍然是一個問題，管理人員應采取步驟，看是否還需要有效的培訓，還是因為其他隱藏的問題。

警員可能會抵制，因為他們認為，冗長或復雜的數(shù)據(jù)收集，會因為設備電力不足，導致不支持基本提取，或出現(xiàn)其他技術問題，這會削弱他們的現(xiàn)場意識，從而有可能影響警員的安全。

適當?shù)奶崛」ぞ呤褂谜邞ㄓ龅郊夹g問題時的處理辦法。警員可根據(jù)案件嚴重性、設備證據(jù)重要性和時間等具體情況，選擇采取相應行動。行動可能包括將設備送到后臺研究室、嘗試不同的工作站、向其他警員或管理人員求助或向研究室工作人員尋求遠程協(xié)助，具體由數(shù)字取證管理員和監(jiān)管工作人員決定。

領導應認真解決這些問題，因為經(jīng)常參與移動證據(jù)收集的警員能夠更好地應付與移動設備相關的法律和技術挑戰(zhàn)。

要讓工作人員避免翻看設備，因為就算征得了同意，其法律效力也會降低，使用提取軟件能夠提高從相關時間和日期范圍找到關鍵證據(jù)的可能性。

此外，當所有人員都至少擁有一些基本的移動設備證據(jù)收集技能和工具時，執(zhí)行強制性輪換政策的組織能夠更高效地運行。新到后臺研究室的檢查人員具備基本的技能，從而縮短了提升取證速度所需的時間。這進一步改善了輪換過渡期研究室的服務交付時間。

應對法律和程序挑戰(zhàn)

如果沒有有關程序問題及其法律基礎的合理培訓和政策，不應在現(xiàn)場、車輛內(nèi)或工作站內(nèi)部署任何工具。在現(xiàn)場進行移動設備提取的工作人員應該對所在國家的搜查和扣押法律有著深入了解，包括允許進行無證搜查的特別情況，例如征得同意之后或遇到緊急狀況。

現(xiàn)場交流技巧應包括如何征得同意以搜查移動設備，其中包括使用詳細注明搜查內(nèi)容類型和日期及時間范圍的書面同意書。警員也應該了解獲取搜查令的時間和方式，包括在適用時通過電子或電話手段獲取。

所有工作人員都應該了解需要收集的真正有用的信息。警員不僅需要快速精確地完成提取，而且還需知道獲得數(shù)據(jù)之后該如何處理。如果無法征得同意，如何獲取足夠理由來申請搜查令？一旦獲得搜查令，需要多少證據(jù)才能實施逮捕，或者讓具有明顯不在犯罪現(xiàn)場證據(jù)的嫌疑人自由離開？

另一個重要問題就是，如果在搜查某項犯罪證據(jù)時發(fā)現(xiàn)了其他犯罪證據(jù)時該如何處理。盡管對特定日期和時間范圍和/或內(nèi)容類型進行搜查可能會降低這種可能性，但是，如果找到了其他犯罪的證據(jù)，現(xiàn)場工作人員仍應時刻遵循最佳實踐。

例如，調(diào)查人員在交通碰撞后進行文本消息搜查時，可能會找到涉及兒童剝削、販賣毒品或其他罪行的文本消息。在后臺研究室，搜查必須停止，檢查人員需要申請不同的搜查令。而在取證現(xiàn)場，這可能就不是權宜之計了。最好的做法是停止搜查，記錄已找到的針對兩項犯罪的證據(jù)，并將設備提交給后臺研究室，申請新搜查令，以便進行深入處理。

最后，提取的數(shù)據(jù)也應便于管理報告。為此，機構必須確保每個用戶對對自己的行為完全負責。權限管理可幫助管理員控制數(shù)據(jù)訪問權限，從而維護證據(jù)完整性，因此，權限不僅應包括用戶名和密碼控制，還應限制用戶可訪問的內(nèi)容類型、可進行的提取類型（取決于他們的培訓級別）和其他有關政策的內(nèi)容。審核和遠程管理應該作為管理任務的一部分。

由于很多民眾都非常注重隱私，如果執(zhí)法機構所采用的數(shù)據(jù)抽取工具可以讓他們僅獲得相關證據(jù)，而不訪問隱私數(shù)據(jù)，那么這家機構將被認為是透明和可以信賴的機構，與那些被認為過度提取、遮遮掩掩的機構形成鮮明對比。

通過縮短后臺研究服務交付時間來改善公共安全

很少有調(diào)查人員會質(zhì)疑在幾小時內(nèi)而非幾周內(nèi)獲取重要證據(jù)或情報的價值。通過更相關的信息更有效地推動案件進展，可提高更快結案的可能性，不論是否需要上法庭。

眾多機構在過去的20年左右時間里