Pada bulan Mac 2015, Pengarah CIA John Brennan mengumumkan penubuhan Direktorat Inovasi Digital CIA, direktorat CIA baru yang pertama dalam beberapa dekad. Bahagian baru diciptakan untuk memajukan teknik dalam forensik digital, tonggak ilmu forensik yang berkaitan dengan kegiatan penyiasatan dan pemulihan data dan metadata (data tentang data) yang terdapat dalam peranti digital, dan untuk meningkatkan kemampuan CIA untuk melacak "Habuk digital" ditinggalkan semasa aktiviti siber rutin. Seperti yang dijelaskan oleh Brennan pada 28 April dalam pidato pada majlis makan malam kepemimpinan Perikatan Perisikan dan Keselamatan Nasional, "Ke mana sahaja kita pergi, semua yang kita lakukan, kita meninggalkan sedikit habuk digital, dan sangat sukar untuk beroperasi secara tersembunyi, apalagi secara tersembunyi, ketika kamu meninggalkan debu digital setelah anda bangun."
Tujuan utama forensik digital adalah penilaian keadaan artifak digital yang berpotensi dapat digunakan dalam penyelidikan pada sistem komputer. Dengan menggunakan teknik forensik digital, penyiasat dapat memperoleh bukti digital, menganalisisnya, dan melaporkan hasil analisis tersebut. Perkembangan alat forensik digital dan teknik lain yang lebih maju semestinya memungkinkan bagi kerajaan dan syarikat swasta untuk berjaya mempelajari debu digital yang ditinggalkan oleh mereka - suspek atau orang lain yang berminat - yang berkaitan dengan aktiviti siber yang disyaki melanggar undang-undang.
Metodologi.
Metodologi forensik digital diterapkan dalam berbagai situasi, terutama oleh anggota penguatkuasaan undang-undang atau oleh pihak berkuasa rasmi lain untuk mengumpulkan bukti dalam kes pengadilan jenayah atau sipil atau oleh syarikat swasta untuk membantu dalam penyelidikan internal. Istilah forensik digital sangat umum dan dapat digunakan untuk mencirikan banyak pengkhususan, bergantung pada bidang penyelidikan tertentu. Sebagai contoh, forensik rangkaian berkaitan dengan analisis lalu lintas rangkaian komputer, sementara forensik peranti mudah alih terutama berkaitan dengan pemulihan bukti digital dari telefon pintar dan komputer tablet. Terdapat metodologi yang berpotensi tidak terbatas untuk forensik digital, tetapi teknik yang paling biasa digunakan termasuk melakukan pencarian kata kunci di seluruh media digital, memulihkan fail yang dihapus, menganalisis ruang yang tidak diperuntukkan, dan mengekstrak maklumat pendaftaran (contohnya, dengan menggunakan peranti USB yang dilampirkan).
Semasa berurusan dengan bukti digital, sangat penting untuk memastikan bahawa integriti dan keaslian data dan metadata tidak terjejas semasa fasa penyiasatan. Oleh itu, sangat mustahak untuk mengelakkan perubahan bukti yang disebabkan oleh kerja penyiasat dan memastikan bahawa data yang dikumpulkan adalah "sahih" - sama, sama dengan setiap maklumat yang asli. Walaupun pejuang jenayah siber dalam filem dan di televisyen dengan bijak dapat mengenal pasti kata laluan orang yang berminat dan kemudian masuk terus ke komputer sasaran atau peranti pintar lain, di dunia nyata tindakan langsung tersebut dapat mengubah yang asli dengan cara membuat apa-apa yang terdapat di peranti tidak boleh digunakan atau sekurang-kurangnya tidak boleh diterima di mahkamah.
Fasa pemerolehan, juga disebut "pencitraan pameran," terdiri daripada memperoleh gambar isi komputer atau peranti lain. Masalah utama media digital ialah mereka mudah diubah suai; malah percubaan untuk mendapatkan akses ke fail atau kandungan memori komputer dapat mengubah keadaannya. Oleh itu, adalah mustahak untuk mengelakkan akses langsung dengan membuat gambaran yang tepat mengenai memori yang tidak menentu dan cakera sistem yang sedang dianalisis. Itu dapat dicapai dengan mendapatkan "salinan bit" (pembiakan bit-by-bit yang tepat) media dengan menggunakan alat penyekat tulis khusus yang "mencerminkan" data sambil mencegah sebarang pengubahsuaian pada kandungan asli media.
Pertumbuhan ukuran media penyimpanan dan penyebaran paradigma seperti pengkomputeran awan menuntut penerapan teknik pemerolehan baru yang memungkinkan penyiasat mengambil salinan data "logik" dan bukan gambar lengkap dari peranti penyimpanan fizikal. Dalam usaha tertumpu untuk memastikan integritas data, penyiasat menggunakan mekanisme "hashing" yang menghasilkan nilai panjang tetap yang lebih pendek yang mewakili asal yang lebih panjang atau lebih kompleks. Nilai hash memungkinkan carian yang lebih pantas dan memungkinkan para penyelidik menilai setiap saat untuk konsistensi dalam kandungan digital yang disiasat. Sebarang pengubahsuaian pada konten akan menyebabkan perubahan hash artifak digital, yang dapat dilihat dengan mudah tanpa perlu mencari seluruh pangkalan data.
