Sikkerhet + sertifisering: Computer Forensics and Incident Reponse - dummies

Computerforensics innebærer å gjennomføre en undersøkelse for å avgjøre hva som har skjedd, for å finne ut hvem som er ansvarlig og å samle lovlig Tillatelig bevis for bruk i en datamaskin kriminalitet sak.

Nært knyttet til, men tydelig forskjellig fra undersøkelser, er hendelsesrespons. Formålet med en undersøkelse er å avgjøre hva som skjedde, å bestemme hvem som er ansvarlig, og å samle bevis. Hendelsesrespons bestemmer hva som skjedde, inneholder og vurderer skade, og gjenoppretter normal drift.

Undersøkelser og hendelsesrespons må ofte gjennomføres samtidig på en godt koordinert og kontrollert måte for å sikre at de opprinnelige tiltakene for hver aktivitet ikke ødelegger bevis eller forårsaker ytterligere skade på organisasjonens eiendeler. Av denne grunn behøver Computer Incident (eller Emergency) Response Teams (CIRT eller CERT) å være riktig opplært og kvalifisert til å sikre en kriminalitet scene eller hendelse mens bevaring av bevis. Ideelt sett inkluderer CIRT personer som utfører etterforskningen.

Gjennomføre undersøkelser

En datakriminalitetsundersøkelse bør starte umiddelbart etter rapportering om en påstått datamaskinkriminalitet eller -hendelse. I utgangspunktet bør enhver hendelse håndteres som en forbrytelsesundersøkelse til datamaskinen før en foreløpig undersøkelse bestemmer noe annet. De generelle trinnene som skal følges i undersøkelsesprosessen, er følgende:

• Registrere og inneholde: Tidlig deteksjon er avgjørende for en vellykket undersøkelse. Dessverre er passive eller reaktive deteksjonsteknikker (som for eksempel gjennomgang av revisjonsstier og utilsiktet oppdagelse) vanligvis normen i datakriminalitet og forlater ofte en kald bevisspor. Inneslutning er viktig for å minimere ytterligere tap eller skade.

• Varsle ledelsen: Ledelsen må bli varslet om eventuelle undersøkelser så snart som mulig. Kunnskap om undersøkelsen bør begrenses til så få personer som mulig, og bør være nødvendig for å vite. Utgående kommunikasjonsmetoder (rapportering i person) skal brukes for å sikre at sensitiv kommunikasjon om undersøkelsen ikke skilles.
• Begynn forundersøkelse: Dette er nødvendig for å avgjøre om en forbrytelse faktisk har skjedd. De fleste hendelser er ærlige feil, ikke kriminell adferd. Dette trinnet inkluderer

• Gjennomgang av klagen eller rapporten

• Inspeksjon av skader

• Intervjuer av vitner

• Undersøkelse av logger

• Identifisering av ytterligere undersøkelseskrav

• Initierer avsløring av bestemmelse: Den første og viktigst å avgjøre er om avsløring av kriminalitet eller hendelse er nødvendig i henhold til loven.Deretter bestemme om avsløring er ønsket. Dette bør samordnes med en offentlig eller offentlig saksbehandler i organisasjonen.
• Utfør undersøkelsen:

• Identifisere potensielle mistenkte. Dette inkluderer innsidere og utenforstående til organisasjonen. En standarddiskriminator for å avgjøre eller eliminere potensielle mistenkte er MOM-testen: Har den mistenkte motivet, muligheten og midler til å begå forbrytelsen?

• Identifisere potensielle vitner. Bestem hvem som skal intervjues og hvem som skal gjennomføre intervjuene. Vær forsiktig for ikke å varsle eventuelle potensielle mistenkte til undersøkelsen; fokus på å skaffe seg fakta, ikke meninger, i vitnesbyrd.

• Forbered deg på søk og anfall. Dette inkluderer å identifisere hvilke typer systemer og bevis som skal søges etter eller beslaglagt, utpeke og trene søkemottakerne (CIRT), skaffe og betjene riktige søkegarantier (om nødvendig) og bestemme potensiell risiko for systemet under et søk og anfallstiltak.

• Rapporter funn: Resultatene av undersøkelsen, inkludert bevis, skal rapporteres til ledelsen og overføres til relevante politimyndigheter eller anklagere.

Bevis

Bevis er informasjon presentert i en domstol for å bekrefte eller fjerne et faktum som er under strid. En sak kan ikke hentes til rettssak uten tilstrekkelig bevis for å støtte saken. Dermed er korrekt samling av bevis en av de viktigste og vanskeligste oppgavene til etterforskeren.

Typer av bevis

Kilder til juridiske bevis som kan bli presentert ved en domstol, faller vanligvis inn i en av fire hovedkategorier:

• Direkte bevis: Dette er muntlig vitnesbyrd eller en skriftlig uttalelse basert på informasjon samlet gjennom vitnesens fem sanser (et øyenvitne konto) som beviser eller motbeviser et bestemt faktum eller problem.
• Virkelig (eller fysisk) bevis: Dette er konkrete objekter fra selve kriminaliteten, som disse:

• Verktøy og våpen

• Stolt eller skadet eiendom

• Visuelle eller lydovervåkningsbånd

Fysisk bevis fra en datakriminalitet er sjelden tilgjengelig.
• Dokumentarbevis: De fleste bevisene som presenteres i en datamaskinkriminalitet er dokumentasjonsbevis, som for eksempel følgende;

• Originaler og kopier av forretningsregistre

• Datamaskingenererte og datalagrede poster

• Håndbøker

• Retningslinjer

• Standarder

• Prosedyrer

• Logfiler > Virksomhetsrekord, inkludert dataposter, er tradisjonelt ansett som hearsay-bevis fra de fleste domstoler fordi disse dokumentene ikke kan påvises nøyaktig og pålitelig. En av de viktigste hindringene for en aktor for å overvinne i en datamaskinbruddssak er å søke opptak av dataposter som bevis.

Demonstrerende bevis.
• Brukt for å hjelpe domstolens forståelse av en sak. Meninger er betraktet som demonstrerende bevis og kan enten være •

Ekspert: Basert på personlig kompetanse og fakta •

Nonexpert: Bare basert på fakta Andre eksempler på demonstrant Bevis inkluderer modeller, simuleringer, diagrammer og illustrasjoner.

Andre typer bevis som kan falle inn i minst en av de foregående hovedkategorier inkluderer

Beste bevis:

• Original, uendret bevis. I retten er dette foretrukket over sekundære bevis. Data hentet fra en datamaskin tilfredsstiller den beste bevisregel og kan normalt innføres i rettssaker som sådan.
Sekundært bevis:
• En duplikat eller kopi av bevis, for eksempel • Tape backup

• Skjermopptak

• Fotografi

Korroborende bevis:

• Støtter eller underbygger andre bevis som presenteres i et tilfelle. Avsluttende bevis:
• Ukontrovert og uopprettelig: Røykpistolen. Vesentlig bevis:
• Relevante fakta som ikke direkte eller definitivt kan knyttes til andre hendelser, men om hvilke en rimelig innledning kan gjøres. Godkjennelse av bevis

Fordi data generert bevis ofte kan lett manipuleres, endres eller manipuleres, og fordi det ikke er lett og allment forstått, anses denne typen bevis vanligvis å være mistenkt i en domstol.

For å kunne aksepteres, må bevis være:

Relevant:

• Det må ha en tendens til å bevise eller motbevise fakta som er relevante og materielle til saken. Pålitelig:
• Det må være rimelig bevist at det som er presentert som bevis er det som opprinnelig ble samlet inn, og at bevisene i seg selv er pålitelige. Dette er oppnådd, delvis, gjennom riktig bevishåndtering og forsvarsskjeden. Lovlig tillatelse:
• Det må oppnås ved juridiske midler. Bevis som ikke er lovlig tillatt, kan inkludere bevis oppnådd på følgende måter: •

Ulovlig søk og anfall: Retshåndhevelsespersonell må innhente forhåndsbestemmelse; Imidlertid kan ikke-lovhåndteringspersonell, som en veileder eller systemadministrator, i enkelte tilfeller kunne utføre et autorisert søk. •

Ulovlige kiler eller telefonkraner: Enhver som driver wiretaps eller telefonkraner må få en tidligere rettsordre. •

Entrapment eller enticement: Entrapment oppfordrer noen til å begå en forbrytelse som individet kanskje ikke har hatt til hensikt å begå. Omvendt lokker enticement noen mot noe bevis (en honningspott, hvis du vil) etter at personen allerede har begått en forbrytelse. Enticement er ikke nødvendigvis ulovlig, men oppfordrer etiske argumenter og kan ikke være tillatt i retten. •

Tvinge: Forsagt vitnesbyrd eller bekjennelse er ikke lovlig tillatt. •

Uautorisert eller ukorrekt overvåkning: Aktiv overvåkning må være godkjent og utført på en standard måte; Brukerne må bli varslet om at de kan bli overvåket.