Sikkerhet + sertifisering: Computer Forensics og Incident réponse

April 18  by Eliza

Dataetterforskning innebærer å gjennomføre en undersøkelse for å finne ut hva som har skjedd, for å finne ut hvem som er ansvarlig og å samle rettslig akseptabelt bevis for bruk i en datakriminalitet tilfelle.

Nært knyttet til, men tydelig forskjellig fra undersøkelser, er hendelsesrespons. Hensikten med en etterforskning er å finne ut hva som skjedde, for å avgjøre hvem som er ansvarlig, og for å samle bevis. Incident respons avgjør hva som skjedde, inneholder og ser skadene, og gjenoppretter normal drift.

Etterforskning og hendelsesrespons ofte må gjennomføres samtidig i et godt koordinert og kontrollert måte for å sikre at de første handlingene til enten aktivitet ikke ødelegge bevis eller føre til ytterligere skade organisasjonens eiendeler. Av denne grunn, Computer Incident (eller Emergency) Response Teams (CIRT eller CERT, henholdsvis) må være skikkelig trent og kvalifisert til å sikre et åsted eller hendelse samtidig bevare bevis. Ideelt sett CIRT omfatter personer som gjennomfører undersøkelsen.

Gjennomføre Undersøkelser

En datamaskin kriminalitet etterforskning bør begynne umiddelbart etter rapport om en påstått datakriminalitet eller hendelse. I utgangspunktet bør enhver hendelse håndteres som en datakriminalitet etterforskning til en foreløpig undersøkelse bestemmer noe annet. De generelle tiltak som skal følges i den undersøkende prosessen er følgende:

  • Oppdage og inneholde: Tidlig oppdagelse er avgjørende for en vellykket etterforskning. Dessverre, passive eller reaktive teknikker gjenkjenning (for eksempel gjennomgang av tilsyns stier og tilfeldig oppdagelse) er vanligvis normen i datakriminalitet og ofte forlate en kald bevis sti. Forvaring er avgjørende for å minimere tap eller skade.
  • Varsle ledelse: Ledelsen må varsles med undersøkelsene så snart som mulig. Kunnskap om etterforskningen bør begrenses til så få mennesker som mulig, og bør være på et behov for å vite basis. Out-of-band kommunikasjonsmetoder (rapportering i person) bør brukes for å sikre at sensitive kommunikasjon om etterforskningen blir ikke fanget opp.
  • Begynn forundersøkelse: Dette er nødvendig for å avgjøre om en forbrytelse faktisk har skjedd. De fleste hendelsene er ærlige feil, ikke kriminell atferd. Dette trinnet inkluderer

• Gjennomgang av klagen eller rapport

• Inspeksjon skade

• intervjue vitner

• Undersøke logger

• Identifisere ytterligere krav etterforskning

  • Initiere avsløring besluttsomhet: Den første og viktigste å avgjøre er om avsløring av kriminalitet eller hendelsen er lovpålagt. Neste, avgjøre om offentliggjøring er ønsket. Dette bør koordineres med en PR eller offentlige anliggender offisielle av organisasjonen.
  • Gjennomføre etterforskningen:

Identifisere potensielle mistenkte. Dette inkluderer innsidere og utenforstående til organisasjonen. En standard discriminator å fastslå eller eliminere potensielle mistenkte er MOM test: Hadde den mistenkte har motiv, muligheter og muligheter for å begå kriminalitet?

Identifisere potensielle vitner. Bestem hvem som skal bli intervjuet og hvem som skal gjennomføre intervjuene. Vær forsiktig med å varsle eventuelle mistenkte til etterforskningen; fokusere på å skaffe fakta, ikke meninger, i vitneutsagn.

Forbered for ransaking og beslag. Dette inkluderer å identifisere hvilke typer systemer og bevis å bli søkte på eller beslaglagt, utpeking og opplæring av ransaking og beslag gruppemedlemmer (CIRT), innhenting og serverer skikkelig ransakingsordrer (om nødvendig), og bestemme potensial risikere å systemet under en ransaking og beslag innsats.

  • Rapporter Funn: Resultatene av undersøkelsen, herunder bevis, bør rapporteres til ledelsen og slått over til egnede polititjenestemenn eller påtalemyndigheten.

Bevis

Bevisene er informasjon som presenteres i en domstol til å bekrefte eller fjerne et faktum som er under strid. En sak kan ikke bli stilt for retten uten tilstrekkelig bevis for å støtte saken. Dermed skal samle bevis er en av de viktigste og vanskeligste oppgaver etterforsker.

Typer bevis

Kilder til juridisk bevis som kan presenteres i en domstol vanligvis faller inn under en av fire hovedkategorier:

  • Direkte bevis: Dette er muntlig forklaring eller en skriftlig uttalelse basert på informasjon samlet gjennom vitne fem sanser (et øyenvitne konto) som beviser eller motbeviser en bestemt faktum eller problem.
  • Real (eller fysisk) bevis: Dette er materielle objekter fra den faktiske kriminalitet, som for eksempel disse:

• Verktøy og våpen

• stjålet eller skadet eiendom

• Visuelle eller lydovervåkingsprogrammer kassetter

Fysiske bevis fra en datakriminalitet er sjelden tilgjengelig.

  • Dokumentasjon: De fleste bevisene presentert i en datakriminalitet saken er dokumentert, slik som følgende;

• Originaler og kopier av forretningsdokumenter

• Datagenerert og datalagrede poster

• Håndbøker

• Retningslinjer

• Standarder

• Prosedyrer

• Loggfiler

Forretningsdokumenter, inkludert datamaskinen poster, er tradisjonelt ansett rykter bevis ved de fleste domstolene fordi disse postene ikke kan bevises nøyaktig og pålitelig. En av de mest betydelige hindringer for en aktor å overvinne i en datakriminalitet tilfelle søker opptak av datamaskinen poster som bevis.

  • Demonstrative bevis. Brukes til å hjelpe rettens forståelse av en sak. Meninger anses demonstrer bevis og kan være enten

Expert: Basert på personlig kompetanse og fakta

Nonexpert: Basert på fakta bare

Andre eksempler på demonstrative bevis inkluderer modeller, simuleringer, diagrammer og illustrasjoner.

Andre typer av bevis som kan falle inn i minst en av de foregående store kategorier inkluderer

  • Beste bevis: Original, uendret bevis. I retten, er dette å foretrekke fremfor sekundære bevis.

Data hentet fra en datamaskin tilfredsstiller det beste beviset regelen og kan normalt bli introdusert i rettsmøter som sådan.

  • Sekundær bevis: En duplikat eller kopi av bevis, for eksempel

• Tape backup

• Skjermen fange

• Photograph

  • Bekreftende bevis: Støtter eller sannsynliggjør andre bevis presentert i en sak.
  • Bevis: uomtvistelig og ugjendrivelige: den rykende pistolen.
  • Indisier: Relevante fakta som ikke kan direkte eller entydig knyttet til andre arrangementer, men om hvilke en rimelig slutning kan gjøres.

Om bevis

Fordi datagenerert bevis kan ofte være lett manipulert, endret eller manipulert, og fordi det ikke er lett og allment forstått, er denne type bevis vanligvis betraktet som mistenkt i en domstol.

For å være tillatelig, må bevis være:

  • Relevant: Det må en tendens til å bevise eller motbevise fakta som er relevante og materialet i saken.
  • Pålitelig: Det må være rimelig bevist at det som presenteres som bevis er det som opprinnelig ble samlet inn og at bevisene i seg selv er pålitelig. Dette oppnås delvis gjennom riktig bevis håndtering og kjeden.
  • Loven tillater det: Det må innhentes gjennom lovlige midler. Bevis for at det ikke er lovlig kan inneholde bevis innhentet gjennom disse midlene:

Ulovlig ransaking og beslag: rettshåndhevelse personell må få en tidligere rettskjennelse; imidlertid ikke-rettshåndhevelse personell, for eksempel en veileder eller systemadministratoren, kan være i stand til å gjennomføre en autorisert søk under noen omstendigheter.

Ulovlige telefonavlytting eller telefon kraner: Anyone gjennomføre telefonavlytting eller telefon kraner må få en tidligere rettskjennelse.

Entrapment eller lokkemiddel: Entrapment oppfordrer noen til å begå en forbrytelse som den enkelte kan ha hatt noen intensjon om å begå. Omvendt, lokker lokke noen mot noen bevis (en honningkrukke, hvis du vil) etter denne personen allerede begått en forbrytelse. Lokkemiddel er ikke nødvendigvis ulovlig, men ikke hever etiske argumenter og kan ikke være tillatelig i retten.

Tvang: tvunget vitnesbyrd eller tilståelser er ikke juridisk tillatt.

Uautorisert eller feil overvåking: Aktiv overvåking, må ha tillatelse og gjennomføres på en standard måte; Brukerne må få beskjed om at de kan bli gjenstand for overvåking.