Melhores Práticas para a Computação Forense no Campo

Introdução

Examinadores de informática forense são responsáveis ​​pela acuidade técnica, o conhecimento da lei e objetividade no curso das investigações. O sucesso é de princípio sobre verificáveis ​​e repetíveis resultados apresentados que representam evidência direta de exoneração mal-fazer ou potencial suspeito. Este artigo estabelece uma série de melhores práticas para o profissional de computação forense, o que representa a melhor evidência para soluções defensáveis ​​no campo. Melhores práticas em si mesmas são destinados para capturar os processos que têm mostrado repetidamente para ser bem sucedido na sua utilização. Este não é um livro de receitas. As melhores práticas são destinadas a ser revistos e aplicados com base nas necessidades específicas da organização, o caso eo caso
criação.

Conhecimento trabalho

Um examinador só pode ser tão informado quando elas entram em um ambiente de campo. Em muitos
casos, o cliente ou o representante do cliente vai fornecer algumas informações sobre
quantos sistemas estão em causa, as suas especificações, e seu estado atual.
E, assim como, muitas vezes, eles são extremamente errado. Isto é especialmente verdadeiro quando se trata de
tamanhos de disco rígidos, computadores portáteis de cracking, hacking senha e dispositivo
interfaces. A apreensão que traz o equipamento de volta para o laboratório deve ser sempre
a primeira linha de defesa, proporcionando a máxima flexibilidade. Se você deve executar no local,
criar uma lista exaustiva de trabalho de informação a ser recolhida antes de bater
do campo. A lista deve ser composta de pequenos passos, com uma caixa de seleção para cada
passo. O examinador deve ser completamente informado do seu próximo passo e não ter
"pensar em seus pés."

Exagerar

Superestimar esforço por pelo menos um fator de dois a quantidade de tempo que você vai precisar para
concluir o trabalho. Isto inclui o acesso ao dispositivo, iniciando a forense
aquisição com a estratégia de escrever de bloqueio adequada, preenchendo o adequado
papelada e cadeia de custódia de documentação, a cópia dos arquivos adquiridos para
outro dispositivo e restaurando o hardware para o seu estado inicial. Tenha em mente que você
pode exigir manuais loja de direcioná-lo em desmontar pequenos dispositivos para acessar a
unidade, criando mais dificuldade em realizar a aquisição e hardware
restauração. Viva pela Lei de Murphy. Algo sempre vai desafiá-lo e tomar
mais tempo do que o previsto - mesmo se você tiver feito isso muitas vezes.

Equipamentos de inventário
A maioria dos examinadores tem o suficiente de uma variedade de equipamentos que possam desempenhar
forense aquisições de várias maneiras. Decida de antemão como você
gostaria de idealmente realizar sua aquisição do site. Todos nós vamos ver o equipamento ir
ruim ou alguma incompatibilidade outro tornar-se um show-rolha no momento mais crítico.
Considere carregar dois bloqueadores de gravação e uma unidade de armazenamento extra massa, limpou e
pronta. Entre os trabalhos, certifique-se de verificar o seu equipamento com um exercício de hash.
Duplo-Check e inventariar todo o seu kit através de um checklist antes da descolagem.

Aquisição flexível

Em vez de tentar fazer "melhores palpites" sobre o tamanho exato do cliente difícil
unidade, usar dispositivos de armazenamento em massa e se o espaço é um problema, um formato de aquisição que
irá comprimir os dados. Após a coleta dos dados, copiar os dados para outro
localização. Examinadores muitos limitam-se a aquisições tradicionais, onde o
máquina está rachado, o disco removido, colocado atrás de uma gravação bloqueador e
adquirida. Existem também outros métodos para aquisição disponibilizados pelo Linux
sistema operacional. Linux, iniciado a partir de uma unidade de CD, permite que o examinador para fazer uma
cópia crua, sem comprometer o disco rígido. Estar familiarizados com o
processo para entender a forma de recolher os valores de hash e outros registros. Aquisição viver
também é discutida no presente documento. Deixar a unidade fotografada com o advogado ou o
cliente e levar a cópia de volta para seu laboratório para análise.

Puxar o plugue

Acalorada discussão ocorre sobre o que se deve fazer quando se deparam com um corredor
máquina. Duas opções claras existir; puxando o plugue ou realizar um desligamento limpo
(Supondo que você pode fazer login). A maioria dos examinadores puxar a ficha, e esta é a melhor maneira de
evitar que qualquer tipo de processo malévolo de correr que podem apagar e
limpar os dados ou alguma armadilha semelhante. Também permite que o acesso ao examinador criar
um instantâneo dos arquivos de swap e outras informações do sistema como ele estava correndo passado. Ele
Deve notar-se que puxar o bujão pode também danificar alguns dos arquivos de execução em
o sistema, tornando-os indisponíveis para exame ou acesso do usuário. Empresas
às vezes preferem um desligamento normal e deve ser dada a escolha depois de ser
explicou o impacto. É crítico para documentar como a máquina foi derrubado
porque será conhecimento absolutamente essencial para a análise.

Aquisições ao vivo

Uma outra opção é a de realizar uma aquisição ao vivo. Alguns definem "ao vivo" como uma execução
máquina tal como é encontrado, ou para esse fim, a própria máquina será executado durante
a aquisição através de alguns meios. Um método é inicializar em um personalizado
Ambiente Linux, que inclui apoio suficiente para capturar uma imagem do disco rígido
(Frequentemente entre outras capacidades forenses), mas o kernel é modificado para nunca tocar
o computador host. Versões especiais também existem que permitem que o examinador para alavancar
característica da janela de execução automática para executar Resposta a Incidentes. Estes requerem um
conhecimento avançado de Linux e experiência com computação forense. Este
tipo de aquisição é ideal quando, por razões de tempo ou de complexidade, de desmontar o
máquina não é uma opção razoável.

Os Fundamentos

Um descuido surpreendente bronze que examinador muitas vezes fazem é deixar de inicializar o
dispositivo uma vez que o disco rígido é de fora. Verificar o BIOS é absolutamente crítico para o
capacidade de realizar uma análise totalmente validado. A data e hora relatados na BIOS
devem ser relatados, especialmente quando os fusos horários são um problema. Uma rica variedade de outros
informações estão disponíveis, dependendo do que fabricante escreveu o software da BIOS.
Lembre-se que os fabricantes de disco também pode esconder certas áreas do disco
(Áreas Protegidas Hardware) e sua ferramenta de aquisição deve ser capaz de fazer uma completa
cópia bitstream que leva isso em conta. Outra chave para o examinador
é compreender como funciona o mecanismo hash: Alguns algoritmos de hash pode ser
preferível a outros não necessariamente por sua solidez tecnológica, mas por quanto
eles podem ser percebidos em uma situação de corte.

Armazenar com segurança

Imagens adquiridas devem ser armazenados em local protegido, o ambiente não-estático.
Examinadores devem ter acesso a um cofre trancado em um escritório fechado. Unidades devem ser
armazenadas em sacos antiestáticos e protegido pelo uso de materiais de embalagem não-estáticos ou
o material de transporte original. Cada unidade deve ser etiquetado com o nome do cliente,
Procuradoria e número de provas. Alguns examinadores copiar os rótulos de unidade no
copiar máquina, se eles têm acesso a um durante a aquisição e esta deve ser
armazenado com a papelada caso. No final do dia, cada unidade deve ligar
com uma cadeia de custódia de documentos, um trabalho, e um número de provas.

Estabelecer uma política de

Muitos clientes e advogados vão pressionar por uma aquisição imediata do computador
e, em seguida, sentar-se na evidência de meses. Deixe claro com o advogado quanto tempo
você está disposto a manter a prova no seu laboratório e cobrar uma taxa de armazenamento para
trabalhos críticos ou grande escala. Você pode estar armazenando evidência crítica a um crime ou civil
ação e ao mesmo tempo a partir de uma perspectiva de marketing, pode parecer uma boa idéia para manter
uma cópia do disco, pode ser melhor do ponto de vista do processo para retornar todos
cópia para o advogado ou do cliente com a adequada cadeia de custódia
documentação.

Conclusão

Examinadores de computador têm muitas escolhas sobre como eles irão realizar um local
aquisição. Ao mesmo tempo, a aquisição do local é a mais volátil
ambiente para o examinador. Ferramentas podem falhar, limitações de tempo pode ser grave,
observadores podem adicionar, pressão e suspeitos podem estar presentes. Examinadores precisa tomar
seriamente a manutenção de suas ferramentas e desenvolvimento de conhecimento em curso para
aprender as melhores técnicas para cada situação. Utilizando as melhores práticas no presente,
o examinador deve estar preparado para qualquer situação eles podem enfrentar e ter
a capacidade de definir metas e expectativas razoáveis ​​para o esforço em questão....