Best Practices für Computerforensik im Feld

Einführung

Computerforensische Prüfer sind für die fachliche Schärfe, Rechtskenntnis und Objektivität bei Ermittlungen verantwortlich. Der Erfolg basiert grundsätzlich auf überprüfbaren und wiederholbaren gemeldeten Ergebnissen, die einen direkten Beweis für vermutetes Fehlverhalten oder eine potenzielle Entlastung darstellen. Dieser Artikel stellt eine Reihe von Best Practices für den Computerforensiker auf, die den besten Beweis für vertretbare Lösungen in diesem Bereich darstellen. Best Practices selbst sollen diejenigen Prozesse erfassen, die sich in ihrem Einsatz wiederholt bewährt haben. Dies ist kein Kochbuch. Best Practices sollen basierend auf den spezifischen Bedürfnissen der Organisation, des Falls und der Fallsituation überprüft und angewendet werden.

Berufserfahrung

Ein Prüfer kann nur informiert werden, wenn er ein Feld betritt. In vielen Fällen gibt der Kunde oder sein Vertreter Auskunft über die Anzahl der betroffenen Systeme, deren Spezifikationen und den aktuellen Zustand. Und genauso oft liegen sie gravierend daneben. Dies gilt insbesondere für Festplattengrößen, das Knacken von Laptops, Passwort-Hacking und Geräteschnittstellen. Ein Anfall, der die Geräte zurück ins Labor bringt, sollte immer die erste Verteidigungslinie sein und maximale Flexibilität bieten. Wenn Sie vor Ort arbeiten müssen, erstellen Sie eine umfassende Arbeitsliste mit Informationen, die gesammelt werden müssen, bevor Sie das Feld betreten. Die Liste sollte aus kleinen Schritten mit einem Kontrollkästchen für jeden Schritt bestehen. Der Prüfer soll über seinen nächsten Schritt vollständig informiert sein und nicht „auf den Beinen denken“ müssen.

Überschätzen

Überschätzen Sie den Aufwand mindestens um den Faktor zwei, wie viel Zeit Sie für die Erledigung der Aufgabe benötigen. Dazu gehören der Zugriff auf das Gerät, das Einleiten der forensischen Erfassung mit der richtigen Strategie zum Blockieren von Schreibvorgängen, das Ausfüllen der entsprechenden Unterlagen und der Chain-of-Custody-Dokumentation, das Kopieren der erfassten Dateien auf ein anderes Gerät und das Wiederherstellen der Hardware in ihren ursprünglichen Zustand. Denken Sie daran, dass Sie möglicherweise Werkstatthandbücher benötigen, die Sie beim Zerlegen kleiner Geräte für den Zugriff auf das Laufwerk anleiten, was die Beschaffung und die Hardwarewiederherstellung erschwert. Lebe nach Murphys Gesetz. Etwas wird Sie immer herausfordern und mehr Zeit in Anspruch nehmen als erwartet – auch wenn Sie es schon oft getan haben.

Inventar Ausrüstung Die meisten Untersucher verfügen über eine Vielzahl von Geräten, um forensisch fundierte Erfassungen auf verschiedene Weise durchführen zu können. Entscheiden Sie im Vorfeld, wie Sie Ihre Standortakquise idealerweise durchführen möchten. Wir alle werden sehen, dass Ausrüstung in der kritischsten Zeit kaputt geht oder eine andere Inkompatibilität zum Showstopper wird. Erwägen Sie, zwei Schreibblocker und ein zusätzliches Massenspeicherlaufwerk mitzunehmen, gelöscht und bereit. Stellen Sie zwischen den Jobs sicher, dass Sie Ihre Ausrüstung mit einer Hashing-Übung überprüfen. Überprüfen und inventarisieren Sie Ihr gesamtes Kit anhand einer Checkliste, bevor Sie abheben.

Flexible Akquisition

Anstatt zu versuchen, die genaue Größe der Client-Festplatte „am besten zu schätzen“, verwenden Sie Massenspeichergeräte und, wenn der Platz ein Problem ist, ein Erfassungsformat, das Ihre Daten komprimiert. Kopieren Sie die Daten nach dem Sammeln der Daten an einen anderen Speicherort. Viele Prüfer beschränken sich auf traditionelle Anschaffungen, bei denen die Maschine geknackt, das Laufwerk entfernt, hinter einen Schreibblocker gestellt und erworben wird. Es gibt auch andere Methoden für den Erwerb, die vom Linux-Betriebssystem zur Verfügung gestellt werden. Linux, das von einem CD-Laufwerk gebootet wird, ermöglicht es dem Prüfer, eine Rohkopie zu erstellen, ohne die Festplatte zu beeinträchtigen. Machen Sie sich mit dem Prozess vertraut, um zu verstehen, wie Hashwerte und andere Protokolle erfasst werden. In diesem Dokument wird auch die Live-Erfassung behandelt. Lassen Sie das abgebildete Laufwerk beim Anwalt oder Kunden und bringen Sie die Kopie zur Analyse in Ihr Labor.

Den Stecker ziehen

Es kommt zu hitzigen Diskussionen darüber, was man tun soll, wenn man auf eine laufende Maschine trifft. Es gibt zwei klare Möglichkeiten; Ziehen Sie den Stecker oder führen Sie einen sauberen Shutdown durch (vorausgesetzt, Sie können sich einloggen). Die meisten Prüfer ziehen den Stecker, und dies ist der beste Weg, um zu vermeiden, dass irgendwelche böswilligen Prozesse ausgeführt werden, die Daten löschen und löschen oder andere ähnliche Fallstricke verursachen können. Es ermöglicht dem Prüfer auch den Zugriff, einen Snapshot der Auslagerungsdateien und anderer Systeminformationen zu erstellen, während er zuletzt ausgeführt wurde. Es sollte beachtet werden, dass das Ziehen des Steckers auch einige der auf dem System ausgeführten Dateien beschädigen kann, sodass sie für die Überprüfung oder den Benutzerzugriff nicht verfügbar sind. Unternehmen bevorzugen manchmal einen sauberen Shutdown und sollten die Wahl haben, nachdem sie die Auswirkungen erklärt haben. Es ist wichtig zu dokumentieren, wie die Maschine heruntergefahren wurde, da dies für die Analyse unbedingt erforderlich ist.

Live-Akquisitionen

Eine andere Möglichkeit besteht darin, eine Live-Erfassung durchzuführen. Einige definieren „live“ als laufende Maschine, wie sie gefunden wird, oder zu diesem Zweck wird die Maschine selbst während der Erfassung auf irgendeine Weise laufen. Eine Methode besteht darin, in eine angepasste Linux-Umgebung zu booten, die genügend Unterstützung bietet, um ein Image der Festplatte zu erstellen (häufig neben anderen forensischen Fähigkeiten), aber der Kernel wird so modifiziert, dass er den Host-Computer nie berührt. Es gibt auch spezielle Versionen, die es dem Prüfer ermöglichen, die Autorun-Funktion von Windows zu nutzen, um eine Reaktion auf Vorfälle durchzuführen. Diese erfordern fortgeschrittene Kenntnisse in Linux und Erfahrung mit Computerforensik. Diese Art der Anschaffung ist ideal, wenn eine Demontage der Maschine aus Zeit- oder Komplexitätsgründen nicht sinnvoll ist.

Die Grundlagen

Ein erstaunlich dreistes Versehen, das Prüfer oft machen, ist es, das Gerät nicht zu booten, wenn die Festplatte leer ist. Die Überprüfung des BIOS ist absolut entscheidend, um eine vollständig validierte Analyse durchführen zu können. Die im BIOS gemeldete Uhrzeit und das Datum müssen gemeldet werden, insbesondere wenn Zeitzonen ein Problem darstellen. Je nachdem, welcher Hersteller die BIOS-Software geschrieben hat, ist eine Vielzahl weiterer Informationen verfügbar. Denken Sie daran, dass Laufwerkshersteller auch bestimmte Bereiche der Festplatte (Hardware Protected Areas) ausblenden können und Ihr Erfassungstool in der Lage sein muss, eine vollständige Bitstream-Kopie zu erstellen, die dies berücksichtigt. Ein weiterer Schlüssel zum Verständnis des Prüfers ist die Funktionsweise des Hashing-Mechanismus: Einige Hash-Algorithmen sind möglicherweise anderen vorzuziehen, nicht unbedingt aufgrund ihrer technologischen Solidität, sondern aufgrund ihrer Wahrnehmung in einer Gerichtssaalsituation.

Sicher lagern

Erworbene Bilder sollten in einer geschützten, nicht statischen Umgebung gespeichert werden. Prüfer sollten Zugang zu einem verschlossenen Safe in einem verschlossenen Büro haben. Laufwerke sollten in antistatischen Beuteln gelagert und durch die Verwendung von nicht-statischem Verpackungsmaterial oder dem Original-Versandmaterial geschützt werden. Jedes Laufwerk sollte mit dem Kundennamen, der Anwaltskanzlei und der Beweisnummer versehen werden. Einige Prüfer kopieren Laufwerksetiketten auf dem Kopiergerät, wenn sie während der Erfassung Zugriff darauf haben und diese zusammen mit den Fallpapieren aufbewahrt werden sollten. Am Ende des Tages sollte jede Fahrt mit einem Chain-of-Custody-Dokument, einem Job und einer Beweisnummer verbunden sein.

Richten Sie eine Richtlinie ein

Viele Mandanten und Anwälte drängen auf den sofortigen Erwerb des Computers und sitzen dann monatelang auf den Beweisen. Machen Sie mit dem Anwalt klar, wie lange Sie bereit sind, die Beweise in Ihrem Labor aufzubewahren und für kritische oder umfangreiche Arbeiten eine Lagergebühr zu erheben. Möglicherweise speichern Sie kritische Beweise für eine Straftat oder eine Zivilklage, und obwohl es aus Marketingsicht eine gute Idee sein mag, eine Kopie des Laufwerks aufzubewahren, kann es aus Sicht des Falles besser sein, alle Kopien an den Anwalt zurückzugeben oder Kunde mit der entsprechenden Chain-of-Custody-Dokumentation.

Fazit

Computerprüfer haben viele Möglichkeiten, wie sie eine Vor-Ort-Akquisition durchführen. Gleichzeitig ist die Akquise vor Ort das volatilste Umfeld für den Prüfer. Tools können versagen, Zeitbeschränkungen können schwerwiegend sein, Beobachter können den Druck erhöhen und Verdächtige können anwesend sein. Prüfer müssen die Wartung ihrer Werkzeuge und die Entwicklung von fortlaufendem Wissen ernst nehmen, um die besten Techniken für jede Situation zu erlernen. Unter Verwendung der hierin enthaltenen Best Practices sollte der Prüfer auf fast jede Situation vorbereitet sein und in der Lage sein, angemessene Ziele und Erwartungen für die fragliche Leistung zu setzen.


Source by Carol Stimmel

About admin

Check Also

Wie groß ist BIG DATA?

Haben Sie sich jemals gefragt, wenn Sie Ihr Bild hochladen oder einen Status oder sogar …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.