Computer-Forensik – Lassen Sie sich die Bandbeweise nicht entgehen

Ein Großteil der Arbeit der Computerforensik ist mit der Datenwiederherstellung von Festplatten, USB-Stiften und anderen gängigen Datenspeichermedien verbunden. Auch im Fernsehen werden Daten im Allgemeinen nur auf einer begrenzten Anzahl von Medien gespeichert. Und was ist mit Klebeband? Das wahrscheinlich größte Datenvolumen der Welt ist auf Band gespeichert, also von Wert für forensische Untersuchungen und Rechtsstreitigkeiten?

Das Festplattenlaufwerk in einem Computersystem enthält die aktuellsten Informationen zusammen mit anderen forensisch wertvollen Informationen wie dem Internetverlauf und lokalen temporären Dateien.

Warum sich also die Mühe machen, sich die Sicherungsbänder anzusehen?

Leichtigkeit des Zugangs

Der Zugriff auf die Daten eines Bandarchivs erfolgt oft störungsfreier, da die Bänder ohne Beschlagnahme und Abbilden von Systemen übergeben werden können. In einigen Fällen ist es von entscheidender Bedeutung, dass nicht allgemein bekannt ist, dass eine Untersuchung oder ein Systemaudit im Gange ist. Daher ist es möglicherweise vorzuziehen, die Sicherungen aus einem externen Speicher zu erstellen, anstatt die aktiven Systeme für Untersuchungen zu sperren.

Die durch ein Audit verursachte Störung breitet sich oft weiter aus, als es ideal ist. Menschen, die nicht unter Verdacht stehen, fühlen sich am Ende verdächtigt, daher kann es ein sehr guter Schritt sein, die Situation ohne weitreichenden Verlust der Mitarbeitermoral beurteilen zu können. Natürlich ist darauf zu achten, dass keine Handlung beim Durchsuchen von Daten gegen andere Regeln verstößt und nicht zu weit verbreiteten reflexartigen Aktionen führt. Mit Ausnahme eindeutig illegaler Aktivitäten ist es oft besser, eine halb verdeckte Systemprüfung zu nutzen, um Richtlinien zu entwickeln und eine Grenze zu ziehen, nach der Verstöße zu Maßnahmen führen.

Historische Daten

Backups sind eine Momentaufnahme eines Systems oder mehrerer Systeme, und dies kann von unschätzbarem Wert sein. Daten können von lokalen Systemen kommen und gehen, und in einigen Fällen kann ein gewisses Datenlöschen durchgeführt werden, um Spuren zu verwischen, aber wenn ein Datenstück an einem Ort war und gesichert wird, dann werden alle Versuche unternommen, um es loszuwerden Beweis, dass es sicher im Backup-Archiv gespeichert wird.

Durch das Zurückarbeiten von monatlichen Backups am Ende kann eine größere Chance gegeben werden, Fehlverhalten und Systemmissbrauch zu erkennen, wenn nicht zu einem bestimmten Zeitpunkt einige Informationen im Weg der Backup-Infrastruktur gelandet sind und gefunden werden.

Schau, bevor du springst

Vor dem Durchsuchen eines Bandarchivs ist ein Verständnis der Backup-Infrastruktur erforderlich, da möglicherweise viele Daten durchsucht werden müssen. Es ist ein guter Anfang, herauszufinden, ob die gesuchten Daten mit der geringsten Wahrscheinlichkeit irgendwo auf den Bändern zu finden sind. Dann ist die Priorisierung der Bänder der nächste wichtige Schritt. Dass das Bandarchiv den Vorteil eines Stepbacks durch Snapshots des Systems bietet, ist ein großer Vorteil, kann aber auch bedeuten, dass eine riesige Datenmenge vorhanden ist, so dass eine Planung zur Reduzierung von Zeit und Kosten unerlässlich ist.

Ausgehend von einem kürzlichen Fall, bei dem möglicherweise Daten von drei- bis viertausend AIT-Kassetten mit Daten untersucht werden mussten, die mit dem Archivierungsdienstprogramm NetBackup geschrieben wurden, wird die Bedeutung eines abgestuften Ansatzes deutlich.

3000 Bänder, die jeweils 3 Stunden zum Lesen benötigen, bei 10 Systemen und einer Betriebszeit von 80 % würden fast 50 Tage dauern. Das ist nur die Zeit zum Lesen von Bändern, berücksichtigen Sie die Zeit für den Umgang mit den wiederhergestellten Daten und die Organisation für die Rückgabe, und Sie können die Zeit am Ende verdoppeln.

Durch die Entwicklung eines Vorscansystems für diesen Bandtyp konnte die Zeit pro Band zur Identifizierung der Daten auf jedem Band auf etwa 15 Minuten reduziert werden, sodass alle Bänder in etwa 4 Tagen gescannt werden konnten. Dies ermöglichte die Identifizierung von 500 Bändern, von denen Daten benötigt wurden, und eliminierte den Rest. Die Gesamtzeit zum Auslesen aller Daten wurde auf weniger als 10 Tage reduziert, was zu einem schnelleren Service bei geringeren Kosten führt. Ein bisschen Vorbereitung kann sich also auszahlen.

Wiederherstellung vom Band eine gute Idee?

Es gibt keine feste Regel. Das Verständnis der Systeme und wo die Daten sein könnten, ist der erste Schritt. Das Bandarchiv kann eine großartige Datenquelle sein, aber wenn die gewünschten Daten nie gesichert wurden, könnten Sie Geld und Zeit verschwenden. Aber wenn Sie diese „beängstigenden Banddinge“ ignorieren, könnten Ihnen Daten fehlen, die einen wichtigen Bestandteil jeder Untersuchung oder Prüfung bilden könnten.


Source by Mark R Sear

About admin

Check Also

Wie groß ist BIG DATA?

Haben Sie sich jemals gefragt, wenn Sie Ihr Bild hochladen oder einen Status oder sogar …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.