live-forensic-forensictools-mediarecovery

Live Forensic

Metodologia live forensic polega na zabezpieczaniu dowodów elektronicznych z uruchomionych systemów komputerowych.

Metoda ta jest alternatywą do standardowego zabez­pieczenia materiału do­wodowego, kiedy badane urządzenie jest wyłączone. Może ono także służyć do zabezpiecza­nia danych, które nie są dostępne w przypadku wyłączonego sprzętu.

Praktyka wskazuje na fakt, iż takie podejście jest coraz śmielej stosowa­ne podczas zabezpieczania danych.

Powodów aby stosować meto­dologię live forensic pojawia się z każdym rokiem coraz więcej (oto kilka z nich):

  • Systemy, których nie można wyłączyć – np. komputery prze­mysłowe, urządzenia medyczne itp.
  • Szyfrowanie danych – pełne szyfrowanie dysków (full disk encryption) może uniemożli­wić dalszy dostęp do danych w sytuacji kiedy zabezpieczenie zostanie wykonane w tradycyj­ny sposób (dead box acquisition)
  • Rozwiązania antiforensic – możliwości i dostępność narzędzi utrudniających analizę danych (tzw. antiforensic) są coraz większe. Często są one zaprogramowane aby usuwać i nadpisywać dane podczas wyłączania urządzenia.
  • Dane ulotne (volatile data) – informacje zapisane w pamięci RAM, które zanikają po wyłączeniu badanego systemu. Informacje takie mogą stano­wić ważny fragment materiału dowodowego.
  • Wolumen danych – rosnące pojemności nośników stanowią wyzwanie pod kątem czasu potrzebnego do zabezpieczenia oraz analizy danych.
  • Dane w chmurze – zauważalny wzrost ilości danych przecho­wywanych w systemach typu cloud wymusza na specjalistach zmianę podejścia podczas ich zabezpieczania.

    W maju 2016 roku, na stronie ForensicFocus.com, największym forum internetowym zrzeszającym specjalistów z zakresu informatyki śledczej, ogłoszono wyniki ankiety, gdzie specjaliści z całego świata wyrazili swoje zdanie na temat wyzwań w ich pracy.

    Live forensic polega na zabezpieczaniu dowodów elektronicznych z uru­chomionych systemów, magazyn informatyki śledczej, mediarecovery

    Największym wyzwaniem okazały się dane w chmurze (23%), szyfrowanie (21%) oraz rosnący wolumen danych (11%). Naturalną odpowiedzią jest tu­taj metodologia live forensic/triage. Potrzebę oraz znaczenie metodologii live forensic/triage podkreśla coraz większe grono specjalistów informa­tyki śledczej, e-discovery ale także przedstawicieli służb oraz komer­cyjnych zespołów bezpieczeństwa.

    Według Envision Discovery, w 90% spraw postępowania cywilnego, zabezpieczanie materiału dowo­dowego całościowo, tj. w formie kopii binarnej jest przesadą. Coraz częściej powoduje ono problemy natury prawnej, wydłuża czas analizy, blokuje aktywa ludzkie oraz zwiększa koszty postępowania.

    W swojej opinii firma zaznacza, iż specjaliści powinni być wyposażeni w narzędzia do live forensic/triage, które wykorzystane oraz udokumen­towane w odpowiedni sposób, mogą zostać obronione przed sądem.

    Kolejnym przykładem z USA, jest dokument FRE (Federal Rules of Evidence), który określa m.in. w art. 901 (a), że:

    „(a) In General. To satisfy the requirement of au­thenticating or identifying an item of evidence, the proponent must produce evidence sufficient to support a finding that the item is what the propo­nent claims.”

    Interpretacje wskazują na fakt, iż materiał zabezpieczany na urucho­mionym systemie, np. w formie ko­pii logicznej (targeted collection) jest akceptowany, jeżeli zostaną przedstawione dowody jego prawi­dłowego zabezpieczenia oraz jest on tym milej widziany, że pozwala na ograniczenie obciążenia sądów z powodu nadmiernego groma­dzenia (zabezpieczania danych).

    Wątpliwości odnośnie uzyskiwa­nia dostępu do uruchomionego systemu można rozwiać w sytu­acji, kiedy taki dostęp jest np. je­dyną możliwością zabezpieczenia wskazanych danych oraz jest ona udokumentowana w sposób wykluczający możliwość nadinterpre­tacji zachowania specjalisty – np. w formie protokołu zabezpieczenia oraz dokumentacji audiowizualnej.

    Dokumentacja ACPO – Association of Chief Police Officers to zbiór dobrych praktyk oraz zaleceń dotyczących zachowania z elektronicznym materiałem dowodnym, określa m.in., że:

    “In exceptional circum­stances, where a person finds it necessary to access original data held on a computer or storage media, that person must be competent to do so and be able to give evidence explaining the relevance and implications of their actions.”

    Informacja ta oznacza nic innego, jak to, że zgodnie z ACPO, metodo­logia live forensic może zostać użyta, jeżeli taki dostęp jest wymagany podczas zabezpieczenia/postępowa­nia oraz, że zostanie ono wykonane przez profesjonalistę, który w razie potrzeby, będzie w stanie wybronić oraz uzasadnić swoje postępowanie.

    Reasumując, metodologia live forensic/triage powinna być trakto­wana jako pełnoprawny sposób zabezpieczania danych. Wymaga ona jednak więcej niż tradycyjne za­bezpieczenie o czym należy zawsze pamiętać. Połączenie metod live forensic oraz tradycyjnego mode­lu zabezpieczania elektronicznego materiału dowodowego dają pełny obraz zabezpieczanego systemu.