Live Forensics – zasady zbierania dowodów elektronicznych

//Live Forensics – zasady zbierania dowodów elektronicznych

Live Forensics to technika zbierania dowodów elektronicznych z systemów komputerowych bez ich wyłączania. Technikę tę stosuje się przede wszystkim podczas analizy systemów, w których niemożliwe jest zastosowanie zabezpieczania post mortem ze względu na to, że systemów tych nie można wyłączyć.

AUTOR: PRZEMYSŁAW KREJZA

Tak jest w przypadku serwerowni metanomierzy w kopalniach lub serwerów hostujących ważne aplikacje biznesowe. W tych sprawach konieczne jest zabezpieczenie dowodów bez wyłączania komputerów. Live Forensic pozwala również na skopiowanie informacji z komputera, którego nośnik trwały może być zaszyfrowany, a komputer ten jest włączony. W takim wypadku, przed wyłączeniem, istnieje możliwość skopiowania danych, których rozszyfrowanie nie będzie możliwe.

Techniki Live Forensics są również niezbędne w przypadku zabezpieczania pamięci RAM, która jest cennym źródłem dowodów we wszystkich sprawach – począwszy od analiz powłamaniowych oraz malware, na nieuczciwości pracowników kończąc, gdzie maile lub rozmowy komunikatorów będą znajdowały się w pamięci, mimo wyłączonych archiwów komunikatorów. Zastosowanie Live Forensic może oznaczać również znaczną oszczędność czasu zabezpieczenia dzięki wykorzysta niu Triage.

Dzięki tej technice możliwe jest przeanalizowanie materiału dowodowego na miejscu zabezpieczania i pominięcie kopiowania nieistotnych nośników. Targeted Triage z kolei, pozwala na zabezpieczenie tylko wybranych danych (bez kopiowania całych nośników), co jest szczególnie istotne np. w sprawach gdzie na serwerze z danymi znajdują się informacje wielu podmiotów, a nie tylko „podejrzanego”. Zasady gromadzenia dowodów w technice Live Forensic są dokładnie takie same jak w technikach „tradycyjnych”. Jak zwykle ważna jest dbałość o integralność dowodu. Konieczne jest także przedstawienie sposobu, w jaki zebrano dowód przedstawiając kolejne etapy tego procesu.

Obowiązują cztery podstawowe zasady.


Zasada 1

Żadne z działań podejmowanych przez śledczych komputerowych nie może powodować zmian w informacji przechowywanych na nośniku, jeśli mają one być użyte w sądzie. Oznacza to, że wykorzystywane narzędzia powinny spełniać zasadę „wiem wszystko – nie zmieniam nic”. Obowiązuje praca w trybie read-only, a niezbędne zmiany systemu związane z wykorzystaniem narzędzi powinny być minimalizowane oraz dokumentowane.

Zasada 2

Osoba, która uzna za koniecznie uzyskanie dostępu do oryginalnych danych przechowywanych na komputerze musi mieć odpowiednie kompetencje do przeprowadzenia tej czynności oraz do złożenia wyjaśnień w celu określenia konieczności i konsekwencji podjętych działań a wszelkie działania powinny być należycie udokumentowane.

Zasada 3

Konieczne jest stworzenie i zachowanie zapisu badania lub innych działań i procesów wykonanych na dowodzie elektronicznym wraz ze wskazaniem metodologii i użytych narzędzi. Niezależna osoba trzecia powinna być w stanie uzyskać te same rezultaty przy ponownym zastosowaniu tych samych procesów.

Zasada 4

Informatyk śledczy jest odpowiedzialny za to, aby dowody zbierane były z powyższymi zasadami oraz w celu zapewnienia, że materiały dowodowe są gromadzone jest zgodnie z prawem – dowód zebrany technikami Live Forensic podlega tym samym regułom prawa, co dowody zbierane w sposób tradycyjny. Strona postępowania ma obowiązek udowodnienia, jeśli powstanie taka wątpliwość, że dowód przedstawiony w sądzie nie został w żaden sposób zmieniony od czasu jego zabezpieczenia.

Live Forensics jest nowoczesną techniką zabezpieczania danych, która może być z powodzeniem stosowana w wielu sprawach zarówno cywilnych jak i karnych. Oczywiście, wszędzie gdzie to możliwe, w celu zastosowania się do zasad zbierania dowodów elektronicznych , powinno wykonywać się kopię binarną całego nośnika danych.

Częściowe lub selektywne kopiowanie plików może być uznane za alternatywę jedynie w określonych okolicznościach, np., gdy ilość danych przeznaczonych do skopiowania czyni wykonanie kopii całościowej niemożliwym lub zaistniały określone ryzyka – np. nośnik jest zaszyfrowany. Jednakże śledczy powinny być pewni, że w takim wypadku zabezpieczyli wszystkie istotne dowody oraz użyli odpowiednich narzędzi.

2018-06-19T08:27:20+00:0007 sierpnia 2014|informatyka śledcza|