Metodologia Triage w informatyce śledczej

Metodologia Triage jest podejściem w informatyce śledczej, które obok tradycyjnego modelu staje się coraz bardziej popularna w kontekście całego procesu zabezpieczania i analizy danych cyfrowych. Sama metoda Triage jest procesem identyfikacji, sortowania oraz filtrowania, mający na celu ustalenie priorytetów oraz kategorii, zabezpieczanych lub gromadzonych informacji/danych.

Pojęcie „triage” pochodzi od terminu medycznego, określającego sposób selekcji rannych na polu walki. Sam proces, w odróżnieniu od tradycyjnego podejścia, różni się ilością danych zebranych przez specjalistę w ten sposób, że ogranicza się ilość informacji, które mają zostać zabezpieczone.

Wykorzystanie podejścia typu Triage może wynikać z różnych potrzeb oraz sytuacji przed którymi staje osoba mająca zabezpieczyć dane, takie jak np. włączony komputer z zaszyfrowanym dyskiem twardym, brak możliwości bądź czasu zabezpieczenia całego nośnika danych, potrzeba wyodrębnienia określonych danych.

Czynniki rzutujące na wzrost popularności metodologii Triage

Samo powstanie i coraz większa popularność metodologii Triage wynika z narastających problemów, z którymi borykają się informatycy śledczy. Coraz pojemniejsze nośniki danych (w tym roku, do sprzedaży detalicznej zostają wprowadzone dyski twardy o pojemności 4 TB a na rok 2014 zostały zapowiedziane dyski 5 i 6 TB.) oraz ogromna ilość danych zalegających na nich wpływają na czas i koszty pracy co także przekłada się na dłuższe wykorzystanie sprzętu na którym prowadzone są czynności związane z informatyką śledczą.

Dodatkowo, wykorzystanie narzędzi typu Triage pozwala na współpracę z mniej wyszkolonym personelem, gdyż proces Triage może być w pełni zautomatyzowany.

Początkowo określa się cele działania oraz programuje narzędzia Triage. Wykonuje to przez specjalista by móc później przekazać go dalej osobom, które będą mogły podłączyć narzędzie Triage do badanego komputera i pozwolić na jego automatyczne działanie. Ta funkcjonalność pozwala na zwiększenie wielkości zespołu ludzi biorących udział w zabezpieczeniu bez potrzeby dodatkowego szkolenia.

Coraz większą bolączką informatyków śledczych staje się szyfrowanie partycji systemowych lub całych dysków twardych, które mniej lub bardziej skutecznie utrudniają ich pracę. Podejście typu Live Forensics (zabezpieczanie materiału z włączonego komputera) wraz z procesem Triage może być skutecznym rozwiązaniem tego problemu.

Nie obejdzie się bez przykładu

Przydatność metodologii Triage najlepiej ukazuje sytuacja, gdzie w firmie, w której znajdowało się 200 komputerów podejrzewano, że któryś z pracowników ściąga pliki graficzne zawierające pedofilię dziecięcą na komputer.

Zaprojektowano narzędzie tak, by zostały wyodrębnione wszystkie pliki graficzne, które zostały w późniejszym etapie sprawdzone przez informatyka śledczego. Założono, że każdy komputer, na którym znaleziono jakiekolwiek pliki graficzne zawierające materiały pornograficzne, został zakwalifikowany do późniejszej, pełnej analizy.

Odpowiednie wykorzystanie narzędzi Triage pozwoliło ograniczyć liczbę zabezpieczanego sprzętu z 200 do 20 komputerów, czyli aż o 90%! Ostatecznie, wpłynęło to znacząco na czas i koszty przeprowadzenia zabezpieczenia i analizy danych a firma mogła dalej funkcjonować.

Kolejnym przykładem jest sytuacja kiedy podejrzewano pracownika o przechowywanie na komputerze dokumentów, do których nie powinien mieć dostępu. Ze względu na delikatny charakter i brak możliwości wykonania pełnej kopii binarnej, postanowiono o wykorzystaniu narzędzia Triage. Zostało ono zaprogramowane tak by przeszukiwało komputer pod kątem występowania dokumentów oraz słów kluczowych co pozwoliło na wstępne odnalezienie dokumentów i późniejsze dalsze działania w celu udowodnienia winy pracownika.