Einführung
Computerforensische Prüfer sind für die fachliche Schärfe, Rechtskenntnis und Objektivität bei Ermittlungen verantwortlich. Der Erfolg basiert grundsätzlich auf überprüfbaren und wiederholbaren gemeldeten Ergebnissen, die einen direkten Beweis für vermutetes Fehlverhalten oder eine potenzielle Entlastung darstellen. Dieser Artikel stellt eine Reihe von Best Practices für den Computerforensiker auf, die den besten Beweis für vertretbare Lösungen in diesem Bereich darstellen. Best Practices selbst sollen diejenigen Prozesse erfassen, die sich in ihrem Einsatz wiederholt bewährt haben. Dies ist kein Kochbuch. Best Practices sollen basierend auf den spezifischen Bedürfnissen der Organisation, des Falls und der Fallsituation überprüft und angewendet werden.
Berufserfahrung
Ein Prüfer kann nur dann darüber informiert werden, wenn er ein Feld betritt. In vielen Fällen gibt der Kunde oder sein Vertreter Auskunft über die Anzahl der betroffenen Systeme, deren Spezifikationen und den aktuellen Zustand. Und genauso oft liegen sie gravierend daneben. Dies gilt insbesondere für Festplattengrößen, das Knacken von Laptops, das Hacken von Passwörtern und Geräteschnittstellen. Ein Anfall, der die Geräte ins Labor zurückbringt, sollte immer die erste Verteidigungslinie sein und maximale Flexibilität bieten. Wenn Sie vor Ort arbeiten müssen, erstellen Sie eine umfassende Arbeitsliste mit zu sammelnden Informationen, bevor Sie das Feld betreten. Die Liste sollte aus kleinen Schritten mit einem Kontrollkästchen für jeden Schritt bestehen. Der Prüfer soll umfassend über seinen nächsten Schritt informiert sein und nicht „auf den Beinen“ denken müssen.
Überschätzen
Überschätzen Sie den Aufwand mindestens um den Faktor zwei, wie viel Zeit Sie für die Erledigung der Aufgabe benötigen. Dazu gehören der Zugriff auf das Gerät, das Einleiten der forensischen Erfassung mit der richtigen Strategie zum Blockieren von Schreibvorgängen, das Ausfüllen der entsprechenden Unterlagen und der Chain-of-Custody-Dokumentation, das Kopieren der erfassten Dateien auf ein anderes Gerät und das Wiederherstellen der Hardware in ihren ursprünglichen Zustand. Denken Sie daran, dass Sie möglicherweise Werkstatthandbücher benötigen, die Sie beim Zerlegen kleiner Geräte für den Zugriff auf das Laufwerk anleiten, was die Beschaffung und die Hardwarewiederherstellung erschwert. Lebe nach Murphys Gesetz. Etwas wird Sie immer herausfordern und mehr Zeit in Anspruch nehmen als erwartet – auch wenn Sie es schon oft getan haben.
Inventar Ausrüstung Die meisten Untersucher verfügen über eine Vielzahl von Geräten, um forensisch fundierte Erfassungen auf verschiedene Weise durchführen zu können. Entscheiden Sie im Vorfeld, wie Sie Ihre Standortakquise idealerweise durchführen möchten. Wir alle werden sehen, dass Ausrüstung in der kritischsten Zeit kaputt geht oder eine andere Inkompatibilität zum Showstopper wird. Ziehen Sie in Erwägung, zwei Schreibblocker und ein zusätzliches Massenspeicherlaufwerk mitzunehmen, die gelöscht und bereit sind. Stellen Sie zwischen den Jobs sicher, dass Sie Ihre Ausrüstung mit einer Hashing-Übung überprüfen. Überprüfen und inventarisieren Sie Ihr gesamtes Kit anhand einer Checkliste, bevor Sie abheben.
Flexible Akquisition
Anstatt zu versuchen, die genaue Größe der Client-Festplatte “am besten zu schätzen”, verwenden Sie Massenspeichergeräte und, wenn der Platz ein Problem ist, ein Erfassungsformat, das Ihre Daten komprimiert. Nachdem Sie die Daten gesammelt haben, kopieren Sie die Daten an einen anderen Ort. Viele Prüfer beschränken sich auf traditionelle Anschaffungen, bei denen die Maschine geknackt, das Laufwerk entfernt, hinter einen Schreibblocker gelegt und erworben wird. Es gibt auch andere Methoden für den Erwerb, die vom Linux-Betriebssystem zur Verfügung gestellt werden. Linux, das von einem CD-Laufwerk gebootet wird, ermöglicht es dem Prüfer, eine Rohkopie zu erstellen, ohne die Festplatte zu beeinträchtigen. Machen Sie sich mit dem Prozess vertraut, um zu verstehen, wie Hashwerte und andere Protokolle erfasst werden. In diesem Dokument wird auch die Live-Erfassung behandelt. Lassen Sie das belichtete Laufwerk beim Anwalt oder Kunden und bringen Sie die Kopie zur Analyse in Ihr Labor.
Den Stecker ziehen
Es kommt zu hitzigen Diskussionen darüber, was man tun soll, wenn man auf eine laufende Maschine trifft. Es gibt zwei klare Möglichkeiten; Ziehen Sie den Stecker oder führen Sie einen sauberen Shutdown durch (vorausgesetzt, Sie können sich einloggen). Die meisten Prüfer ziehen den Stecker, und dies ist der beste Weg, um zu vermeiden, dass irgendwelche böswilligen Prozesse ausgeführt werden, die Daten löschen und löschen oder andere ähnliche Fallstricke machen. Es ermöglicht dem Prüfer auch den Zugriff, einen Snapshot der Auslagerungsdateien und anderer Systeminformationen zu erstellen, während er zuletzt ausgeführt wurde. Es sollte beachtet werden, dass das Ziehen des Steckers auch einige der Dateien beschädigen kann, die auf dem System ausgeführt werden, so dass sie für die Überprüfung oder den Benutzerzugriff nicht verfügbar sind. Unternehmen bevorzugen manchmal einen sauberen Shutdown und sollten die Wahl haben, nachdem sie die Auswirkungen erklärt haben. Es ist wichtig zu dokumentieren, wie die Maschine heruntergefahren wurde, da dies für die Analyse unbedingt erforderlich ist.