Artykuł prezentuje zwycięski opis zadania w konkursie „Ekspert informatyki śledczej” autorstwa p. Marka Baszczyńskiego. Konkurs odbył się pierwszym kwartale 2014 roku. Organizatorem konkursu była firma Mediarecovery.

Zadanie konkursowe

Zadanie konkursowe polega na opisaniu czynności zabezpieczenia materiału dowodowego w sytuacji opisanej poniżej. Opisane czynności, które powinny zostać podjęte dla wybranej sytuacji, mogą zawierać rozwiązania, które hipotetycznie mogą się wydarzyć w przypadku konkretnego materiału dowodowego.

Sprawa dotyczy zabezpieczenia materiału dowodowego składającego się z dwóch komputerów – 1 laptopa i 1 komputera stacjonarnego, oraz dodatkowo 1 pendrivea i dysku zewnętrznego 2,5 cala.

Jako osoba techniczna, specjalista informatyki śledczej lub członek zespołu CERT (Computer Emergency Response Team), bierzesz udział w zabezpieczeniu sprzętu komputerowego w pokoju pracownika. Działania na obecnym etapie obejmują jedynie wykonanie kopi binarnych z zabezpieczonych nośników.

Po przyjściu na miejsce, okazuje się, że do zabezpieczenia jest wyłączony komputer stacjonarny, włączony laptop, jeden dysk zewnętrzny 160 GB oraz pendrive o pojemności 8 GB. Na stole leży także aparat fotograficzny.

Opis powinien zawierać wszystkie czynności związane z miejscem zabezpieczenia, sprzętem, jego stanem, podjętymi czynnościami. Sam sprzęt nie zostaje zabezpieczany, należy jedynie wykonać kopie binarne nośników danych. Proces zabezpieczania danych powinien pokrywać się z najlepszymi praktykami informatyki śledczej i zostać wykonany w sposób, który nie mógł by być zakwestionowany podczas prowadzenia działań prawnych.

Opis zadania konkursowego

Proces zabezpieczenia materiału dowodowego – czynności, które powinny zostać podjęte w momencie zabezpieczenia sprzętu komputerowego w pokoju pracownika. Działania obejmują wykonanie kopii binarnych z zabezpieczonych nośników.

Podjęto decyzję o zabezpieczeniu dowodu elektronicznego, przez zabezpieczenie tylko zawartości nośników bez zatrzymywania sprzętu komputerowego.

OSOBY ZABEZPIECZAJĄCE:

  • 1 specjalista informatyki śledczej (Computer Forensics)
  • 1 biegły lub specjalista z daktyloskopii
  • 4 policjantów

SPRZĘT DO WYKONANIA ZABEZPIECZENIA – ZESTAW:

  1. Aparat cyfrowy, do sporządzenia zdjęć z miejsca zabezpieczenia, zdjęcia monitora włączonego laptopa, oraz zabezpieczenie oznaczeń modelu, nr seryjnego itp., których nie wpisano do formularza.
  2. Protokoły oględzin (kilka nadmiarowych formularzy dokumentacyjnych).
  3. Blokery z interfejsami dla dysków: SATA/IDE/SAS/USB/FireWire. Uniemożliwia ingerencję w badany nośnik w postaci dysku. Pendriva, kart SD, oraz pozwala na odczyt informacji oraz wykonanie kopii binarnej nie wprowadzając żadnych zmian, co pozwoli wykluczyć zarzut manipulacji dowodu.
  4. Adaptery do WriteBlocker’ów (różne końcówki do różnych typów dysków np. IDE (standardowy oraz wersja laptop), SATA, mini SATA, USB, ZIF itp.).
  5. Laptop śledczy wraz ze specjalistycznym oprogramowaniem do wykonania kopii binarnych badanych dysków oraz nośników jak pendrive.
  6. Nadmiarowe dyski twarde (docelowe) do wykonania i przechowywania na nich kopii binarnych pochodzących z materiału źródłowego, wielkość 1-2 TB.
  7. Obudowy na dyski i stacje dokujące, umożliwiające podłączenie dysków do naszego Laptopa.
  8. Duplikator Image MAS Ster Solo.
  9. Duplikator Forensic Dossier.
  10. Duplikator Forensic TD2 Tableau (SATA/ATA).
  11. Forensic Duplicator Tableau Model TD3.
  12. Oprogramowanie EnCase Forensic.
  13. Oprogramowanie EnCase Decryption System (EDS).
  14. Oprogramowanie EnCase Physical Disk Emulator (PDE).
  15. Oprogramowanie EnCase Virtual File System (VFS).
  16. Oprogramowanie WinHEXSpecialist.
  17. Oprogramowanie Ultimate Toolkit.
  18. Oprogramowanie do wykonania kopii binarnych, FTK Imager.
  19. Oprogramowanie do wykonania kopii binarnych, X-WaysForensic.
  20. Oprogramowanie Forensic Toolkit 5 (FTK) produkcji AccessData.
  21. Oprogramowanie dodatkowe: Virtual Forensic Computing 2, Mount Image Pro, Gargoyle Investigator Forensic Pro, StegAlyzerSS, Registry Analyzer.
  22. Oprogramowanie do listingu plików: Directory Lister.
  23. Narzędzia do akwizycji pamięci RAM : (EnCase) Guidance Software, EnCase FIM, (FastDumpComunity) HBGary , Belkasoft Live RAM Capturer. Zastosowanie metody Live Forensic. Oprogramowanie służy do wykonania kopii danych ulotnych włączonego laptopa (akwizycji), czyli przechwycenie danych pojawiających się np. w pamięci RAM, czy pliku wymiany.
  24. Oprogramowanie PasswareForensic Kit, umożliwiające dotarcie do danych chronionych szyfrowaniem TrueCrypt i BitLocker.
  25. Oprogramowanie Adroit Photo Forensics, do badania zdjęć z aparatu.
  26. Skrypty do modyfikacji wpisów w rejestrze pozwalające tym samym dodatkowo zabezpieczyć podłączane urządzenie (dyski) przed zapisem.
  27. Dystrybucje Linux na płytach CD: Caine, Helix.
  28. Dystrybucje Linux na pendrivach USB.
  29. Bloker Tableau T35689iu Forensic Combo Bridge (SATA/IDE/SAS/USB/FireWire).
  30. Bloker Tableau SCSI TK4 (SCSI).
  31. Bloker Tableau Forensic USB Bridge TK8 (USB).
  32. Bloker Tableau Forensic FireWire Bridge TK9 (FireWire).
  33. Bloker Tableau TK6es (SAS).
  34. Bloker Tableau TK35u (SATA/IDE).
  35. Bloker Tableu SATA TK3u (SATA), TK35es (ATA/SATA), FastBloc 3 Super Drive Lock (SATA/IDE/SCSI/USB).
  36. Bloker MicroSystemation Write Protect Card Reader – czytnik dla różnych kart flash z technologią readonly, umożliwiający zbieranie danych w bezpieczny sposób, gwarantujący nienaruszalność źródłowego nośnika, z karty pamięci pracującej w cyfrowym aparacie.
  37. Stacja chłodząca dyski Tableau TDC1 Drive Cooler oraz bloker TDW1 Drive Wiper (SATA).
  38. Zestaw RoadMASSter-3 (posiada możliwości wszystkich urządzeń do akwizycji i analizy materiału dowodowego).
  39. Image MASSter Solo-4 RUGGEDIZED.
  40. Adapter Tableau TDA5 ZIF wraz z blokerem Tableau TK14.
  41. Adapter Tableau TDA5-25.
  42. Adapter TDA3-LIF do SATA z taśmą LIF.
  43. Zestaw adapterów Tableau TKA5-AD Kit.Pudełka specjalnie profilowane (kartonowe), opakowania, służące do transportu i przechowywania, zabezpieczające materiał dowodowy w postaci dysków twardych(docelowych), na których będzie wykonana kopia binarna, przed uszkodzeniem mechanicznym, elektrostatycznym.
  44. Antystatyczne torby, worki.
  45. Jednorazowe plomby zaciskowe z niepowtarzalnym numerem, pozwalająca zabezpieczyć dowód na wypadek nieautoryzowanego dostępu.
  46. Metryczki z rubrykami pozwalającymi na dokładne opisanie dowodu, opakowań.
  47. Zewnętrzny napęd CD/DVD, jeżeli będzie potrzeba skorzystania z dystrybucji Linux- a na płycie CD, a zabezpieczany komputer nie będzie posiadał napędu.
  48. Nadmiarowe zasilanie do każdego urządzenia.
  49. Nadmiarowe kable (zasilające, sygnałowe, komputerowe).
  50. Kable zasilające do dysków.
  51. Obudowy na dyski, Stacje dokujące.
  52. Zestaw śrubokrętów do demontażu obudowy urządzeń, demontażu dysków z komputerów i laptopów.
  53. Zestaw nadmiarowych taśm, kabli SATA/IDE/SAS/USB/FireWire/eSATA/SCSI.
  54. Szczypce do rozpięcia zszytych kabli.
  55. Latarki, 2 sztuki.
  56. Lateksowe rękawiczki, aby nie zostawić odcisków palców (jeżeli ważne dla sprawy).
  57. Zasilacz uniwersalny.
  58. Monitor LCD 14″.
  59. Myszka z przejściówkami z USB na PS2.
  60. Mała przenośna drukarka do druku raportów, jeżeli tworzone w formie elektronicznej, oraz wszelkich raportów dołączanych do protokołu.
  61. Przedłużacze 10m z 4 gniazdami, 2-3 sztuki.
  62.  Rozgałęźniki.
  63.  Przejściówki.
  64. Materiały biurowe do wypełnienia protokołu, opisania metryczek.
  65. Naklejki wraz z markerem do oznaczenia i opisu kabli podłączonych do badanych komputerów, jeżeli zajdzie taka potrzeba.
  66. Dostęp do Internetu mobilnego, w celu uzyskania wiedzy na temat technicznych specyfikacji urządzeń, porad na temat rozwiązania nietypowych sytuacji sprzętowych, informacji odnośnie modelu dysku, parametrów, zabezpieczeń itd.
  67. Alternatywnie: Faraday Mobile Holdall (MJRJ/1) Faraday’sBag, dla zabezpieczenia telefonów komórkowych, jeżeli zajdzie taka potrzeba
  68. Alternatywnie: 15inch Laptop Faraday’sBag, dla zabezpieczenia laptopa, jeżeli zajdzie taka potrzeba

 

ROZPOZNANIE OPERACYJNE:

Wykonanie rozpoznania operacyjnego przez funkcjonariusza bądź funkcjonariuszy policji, celem zaplanowania i lepszego przygotowania przeprowadzenia późniejszego zabezpieczania danych elektronicznych.

Przeszukanie o ile jest to możliwe, powinno być poprzedzone wcześniejszym rozpoznaniem potencjalnych możliwości dowodowych w celu określenia środowiska sieciowego, rodzaju urządzeń, ilości możliwych komputerów do zbadania – materiału dowodowego do zbadania.

MATERIAŁ DOWODOWY DO ZBADANIA:

  • 1 laptop (włączony)
  • 1 komputer stacjonarny
  • 1 pendrive 8 GB
  • 1 dysk zewnętrzny 160 GB
  • 1 aparat fotograficzny

PROCES CZYNNOŚCI – OGÓLNE PODEJŚCIE:

Proces zabezpieczenia dowolnych dowodów elektronicznych sprowadza się przede wszystkim do zadbania o dwie bardzo istotne cechy – autentyczność i wierność danych, w oparciu o zastosowanie najlepszych znanych praktyk informatyki śledczej oraz zgodnie z obowiązującymi przepisami prawa.

Jedną z koniecznych do uzyskania cech i wymaganych podczas zabezpieczenia materiału jest autentyczność. Zapewnia ona bezwzględną bezsporność pochodzenia materiału, natomiast wierność gwarantuje możliwość stwierdzenia czy dany materiał dowodowy nie został zmieniony celowo bądź omyłkowo podczas wykonywania późniejszych czynności analizy danych pod kątem popełnionego przestępstwa.

Podczas zabezpieczania dowodu elektronicznego musi być zachowana autentyczność i wierność, poprzez zachowanie poniższych zasad:

  • Zabezpieczony dowód elektroniczny powinien być zachowany w stanie (zamrożony) z chwili prowadzonego zabezpieczenia oraz powinien zawierać szczegółowy i dokładny opis prowadzonych czynności podczas zabezpieczenia oraz danych w postaci daty i czasu a zamieszczonych w protokole zabezpieczenia.
  • Zabezpieczony materiał dowodowy należy prawidłowo w sposób jednoznaczny, wyróżniając indywidualne cechy, oznaczyć, oplombować i opisać w protokole zabezpieczenia.
  • Stworzyć kopię binarną tzw. Klon, utworzony na zasadzie równości z oryginałem.
  • Wyliczyć programowo podczas zabezpieczania materiału dowodowego, sumę kontrolną nośnika, co jednoznacznie umożliwi autentykację materiału.
  • Prowadzenie wszelkich dalszych badań analitycznych, powinny być wykonywane tylko i wyłącznie na kopii oryginału (kopii binarnej), nie naruszając tym samym w żaden sposób wartość dowodową oryginału. Takie działanie umożliwia wykonanie innych badań na tym samym materiale dowodowym.
  • Przeprowadzając konieczne badania na oryginale, należy bezwzględnie wykonać z użyciem dostępnych technik programowych bądź sprzętowych, uniemożliwiających dokonanie jakichkolwiek zmian, ingerencję w zapisy zawarte na badanym, zabezpieczonym, oryginalnym nośniku danych np. poprzez blokery.


ZABEZPIECZENIE DOWODÓW – SZCZEGÓŁOWE PROCEDURY:

A. Przeszukać pomieszczenia, w którym znajduje się potencjalny sprzęt komputerowy, który ma zostać zabezpieczony celem identyfikacji.

B. Zabezpieczyć miejsce przeszukania, uniemożliwiając tym samym zatarcie śladów oraz dowodów przez osoby podejrzane oraz spoza osób będących na miejscu przeszukania. Przed wykonaniem oględzin zabezpieczonego sprzętu komputerowego należy zabezpieczyć miejsce przed niepowołanymi osobami, mogącymi usunąć lub zmienić wszelkie ślady i dowody świadczące o procederze przestępczym.

C. Wszelkie badania czy wykonanie kopii binarnej urządzeń należy poprzedzić zabezpieczeniem miejsca zdarzenia przed niepowołanymi osobami, które mogą spowodować utratę śladów i dowodów lub ich zniekształcenie np. poprzez uruchomienie programu formatowania nośników danych, przez fizyczne uszkodzenie, wynoszenie przedmiotów itp., lub skutecznie utrudniać wykonanie oględzin. W pomieszczeniu, gdzie przeprowadzane są czynności, nie mogą przebywać osoby posiadające umiejętności i motywację do zniszczenia elektronicznych dowodów.

D. Należy sporządzić dokładny i szczegółowy protokół z prowadzonego przeszukania, zabezpieczenia, w którym należy ująć wszystkie wykonane kroki oraz zabezpieczone rzeczy.

E. Zabronić osobom korzystać z jakichkolwiek urządzeń komputerowych będących w pomieszczeniach i dowolnych mobilnych środków łączności. Odizolować i uniemożliwić dostęp osobom będącym w przeszukiwanym pomieszczeniu na dokonanie jakiejkolwiek komunikacji z osobami z zewnątrz, poprzez Internet (komunikator, email, bramkę sms) bądź telefon komórkowy GSM (rozmowa, sms) bądź inne urządzenie umożliwiające zdalną komunikację, mającym na celu ostrzeżenie przestępcy, bądź przekazanie informacji o trwającym przeszukaniu i zabezpieczeniu materiału dowodowego.

F. Odizolować i uniemożliwić dostęp osobom będącym w przeszukiwanym pomieszczeniu do Komputerów, Laptopa, dysku zewnętrznego do urządzeń, aby uniemożliwić dokonanie usunięcia danych i dokonania jakiejkolwiek konfiguracji oraz zmian w zabezpieczanym elektronicznym sprzęcie komputerowym. Osoby mogłyby celowo zmienić bądź usunąć wszelkie zapisy informacji (dowolnych danych) dotyczące przestępstwa. Zabezpieczenie danych powinno być bez informatycznej pomocy podejrzanych, czy informatyków firmy, w której dokonywane jest zabezpieczenie. Odizolować od osób postronnych, właściciela i przejąć całkowitą kontrole nad pomieszczeniem i sprzętem.

G. Przed dokonaniem zabezpieczania dowodów elektronicznych na znalezionym sprzęcie komputerowym i sieciowym należy wykonać badanie daktyloskopijne, jeżeli jest to konieczne z przyczyn procesowych (zbadać klawiaturę, myszkę) odciski palców potwierdzające i wskazujące jednoznacznie ostatniego użytkownika.

H. Odłączyć od sieci internetowej (kabel, Wifi, telefon), lub od sieci lokalnej komputerowej włączonego Laptopa, co uniemożliwi zdalną ingerencję i podłączenie się osoby trzeciej do uruchomionego Laptopa i usuwanie istotnych danych bądź wywołanie procesu formatowania dysków (przez osobę z zewnątrz). Dane przechowywane na np. dyskach twardych mogą być łatwo zdalnie niszczone i uszkodzone. Informacyjna właściwość nośnika może zostać zmieniona poprzez modyfikacje lub usunięcie danych, w tym również poprzez celową manipulacje z zewnątrz, zastosowanie Anti – Forencis Tools.

I. Zabezpieczyć wszystkie klucze sprzętowe fizycznego dostępu i innych urządzeń związanych z kontrolą dostępu.

J. Dokumentacja fotograficzna – sporządzić zdjęcia z miejsca zabezpieczenia (zdjęcia operacyjne), pomieszczenia, komputerów, laptopa, dysku zewnętrznego, pendriv’a, aparatu fotograficznego, infrastruktury sieciowej, rozmieszczenia urządzeń itd. Sfotografować monitory komputera i laptopa oraz wszystkie pozostałe elementy stanowiska.

K. Zabezpieczyć wszystkie zapisywalne nośniki danych: płyty CD i DVD, pamięci flash, Taśmy ZIP, dyskietki.

L. Zabezpieczyć i pakować zbiorczo grupy nośników masowych jak płyty CD/DVD itp., jeżeli jest to wymagane i związane ze sprawą.

M. Zabezpieczyć Komputer (1 sztuka).

  1. Jeżeli komputer jest wyłączony – nie uruchamiać go (nie włączać go), gdyż spowoduje to nadpisanie danych w systemie i na dysku. Komputera nie należy w żadnym wypadku uruchamiać. Włączenie komputera spowoduje zmianę zapisanych w nim informacji i wykluczy jako dowód w sprawie. Należy wymontować dyski z obudowy komputera. Wykonać kopię binarną dysków (klon nośnika) z zabezpieczonego komputera po wcześniejszym podłączeniu badanego dysku do odpowiedniego blokera zapisu, aby uniemożliwić nadpisanie i modyfikacje zabezpieczonych danych, a po wykonaniu kopii binarnej danych cyfrowych wykonać autentyfikacje sumami kontrolnymi. Wykonana kopia (klon) zawartości dysków umożliwia późniejsze przeprowadzenie analizy danych w laboratorium, zwielokrotnianie z zachowaniem wierności i autentyczności zabezpieczonych danych w pełnym zakresie gdyż zawiera identyczne informacje jak oryginalne dyski.
  2. Jeżeli komputera jest włączony – nie wyłączać urządzenia. Niektóre systemy operacyjne wymagają zamknięcia przed wyłączeniem zasilania komputera. Nie zamknięcie w prawidłowy sposób takiego systemu operacyjnego przed odłączeniem od zasilania może spowodować bezpowrotną utratę niektórych danych. Do systemów tych nalezą m.in. Windows 9x, NT, 2000, XP, Nowell NetWare, Unix. Wykonać zabezpieczenie w postaci kopii binarnej z pamięci RAM – Live Forensic oraz dysków. W takim przypadku należy bezwzględnie używając odpowiednich poleceń systemowych, wykonać systemowe operacje zamykające.
  3. Należy upewnić się, że komputer jest wyłączony.
  4. W celu zmniejszenia potencjału ładunków elektrycznych przed zabezpieczeniem komputera należy dotknąć dłonią jego obudowy.
  5. Nie przestawiać i nie przenosić komputera, jeżeli jest włączony.
  6. Zrobić zdjęcie komputera.
  7. Zrobić zdjęcie działającego monitora – jeżeli komputer uruchomiony. Zanotować dodatkowo dokładnie wszystkie wiadomości, jakie pojawiają się na ekranie monitora.
  8. Zrobić zdjęcie otoczenia, urządzeń peryferyjnych, systemu portów komputera, oznaczeń. Sfotografowanie schematu połączeń urządzeń. Opisać w protokole, w jaki sposób poszczególne części stanowiska komputerowego są ze sobą połączone.
  9. Jeżeli trwa proces drukowania nie należy wyłączać drukarki aż do dokończenia druku – nie przerywać drukowania.
  10. Wyciągnąć wtyczkę kabla zasilającego z tyłu obudowy komputera a nie z gniazdka ściennego. Odłączyć kabel zasilający, aby uniknąć przypadkowego uruchomienia.
  11. Zrobić zdjęcie podłączonych kabli albo oznaczyć poszczególne porty i kable, jakie są do nich podłączone celem ponownego późniejszego podłączenia kabli po przeprowadzeniu badania – Oznaczyć wszystkie przewody i połączenia.
  12. Wyciągnąć wszystkie inne kable zewnętrznych urządzeń podłączonych do komputera.
  13. Jeżeli komputer połączony jest z modemem, linią telefoniczną, zanotować numer telefonu i czas odłączenia.
  14. Wyciągnąć pozostawione urządzenia zewnętrzne podłączone do gniazd tj. pendrive lub dysk zewnętrzny.
  15. Zakleić taśmą zabezpieczającą otworów każdego napędu.
  16. Upewnić się, że wszystkie elementy zostały spisane i zostały dołączone właściwe metryczki wraz z opisem.
  17. Formatować dysk docelowy na, którym będzie zgrana kopia binarna w celu przygotowania pod kopię materiału dowodowego (np. czyszczenie przez nadpisanie metodą ATA Security Erase lub zgodnie z DOD 5220- 22M).
  18. Wyjąc dysk z komputera (badany dysk źródłowy).
  19. Podłączyć bloker do badanego dysku źródłowego z technologią write- protect, gwarantującą nienaruszalność dowodową dysku.
  20. Wykonać kopie binarną („bit po bicie”) dysku źródłowego, przeznaczonej do późniejszej analizy (kopiowanie dysk do dysku lub dysk do pliku) na czysty dysk docelowy.
  21. Wygenerować sumę kontrolną dysku źródłowego.
  22. Wygenerować sumę kontrolną podczas kopiowania, MD5, SHA1, SHA2 lub CRC32 – autentykacja, będąca cyfrowym podpisem kopiowanych danych, gwarantująca ich wierność niezbędna w postępowaniu dowodowym.
  23. Zabezpieczyć i zapakować dysk kopii binarnej (docelowy) w folie ochronną – antystatyczną oraz w karton ochronny.
  24. Zaplombować torby antystatyczne oraz dołączyć w trwały sposób metryczki przedmiotu, zawierające numery urządzeń, rodzaje, typy, cechy indywidualne oraz pozostałe dane. Zalakować i odcisnąć referentkę na metryczkach. Antystatyczne torby włożyć do kartonowych pudełek zabezpieczających przed fizycznym uszkodzeniem.
  25. Przechowywać zapakowane dyski z dala od magnesów, jakichkolwiek nadajników radiowych mogących wpłynąć na urządzenie. Przechowywać dyski w temperaturze pokojowej w nie zawilgoconym pomieszczeniu.
  26. Przeszukać najbliższe otoczenie komputera celem odnalezienia zeszytów, karteczek, notatek, zapisów, dokumentacji na których mogą znajdować się hasła dostępowe – Zabezpieczyć dokumentację i notatki mogące zawierać hasła.
  27. Wykonać pełną dokumentację, protokół opisujący wszystkie wykonane czynności krok po kroku w trakcie procesu zabezpieczania komputera. Poprawnie zabezpieczyć materiału dowodowy poprzez prawidłowe zapakowanie i zaplombowanie (np.portów), potwierdzenie zabezpieczonych dowodów sumą kontrolną, opisu marki, numerów seryjnych. Należy wypełnić protokół oględzin lub przeszukania w zależności od tego, jaka czynność jest wykonywana w celu zabezpieczenia procesowego przedmiotów.
  28. Zażądać od podejrzanego użytkownika pokazania licencji do programów i oryginalnych nośników. Wpisać te informacje do protokołu lub zabezpieczyć jako materiał porównawczy.
  29. Zażądać od podejrzanego użytkownika przekazania wszelkich instrukcji do programów napisanych na zamówienie lub do nietypowych programów. Zabezpieczyć jako materiał porównawczy.
  30. Zażądać od podejrzanego użytkownika, administratora podania wszystkich parametrów dostępu do programów w postaci wszelkich kont, haseł, identyfikatorów itp. Wpisać wszystkie te informacje do protokołu oględzin lub przeszukania.
  31. Wykonać szkic planu połączeń z opisem wyposażenia i dołączyć do Protokołu i Raportów.

 

N. Zabezpieczyć Laptop (uruchomiony, 1 sztuka)

  1. Przejąć całkowitą kontrolę nad miejscem przeszukania.
  2. Odizolować od osób postronnych, właściciela.
  3. Jeżeli laptop jest wyłączony nie należy go włączać.
  4. Jeżeli laptop jest włączony nie należy go wyłączać.
  5. Dokonać oględzin uruchomionego laptopa.
  6. Jeżeli trwa proces drukowania nie należy wyłączać drukarki aż do zakończenia druku – nie przerywać drukowania.
  7. Nie przestawiać i nie przenosić laptopa, jeżeli jest włączony.
  8. Zrobić zdjęcie laptopa wraz z nr, seryjnym. Opisać w protokole, w jaki sposób poszczególne części stanowiska laptopa są ze sobą połączone.
  9. Zrobić zdjęcie działającego monitora – jeżeli laptop uruchomiony. Zanotować dodatkowo dokładnie wszystkie wiadomości, jakie pojawiają się na ekranie monitora.
  10. Ustalić, kto posiada prawa administracyjne do systemu operacyjnego laptopa oraz prawa użytkownika.
  11. Uzyskać i poprosić użytkownika laptopa o udostępnienie informacji o systemie, wszelkich haseł i zapisanie ich w protokole.
  12. Nie odłączać laptopa od zasilania.
  13. Wykonać szczegółową adnotację oraz zdjęcia fotograficzne (do późniejszej analizy) z poszczególnych widoków kolejnych ekranów pulpitu uruchomionego systemu wraz z programami. Sfotografować ekran monitora włączonego laptopa.
  14. Jeżeli laptop połączony jest z modemem, linią telefoniczną, zanotować numer telefonu i czas odłączenia.Wykonać zdjęcia uruchomionych procesów na laptopie oraz uruchomionych programów. Ocenić, jakie zasoby sieciowe są podłączone, sprawdzić czy nie jest zainstalowane oprogramowanie szyfrujące.
  15. Jeżeli uaktywnił się wygaszasz ekranu należy poruszyć myszką celem przywrócenia widoku ekranu, jeżeli wygaszasz ekranu chroniony jest hasłem dostęp należy uzyskać od właściciela laptopa, przez podanie hasła. Uzyskać pełny dostęp do systemu.
  16. Nie zamykać żadnych okien, uruchomionych programów czy dokumentów.Wykonać zdjęcia operacyjne z uruchomionego systemu.
  17. Jeżeli Laptop jest uruchomiony – nie należy go wyłączać. Jeżeli jest dostęp do sytemu wykonać kopię danych przed jego wyłączeniem. Sprawdzić ustawienia sieciowe systemu czy laptop nie łączy się z siecią zdalną WiFi, w której mogą znajdować się dodatkowe dane związane ze sprawą. Jeżeli tak to należy ustalić źródło sygnału np. router, jeżeli nie ma połączenia z dodatkową siecią należy przeprowadzić procedurę wyłączenia podczas kopiowania zawartości dysku i pamięci ulotnej RAM w momencie pracy laptopa.
  18. Wykonać akwizycje pamięci przygotowanym wcześniej narzędziem z jak najmniejszą ilością kroków. Przeprowadzić akwizycję pamięci RAM (Live Forensic)- wykonanie kopii binarnej na uruchomionym laptopie. Wykonany dzięki temu zostanie zrzut pamięci podobny do kopii binarnej dysku, będący niejako stanem systemu z danej chwili. Dane mogą zawierać bardzo istotne informacje tj. uruchomione procesy, połączenia sieciowe i otwarte porty, otwarte pliki, wszelkie informacje związane z uruchomionymi aplikacjami, buforami klawiatury, dysku, monitora, otwarte klucze rejestru, informacje systemowe, hasła zapisane jawnie, informacje związane z BIOS-em, itd.
  19. Wykonać kopię binarną (klon) z zabezpieczonego i uruchomionego laptopa oprogramowaniem do wykonania kopii danych ulotnych – tzw. akwizycji, czyli przechwycenie danych pojawiających się w pamięci RAM. Uzyskane dane mogą być cenne a wyłączenie laptopa może trwale uniemożliwić odnalezienie dowodów. Dane na laptopie mogą być szyfrowane, dlatego wyłączenie może spowodować, że jakakolwiek deszyfracja danych nie będzie w ogóle możliwa do wykonania bez znajomości hasła.
  20. Zrzut pamięci wykonać na nośnik większy od zainstalowanej pamięci laptopa.
  21. Zastosować odrębny nośnik na wykonanie pliku kopii.
  22. Nośnik wcześniej przygotować przed użyciem przez wyzerowanie całkowite przygotowanej na nim partycji.
  23. Wyłączenie laptopa należy przeprowadzić po wykonaniu kopii danych ulotnych na działającym systemie oraz w zależności od ustalonych dodatkowych informacji na temat zainstalowanego szkodliwego oprogramowania. Wyłączenie laptopa uzależnić od zastosowanych zabezpieczeń bądź jego braku. Dane na laptopie – dyski mogą być szyfrowane. Jeżeli system nie zawiera dodatkowych destrukcyjnych zabezpieczeń pozostawionych przez przestępcę celem zatarcia danych w momencie zamykania systemu należy wiec wyłączyć laptop zgodnie z procedura właściwego zamykania systemu. Jeżeli stwierdzono zainstalowane oprogramowanie szyfrujące bądź inne programy destrukcyjne np. formatujące dysk, należy odciąć zasilanie poprzez wyjęcie wtyczki zasilającej laptop oraz wyjęcie baterii celem natychmiastowego odcięcia zasilania. Po wykonaniu kopii danych ulotnych RAM i sprawdzeniu działających programów, procesów i upewnieniu się że wyłączenie laptopa nie spowoduje usunięcia danych za pomocą aplikacji działającej w tle lub za pomocą programu lub skryptu do formatowania dysku, bądź nie spowoduje zaszyfrowanie danych. Po wykonaniu czynności sprawdzających zamykamy systemu operacyjny z poziomu użytkownika. Niektóre systemy operacyjne wymagają zamknięcia przed wyłączeniem zasilania laptopa. Nie zamknięcie w prawidłowy sposób takiego systemu operacyjnego przed odłączeniem od zasilania może spowodować bezpowrotną utratę niektórych danych. Do systemów tych nalezą m.in. Windows 9x, NT, 2000, XP, Nowell NetWare, Unix. W takim przypadku należy bezwzględnie używając odpowiednich poleceń systemowych, wykonać systemowe operacje zamykające.
  24. Zrobić zdjęcie otoczenia, podłączonych kabli, urządzeń peryferyjnych, systemu portów komputera, oznaczeń. Sfotografować schemat połączeń urządzeń – oznaczyć wszystkie przewody i połączenia.
  25. Odłączyć kabel zasilający z tyłu laptopa oraz wyciągnąć baterie zasilającą ze spodu laptopa.
  26. Odłączyć inne kable od urządzeń peryferyjnych, sieciowych.
  27. Wyciągnąć pozostałe urządzenia zewnętrzne podłączone go gniazd tj. pendrive lub dysk zewnętrzny, o ile takie są podłączone.
  28. Oznaczyć porty i kable tak, aby można było je tak samo podłączyć po wykonaniu badania
  29. Należy się upewnić czy zostały spisane wszystkie widoczne elementy urządzenia i dołączono do nich metryczki wraz z opisem.
  30. Wymontować dysk z laptopa.
  31. Podłączyć wyjęty dysk do blokera zapisu oraz wykonać kopię binarną zawartości dysku laptopa jako źródło danych.
  32. Wygenerować sumę kontrolną MD5, SHA1, SHA 2 dla całego dysku.
  33. Wszystkie kroki należy zanotować w protokole – szczegółowo krok po kroku. Dokumentować wykonanie każdego kroku i spisać sumę kontrolną.
  34. Zapakować dysk kopii binarnej w folie ochronną – antystatyczną oraz w karton ochronny.
  35. Zaplombować torby antystatyczne oraz dołączyć w trwały sposób metryczki przedmiotu, zawierające numery urządzeń, rodzaje, typy, cechy indywidualne oraz pozostałe dane. Zalakować i odcisnąć referentkę na metryczkach. Antystatyczne torby włożyć do kartonowych pudełek zabezpieczających przed fizycznym uszkodzeniem materiał dowodowy.
  36. Przechowywać zapakowane dyski z dala od magnesów, jakichkolwiek nadajników radiowych mogących wpłynąć na urządzenie. Przechowywać dyski w temperaturze pokojowej w niezawilgoconym pomieszczeniu.
  37. Przeszukać najbliższe otoczenie laptopa celem odnalezienia zeszytów, karteczek, notatek, zapisów, dokumentacji, na których mogą znajdować się hasła dostępowe.
  38. Sporządzić protokół wraz z pełną dokumentacją opisującą wszystkie wykonane czynności w trakcie procesu zabezpieczania laptopa – krok po kroku. Należy wypełnić protokół oględzin lub przeszukania w zależności od tego, jak