Zróbmy to na żywo, czyli jak się zabrać za live forensics?

Opisany w poprzednim tekście triage, to tak naprawdę wstęp do live forensics. Coraz częściej informatycy śledczy stają przed koniecznością zabezpieczania danych z pracujących urządzeń. Czasami ta konieczność wynika z faktu, że nie można ich wyłączyć, jak na przykład serwer na bieżąco analizujący dane z czujników mierzących metan w kopalni. Czasami żeby obejść szyfrowanie. Czasem wyłączenie urządzeń nie jest możliwe z przyczyn biznesowych.

Nie możemy wyłączyć urządzenia również wtedy kiedy chcemy zobaczyć co „siedzi” w RAM, analizując urządzenia na przykład pod kątem malware. Tą listę pewnie można byłoby wydłużać, a coś nam mówi, że w przyszłości będzie tego coraz więcej i więcej. Dlatego ważne jest żeby już dziś poznać temat bliżej, bo jeśli nawet do tej pory nie spotkałeś się z takim wyzwaniem, jego pojawienie się na horyzoncie jest jedynie kwestią czasu.

Cztery zasady live forensics

Metodologia działań live forensics jest bardzo podobna do tej, którą znamy z klasycznych analiz informatyki śledczej, a co za tym idzie:

  • Zasada 1 – wiem wszystko, nie zmieniam nic

Czyli każde narzędzie, którego użyjemy powinno działać na zasadzie „read-only”, a ewentualne zmiany systemu związane z ich użyciem powinny być minimalne i za każdym razem udokumentowane.

  • Zasada 2 – kompetencje

Osoba wykonująca tą precyzyjną pracę na podatnym na zmiany i „delikatnym” ekosystemie w postaci działającego sprzętu komputerowego po prostu musi mieć odpowiednie doświadczenie i umiejętności.

  • Zasada 3 – powtarzalność

Jak w każdej analizie informatyki śledczej całość działań należy wykonywać tak żeby w przypadku kiedy naszą pracę chciała powtórzyć osoba trzecia mogła uzyskać takie same wyniki. Nie obejdzie się bez szczegółowej dokumentacji wszystkich czynności i procesów.

  • Zasada 4 – aspekt sądowy

Na każdym informatyku śledczym spoczywa odpowiedzialność gromadzenia środków dowodowych zgodnie z prawem. Równie ważna jest możliwość udowodnienia na żądanie sądu, że zebrany materiał nie został zmieniony od momentu zabezpieczenia.

Live forensics jest alternatywą dla klasycznych analiz śledczych. Ma zastosowanie tam gdzie z przyczyn obiektywnych nie można wykonać pełnej kopii binarnej badanych urządzeń. Doświadczenia naszego laboratorium wskazują, że wykonanie triage, a zaraz po nim live forensics znacząco przyspiesza pracę bez negatywnego wpływu na jej efekty.

Oprócz informatyków śledczych live forensics docenią również organa ścigania i sądy. Stosując tą metodę unika się przeciążenia ilością danych, które muszą zostać ocenione w procesie śledczym, a następnie na sali sądowej. Ewentualne wątpliwości związane z dostępem do pracującego systemu rozwieje w większości przypadków właściwa dokumentacja papierowa (protokół zabezpieczenia) i audiowizualna.

 

Polityka prywatności

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies. Zapoznaj się z naszą polityką prywatności.