Zróbmy to na żywo, czyli jak się zabrać za live forensics?
Opisany w poprzednim tekście triage, to tak naprawdę wstęp do live forensics. Coraz częściej informatycy śledczy stają przed koniecznością zabezpieczania danych z pracujących urządzeń. Czasami ta konieczność wynika z faktu, że nie można ich wyłączyć, jak na przykład serwer na bieżąco analizujący dane z czujników mierzących metan w kopalni. Czasami żeby obejść szyfrowanie. Czasem wyłączenie urządzeń nie jest możliwe z przyczyn biznesowych.
Nie możemy wyłączyć urządzenia również wtedy kiedy chcemy zobaczyć co „siedzi” w RAM, analizując urządzenia na przykład pod kątem malware. Tą listę pewnie można byłoby wydłużać, a coś nam mówi, że w przyszłości będzie tego coraz więcej i więcej. Dlatego ważne jest żeby już dziś poznać temat bliżej, bo jeśli nawet do tej pory nie spotkałeś się z takim wyzwaniem, jego pojawienie się na horyzoncie jest jedynie kwestią czasu.
Cztery zasady live forensics
Metodologia działań live forensics jest bardzo podobna do tej, którą znamy z klasycznych analiz informatyki śledczej, a co za tym idzie:
Zasada 1 – wiem wszystko, nie zmieniam nic
Czyli każde narzędzie, którego użyjemy powinno działać na zasadzie „read-only”, a ewentualne zmiany systemu związane z ich użyciem powinny być minimalne i za każdym razem udokumentowane.
Zasada 2 – kompetencje
Osoba wykonująca tą precyzyjną pracę na podatnym na zmiany i „delikatnym” ekosystemie w postaci działającego sprzętu komputerowego po prostu musi mieć odpowiednie doświadczenie i umiejętności.
Zasada 3 – powtarzalność
Jak w każdej analizie informatyki śledczej całość działań należy wykonywać tak żeby w przypadku kiedy naszą pracę chciała powtórzyć osoba trzecia mogła uzyskać takie same wyniki. Nie obejdzie się bez szczegółowej dokumentacji wszystkich czynności i procesów.
Zasada 4 – aspekt sądowy
Na każdym informatyku śledczym spoczywa odpowiedzialność gromadzenia środków dowodowych zgodnie z prawem. Równie ważna jest możliwość udowodnienia na żądanie sądu, że zebrany materiał nie został zmieniony od momentu zabezpieczenia.
Live forensics jest alternatywą dla klasycznych analiz śledczych. Ma zastosowanie tam gdzie z przyczyn obiektywnych nie można wykonać pełnej kopii binarnej badanych urządzeń. Doświadczenia naszego laboratorium wskazują, że wykonanie triage, a zaraz po nim live forensics znacząco przyspiesza pracę bez negatywnego wpływu na jej efekty.
Oprócz informatyków śledczych live forensics docenią również organa ścigania i sądy. Stosując tą metodę unika się przeciążenia ilością danych, które muszą zostać ocenione w procesie śledczym, a następnie na sali sądowej. Ewentualne wątpliwości związane z dostępem do pracującego systemu rozwieje w większości przypadków właściwa dokumentacja papierowa (protokół zabezpieczenia) i audiowizualna.