Nawet R2D2 robił triage!
Pamiętacie scenę z Mrocznego Widma (tak, wiemy, wiemy liczy się tylko stara trylogia) kiedy Obi-Wan z Anakinem pędzą spadającą windą? Za pomocą komunikatora proszą R2D2 o pomoc. Ten, uporawszy się z dwoma droidami bojowymi, uzyskuje dostęp do sieci i… robi triage!
Triage czyli coraz popularniejsze podejście w informatyce śledczej, związane z pewnością z ogromnymi ilościami danych, z których analizą radzić sobie muszą specjaliści informatyki śledczej.
Triage to nic innego jako wstępna priorytetyzacja, identyfikacja i filtrowanie całego zbioru informacji przez pryzmat wyłącznie tych, które mogą okazać się istotne dla prowadzonej analizy. Zmniejszenie ilości danych przekłada się na skrócenie czasu potrzebnego do wykonania zadania.
Jak się do tego zabrać?
Dokładnie tak jak… R2D2 w omawianej scenie. Najpierw ustalił priorytety czyli w pierwszej kolejności uporanie się z driodami bojowymi, dopiero później podłączył się do sieci Federacji Handlowej. W prawdziwym życiu będzie z tym nieco trudniej. Trzeba zadać sobie trud dobrego rozpoznania tematu przed zabezpieczeniem. Zastanowić się, który „wycinek” danych w konkretnym przypadku będzie najbardziej istotny?
Przykładowo, sprawa dzieje się w firmie ze 100 komputerami. Są podejrzenia, że ktoś z firmy udostępnia konkurencji projekty technologiczne. Zamiast robić kopie binarne każdego dysku znacznie lepiej będzie przeszukać sieć pod kątem występowania plików graficznych, pdf, czy słów kluczowych powiązanych z projektami, które wyciekły, nazwami firm o tym samym profilu na rynku czy imionami i nazwiskami wspólników z przedsiębiorstw konkurencyjnych.
Dokładnie tak, jak zrobił R2D2. Nie analizował systemów odpowiedzialnych za klimatyzację, centrum zdalnego dowodzenia droidami czy dzienników odlotów i przylotów frachtowców międzygwiezdnych. Skupił się na systemie sterowania windami.
Oczywiście, ręczne próby realizacji metodyki triage mogą nie przynieść spodziewanych skutków. Znacznie efektywniej, a przede wszystkim pewniej i skuteczniej będzie skorzystać ze specjalistycznych narzędzi, takich jak: EnCase Portable czy Internet Evidence Finder (Triage edition). Tylko ich użycie pozwoli na pełne wykorzystanie potencjału leżącego w triage.
Triage jeden problem
Jak powiedział na początku lat dziewięćdziesiątych jeden z polskich polityków: widzę tu plusy dodatnie i plusy ujemne. I rzeczywiście, zastosowanie triage niesie pewne ryzyka.
Najważniejsze z nich to dostęp jedynie do informacji obecnie istniejących. Zatem wszystkie dane skasowane, które pewnie można byłoby próbować odzyskać w klasycznej analizie, w tym przypadku będą niedostępne.
Problem ten da się oczywiście rozwiązać. Jeśli z wyników analizy metodyką triage złapiemy jakiś trop zawsze będzie można zastosować na podejrzanym nośniku klasyczną procedurę informatyki śledczej. Wówczas usunięte dane będzie można odzyskać.
I na koniec. Jasnym jest, że najlepsza część Gwiezdnych Wojen to Imperium Kontratakuje. Kto uważa inaczej jest w błędzie.