שיטות עבודה מומלצות לזיהוי פלילי מחשבים בתחום

מבוא

בוחנים לזיהוי פלילי מחשבים אחראים על חדות טכנית, הכרת החוק והאובייקטיביות במהלך החקירות. ההצלחה מבוססת על תוצאות מדווחות הניתנות לאימות וניתנות לשחזור המייצגות עדות ישירה לחשוד בעוולה או פטור פוטנציאלי. מאמר זה קובע סדרה של שיטות עבודה מומלצות עבור הרופא המזויף, המייצגות את הראיות הטובות ביותר לפתרונות הניתנים להגנה בתחום. שיטות העבודה המומלצות עצמן נועדו ללכוד את התהליכים שהראו שוב ושוב שהם מוצלחים בשימוש בהם. זה לא ספר בישול. שיטות העבודה המומלצות נועדו להיבדק וליישם אותן בהתאם לצרכים הספציפיים של הארגון, המקרה והגדרת התיק.

ידע בעבודה

בודק יכול לקבל מידע על כך רק כשהוא נכנס למסגרת שדה. במקרים רבים, הלקוח או נציג הלקוח יספקו מידע כלשהו על כמה מערכות המדוברות, המפרט שלהן ומצבם הנוכחי. ובדיוק באותה תדירות, הם טועים באופן קריטי. הדבר נכון במיוחד כשמדובר בגדלי כונן קשיח, פיצוח מחשבים ניידים, פריצת סיסמאות וממשקי התקנים. התקף שמחזיר את הציוד למעבדה צריך תמיד להיות קו ההגנה הראשון, המספק גמישות מרבית. אם עליך לבצע באתר, צור רשימת עבודה מקיפה של מידע שייאסף לפני שתגיע לשדה. הרשימה צריכה להיות מורכבת משלבים קטנים עם תיבת סימון לכל שלב. יש ליידע את הבוחן לחלוטין על הצעד הבא שלו ולא צריך "לחשוב על הרגליים".

הערכת יתר

הערכת יתר על המאמץ על ידי גורם של שניים לפחות את משך הזמן שתדרש להשלמת העבודה. זה כולל גישה למכשיר, התחלת הרכישה הפורנזית עם אסטרטגיית חסימת כתיבה מתאימה, מילוי הניירת המתאימה ושרשרת התיעוד המשמורת, העתקת הקבצים שנרכשו למכשיר אחר והחזרת החומרה למצבה ההתחלתי. זכור כי ייתכן שתדרש ממדריכי חנות לכוון אותך בהפרדת מכשירים קטנים כדי לגשת לכונן, מה שיוצר קושי רב יותר ברכישת ושחזור החומרה. לחיות לפי חוק מרפי. משהו תמיד יאתגר אותך וייקח יותר זמן מהצפוי – גם אם עשית זאת פעמים רבות.

ציוד מלאי לרוב הבוחנים יש מספיק ציוד מגוון שיוכלו לבצע רכישות תקינות מבחינה משפטית בכמה דרכים. החליטו מראש כיצד תרצו לבצע באופן אידיאלי את רכישת האתר שלכם. כולנו יראו שהציוד מתקלקל או שחוסר תאימות אחר יהפוך לבלם הופעות בזמן הקריטי ביותר. שקול לשאת שני חוסמי כתיבה וכונן אחסון המוני נוסף, ניקה ומוכן. בין עבודות, הקפד לאמת את הציוד שלך עם תרגיל hashing. בדוק שוב ומלא את כל הערכה שלך באמצעות רשימת צ'ק לפני ההמראה.

רכישה גמישה

במקום לנסות לעשות "ניחושים מיטביים" לגבי הגודל המדויק של הכונן הקשיח של הלקוח, השתמש בהתקני אחסון המוני ואם שטח הוא בעיה, פורמט רכישה שידחס את הנתונים שלך. לאחר איסוף הנתונים, העתק את הנתונים למיקום אחר. בודקים רבים מגבילים את עצמם לרכישות מסורתיות שבהן המכונה נסדקת, הכונן מוסר, ממוקם מאחורי חוסם כתיבה ונרכש. ישנן גם שיטות אחרות לרכישה הזמינות על ידי מערכת ההפעלה Linux. לינוקס, שהופעלה מכונן תקליטורים, מאפשרת לבוחן ליצור עותק גולמי מבלי לפגוע בכונן הקשיח. הכירו את התהליך מספיק כדי להבין כיצד לאסוף ערכי חשיש ויומנים אחרים. רכישה בשידור חי נדונה גם במסמך זה. השאירו את הכונן המצולם אצל עורך הדין או הלקוח והחזירו את העותק למעבדה לצורך ניתוח.

משוך את התקע

דיון מחומם מתרחש על מה יש לעשות כאשר הם נתקלים במכונה פועלת. קיימות שתי אפשרויות ברורות; משיכת התקע או ביצוע כיבוי נקי (בהנחה שניתן להיכנס). רוב הבוחנים מושכים את התקע, וזו הדרך הטובה ביותר להימנע מלהפעיל כל סוג של תהליך זדוני שעלול למחוק ולמחוק נתונים או מלכודת דומה אחרת. הוא גם מאפשר לבוחן גישה ליצור תמונת מצב של קבצי ההחלפה ופרטי מערכת אחרים כפי שהופעל לאחרונה. יש לציין כי משיכת התקע עלולה לפגוע גם בחלק מהקבצים הפועלים במערכת, מה שהופך אותם לבלתי זמינים לבדיקה או לגישת משתמשים. עסקים לפעמים מעדיפים כיבוי נקי ויש לתת להם את האפשרות לאחר הסבר על ההשפעה. חשוב לתעד כיצד הורידה את המכונה מכיוון שזו תהיה ידע חיוני לחלוטין לניתוח.

רכישות חיות

אפשרות נוספת היא לבצע רכישה בשידור חי. חלקם מגדירים "חי" כמכונה פועלת כפי שהיא נמצאת, או למטרה זו, המכונה עצמה תפעל במהלך הרכישה באמצעים מסוימים. שיטה אחת היא אתחול לסביבת לינוקס מותאמת אישית הכוללת מספיק תמיכה לתפוס תמונה של הכונן הקשיח (לעתים קרובות בין יכולות משפטיות אחרות), אך הגרעין משתנה כך שלעולם לא יגע במחשב המארח. קיימות גם גרסאות מיוחדות המאפשרות לבוחן למנף את תכונת ההפעלה האוטומטית של החלון לביצוע תגובת תקריות. אלה דורשים ידע מתקדם הן ב- Linux והן בניסיון בתחום פלילי המחשב. רכישה מסוג זה היא אידיאלית כאשר מסיבות זמן או מורכבות, פירוק המכונה אינו אופציה סבירה.

היסודות

פיקוח חצוף להפליא שעושה הבוחן לעתים קרובות הוא הזנחה לאתחל את המכשיר ברגע שהדיסק הקשיח יצא ממנו. בדיקת ה- BIOS היא קריטית בהחלט ליכולת לבצע ניתוח מאומת לחלוטין. יש לדווח על הזמן והתאריך המדווחים ב- BIOS, במיוחד כאשר אזורי זמן מהווים בעיה. מגוון עשיר של מידע אחר זמין בהתאם ליצרן שכתב את תוכנת ה- BIOS. זכור כי יצרני כוננים עשויים גם להסתיר אזורים מסוימים בדיסק (אזורים מוגנים על ידי חומרה) וכלי הרכישה חייב להיות מסוגל ליצור עותק מלא של bitstream שלוקח זאת בחשבון. מפתח נוסף לבחינת הבוחן הוא כיצד פועל מנגנון ההאשינג: אלגוריתמים מסוימים של חשיש עשויים להיות עדיפים על פני אחרים לאו דווקא בשל תקינותם הטכנולוגית, אלא לאופן שבו הם עלולים להיתפס במצב אולם בית המשפט.

אחסן בצורה מאובטחת

יש לאחסן תמונות שנרכשו בסביבה מוגנת ולא סטטית. לבוחנים צריכה להיות גישה לכספת נעולה במשרד נעול. יש לאחסן את הכוננים בשקיות אנטי-סטטיות ולהגן עליהם על ידי שימוש בחומרי אריזה לא סטטיים או בחומר המשלוח המקורי. יש לתייג כל כונן עם שם הלקוח, משרד עורך הדין ומספר הראיות. חלק מהבודקים מעתיקים תוויות כונן במכונת ההעתקים, אם יש להם גישה לאחת במהלך הרכישה ויש לאחסן זאת עם ניירת התיק. בסופו של יום, כל כונן צריך להתחבר למסמך שרשרת משמורת, עבודה ומספר ראיות.

קבע מדיניות

לקוחות ועורכי דין רבים ידחפו לרכישה מיידית של המחשב ולאחר מכן יושבים על הראיות במשך חודשים. הבהיר עם עורך הדין כמה זמן אתה מוכן לשמור את הראיות במעבדה שלך ולגבות דמי אחסון עבור עבודות קריטיות או גדולות. יתכן שאתה מאחסן ראיות קריטיות לפשע או לפעולה אזרחית ובעוד שמבחינה שיווקית זה עשוי להיראות כמו רעיון טוב לשמור עותק של הכונן, עדיף מבחינת התיק להחזיר את כל העותקים לעו"ד או לקוח בעל מסמך השרשרת המתאים.

סיכום

לבוחני מחשבים יש הרבה אפשרויות כיצד יבצעו רכישה באתר. יחד עם זאת, הרכישה באתר היא הסביבה התנודתית ביותר עבור הבוחן. כלים עלולים להיכשל, אילוצי זמן עלולים להיות חמורים, משקיפים עלולים להוסיף לחץ וייתכנו חשודים. הבוחנים צריכים להתייחס ברצינות לתחזוק הכלים שלהם ולפתח את הידע המתמשך כדי ללמוד את הטכניקות הטובות ביותר לכל מצב. על סמך שיטות העבודה הטובות ביותר כאן, על הבוחן להיות מוכן כמעט לכל סיטואציה בה הוא עלול להתמודד ולהיות בעל יכולת לקבוע מטרות וציפיות סבירות למאמץ המדובר.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *