Informatique légale

Bonnes pratiques pour la criminalistique informatique sur le terrain

Posted by admin

introduction

Les examinateurs judiciaires informatiques sont responsables de l’acuité technique, de la connaissance de la loi et de l’objectivité des enquêtes. Le succès est basé sur des résultats rapportés vérifiables et reproductibles qui fournissent une preuve directe d’une faute présumée ou d’une exemption potentielle. Cet article fournit un ensemble de bonnes pratiques pour le médecin légiste informatique, fournissant les meilleures preuves pour des solutions défendables sur le terrain. Les meilleures pratiques elles-mêmes visent à capturer les processus dont il a été démontré à maintes reprises qu’ils réussissaient à les utiliser. Ce n’est pas un livre de cuisine. Les meilleures pratiques sont destinées à être évaluées et appliquées en fonction des besoins spécifiques de l’organisation, du cas et du contexte du cas.

Connaissances du métier

Un examinateur ne peut en être informé que lorsqu’il entre dans un environnement de terrain. Dans de nombreux cas, le client ou son représentant fournira des informations sur le nombre de systèmes en question, leurs spécifications et leur état actuel. Et tout aussi souvent, ils se trompent gravement. Cela est particulièrement vrai en ce qui concerne la taille des disques durs, le craquage des ordinateurs portables, le piratage de mots de passe et les interfaces de périphériques. Une attaque qui renvoie l’équipement au laboratoire doit toujours être la première ligne de défense et offrir une flexibilité maximale. Si vous devez effectuer sur place, créez une liste de travail complète des informations à collecter avant de vous rendre sur le terrain. La liste doit se composer de petites étapes avec une case à cocher pour chaque étape. L’examinateur doit être pleinement conscient de la prochaine étape et ne pas «penser».

Surestimation

Surestimez l’effort d’au moins un facteur de deux du temps qu’il vous faudra pour faire le travail. Cela comprend l’accès à l’appareil, le démarrage de l’acquisition médico-légale avec la stratégie de blocage d’écriture correcte, le remplissage des documents et de la documentation appropriés pour la chaîne de possession, la copie des fichiers acquis sur un autre appareil et la restauration du matériel à son état d’origine. N’oubliez pas que vous aurez peut-être besoin de guides d’achat pour vous aider à démonter les petits appareils pour accéder au lecteur, ce qui rendra l’achat et la récupération du matériel plus difficiles. Vivez selon la loi de Murphy. Quelque chose vous mettra toujours au défi et prendra plus de temps que prévu, même si vous l’avez déjà fait plusieurs fois.

Matériel de stock Une variété d’équipements suffit à la plupart des examinateurs pour effectuer des acquisitions médico-légales de diverses manières. Décidez à l’avance de la meilleure façon de réaliser l’acquisition de votre site. Nous verrons tous du matériel tomber en panne ou une autre incompatibilité se transformer en un showstopper au moment le plus critique. Pensez à apporter deux blocs d’écriture et un lecteur de stockage de masse supplémentaire, effacés et terminés. Assurez-vous de vérifier votre équipement avec un exercice de hachage entre les travaux. Avant de partir, vérifiez et inventoriez tout votre équipement à l’aide d’une liste de contrôle.

Acquisition flexible

Plutôt que d’essayer de «deviner au mieux» la taille exacte du disque dur du client, utilisez des périphériques de stockage de masse et, si l’espace est un problème, un format d’acquisition qui comprime vos données. Après avoir collecté les données, copiez les données vers un autre emplacement. De nombreux examinateurs se limitent aux acquisitions traditionnelles où la machine est fissurée, le disque retiré, placé derrière un verrou en écriture et acquis. Il existe également d’autres méthodes d’acquisition mises à disposition par le système d’exploitation Linux. Linux, démarré à partir d’un lecteur de CD, permet au chercheur de faire une copie non éditée sans compromettre le disque dur. Familiarisez-vous avec le processus pour comprendre comment collecter des valeurs de hachage et d’autres journaux. L’acquisition en direct est également abordée dans ce document. Laissez le disque image à l’avocat ou au client et renvoyez la copie à votre laboratoire pour analyse.

Débrancher

Il y a un débat animé sur ce qu’il faut faire lorsqu’ils rencontrent une machine en marche. Il y a deux choix clairs; débranchez ou nettoyez l’arrêt (en supposant que vous puissiez vous connecter). La plupart des examinateurs débranchent la fiche, et c’est le meilleur moyen d’éviter d’exécuter un processus malveillant qui pourrait supprimer et effacer des données ou tout autre piège similaire. Il permet également à l’examinateur de prendre un instantané des fichiers d’échange et d’autres informations système lors de la dernière exécution. Il convient de noter que le fait de retirer la fiche peut également corrompre certains des fichiers exécutés sur le système, les rendant indisponibles pour la recherche ou l’accès des utilisateurs. Les entreprises préfèrent parfois un arrêt propre et devraient avoir le choix après avoir expliqué l’impact. Il est essentiel de documenter la façon dont la machine a été mise hors service car il s’agit d’une connaissance absolument essentielle pour l’analyse.

Acquisitions en direct

Une autre option consiste à effectuer une acquisition en direct. Certains définissent «en direct» comme une machine en cours d’exécution telle qu’elle est trouvée, ou dans ce but la machine elle-même fonctionnera d’une manière ou d’une autre pendant l’acquisition. Une méthode consiste à démarrer dans un environnement Linux personnalisé qui a suffisamment de support pour créer une image du disque dur (souvent à côté d’autres capacités médico-légales), mais le noyau est modifié pour ne jamais toucher l’ordinateur hôte. Il existe également des versions spéciales qui permettent à l’enquêteur d’utiliser la fonction d’exécution automatique de Windows pour répondre aux incidents. Ceux-ci nécessitent une connaissance avancée de Linux ainsi qu’une expérience en criminalistique informatique. Ce type d’acquisition est idéal lorsque le démontage de la machine n’est pas une option raisonnable pour des raisons de temps ou de complexité.

Les bases

Une erreur étonnamment flagrante que font souvent les examinateurs est que l’appareil ne démarre pas une fois que le disque dur est éteint. La vérification du BIOS est absolument essentielle pour exécuter une analyse entièrement validée. L’heure et la date indiquées dans le BIOS doivent être signalées, en particulier si les fuseaux horaires posent problème. Une variété d’autres informations sont disponibles en fonction du fabricant qui a écrit le logiciel BIOS. Gardez à l’esprit que les fabricants de lecteurs peuvent également masquer certaines parties du lecteur (zones protégées par le matériel) et que votre outil d’acquisition doit être en mesure de faire une copie complète du flux binaire qui en tient compte. Le chercheur doit également comprendre comment fonctionne le mécanisme de hachage: certains algorithmes de hachage peuvent être préférés à d’autres, pas nécessairement en raison de leur solidité technologique, mais en raison de la façon dont ils peuvent être perçus dans une salle d’audience.

Gardez en sécurité

Les images obtenues doivent être stockées dans un environnement protégé et non statique. Les examinateurs doivent avoir accès à un coffre-fort verrouillé dans un bureau verrouillé. Les disques doivent être stockés dans des sacs antistatiques et protégés par l’utilisation de matériaux d’emballage non statiques ou des matériaux d’expédition d’origine. Chaque disque doit être étiqueté avec le nom du client, le cabinet d’avocats et le numéro de preuve. Certains examinateurs copieront les étiquettes des stations sur le copieur, s’ils y ont accès pendant l’acquisition, et cela devrait être conservé avec les papiers de la valise. À la fin de la journée, chaque lecteur doit être associé à un document de chaîne de traçabilité, un numéro de travail et un justificatif.

Créer une politique

De nombreux clients et avocats insisteront sur une prise de contrôle immédiate de l’ordinateur, puis resteront assis sur les preuves pendant des mois. Indiquez clairement à l’avocat combien de temps vous êtes prêt à conserver les preuves dans votre laboratoire et facturez des frais de stockage pour les tâches critiques ou majeures. Vous pouvez conserver des preuves critiques pour un crime ou une poursuite civile et même si cela peut sembler une bonne idée d’un point de vue marketing de conserver une copie du disque, du point de vue de l’affaire, il peut être préférable de renvoyer toutes les copies à l’avocat. . ou client avec la documentation appropriée sur la chaîne de possession.

Conclusion

Les chercheurs en informatique ont de nombreux choix quant à la manière dont ils réaliseront une acquisition sur place. Dans le même temps, l’acquisition sur place est l’environnement le plus volatil pour l’examinateur. Les outils peuvent échouer, les contraintes de temps peuvent être sévères, les observateurs peuvent exercer une pression et des suspects peuvent être présents. Les examinateurs doivent prendre au sérieux l’entretien de leurs outils et le développement de connaissances continues pour apprendre les meilleures techniques pour chaque situation. En utilisant les meilleures pratiques décrites ici, l’examinateur doit être préparé à presque toutes les situations qu’il peut rencontrer et être en mesure de fixer des objectifs et des attentes raisonnables pour l’effort impliqué.

Leave A Comment