Informatique légale

Computer Forensics – Ne laissez pas les preuves sur bande vous échapper

Posted by admin

Une grande partie du travail de criminalistique informatique est associée à la récupération de données à partir de disques durs, de stylos USB et d’autres supports de stockage de données couramment utilisés. Même à la télévision, on constate généralement qu’ils ne sont stockés que sur un nombre limité de supports. Alors qu’en est-il du ruban adhésif? La plus grande quantité de données au monde est probablement stockée sur bande, est-ce donc utile en criminalistique et en contentieux?

Le disque dur dans un système informatique contient les informations les plus à jour ainsi que d’autres informations médico-légales précieuses telles que l’historique Internet et les fichiers temporaires locaux.

Alors, pourquoi devriez-vous regarder les bandes de sauvegarde?

Facilité d’accés

L’accès aux données d’une archive sur bande est souvent réalisé avec beaucoup moins de perturbations, car les bandes peuvent être transférées sans que les systèmes ne soient saisis et mappés. Dans certains cas, il est essentiel que l’on ne sache pas vraiment qu’une enquête ou un audit système est en cours, il peut donc être préférable de prendre les sauvegardes d’un magasin tiers plutôt que d’arrêter les systèmes actifs pour enquête.

La perturbation causée par un audit dépasse souvent l’idéal. Les gens sans aucun soupçon se sentent méfiants, c’est pourquoi il peut être très judicieux de faire une évaluation de la situation sans perte généralisée du moral du personnel. Bien entendu, il faut veiller à ce qu’aucune action de navigation dans les données ne viole d’autres règles et ne conduise à des actions généralisées. À l’exception des activités clairement illégales, il est souvent préférable d’utiliser un audit semi-secret du système pour élaborer une politique et tracer une ligne après laquelle la violation mène à l’action.

Données historiques

Les sauvegardes sont un instantané d’un système ou de systèmes et cela peut être inestimable. Les données peuvent aller et venir des systèmes locaux, et dans certains cas, une certaine quantité de données peut être effacée pour couvrir des traces, mais si une donnée se trouvait à un endroit particulier et qu’elle est sauvegardée, alors fait toutes les tentatives pour s’en débarrasser. . preuve qu’il est stocké en toute sécurité dans l’archive de sauvegarde.

Travailler à rebours jusqu’aux sauvegardes de fin de mois peut augmenter la probabilité de détecter des fautes professionnelles et des abus du système, à moins que l’on n’ait pris grand soin à un moment donné de trouver des informations sur le chemin de l’infrastructure de sauvegarde.

Regardez avant de sauter

Il est nécessaire de comprendre l’infrastructure de sauvegarde avant de démarrer un chalut via une archive sur bande, car il peut y avoir beaucoup de données à parcourir. C’est un bon début pour savoir s’il est à distance probable que les données que vous recherchez se trouvent quelque part entre les bandes. La prochaine étape essentielle consiste à prioriser les pneus. Le fait que l’archive sur bande offre l’avantage de revenir en arrière grâce aux instantanés système est un grand avantage, mais cela peut signifier qu’il y a une énorme quantité de données, il est donc essentiel d’économiser du temps et de l’argent.

Sur la base d’un cas récent où il était possible d’examiner les données de trois à quatre mille cartouches AIT contenant des données écrites à l’aide de l’archiveur NetBackup, l’importance d’une approche à plusieurs niveaux devient tout à fait claire.

3000 bandes prenant chacune 3 heures à lire, utilisant 10 systèmes et avec une disponibilité de 80%, prendraient près de 50 jours. C’est exactement le moment de lire les bandes, de prendre en compte le temps de traitement des données récupérées et de les organiser pour le retour et vous pourriez doubler le temps.

En développant un système de pré-numérisation pour ce type de bande, le temps par bande pour identifier les données sur chaque bande a été réduit à environ 15 minutes, de sorte que toutes les bandes puissent être numérisées en environ 4 jours. Cela a permis d’identifier 500 bandes pour lesquelles des données étaient nécessaires et a éliminé le reste. Le temps total de lecture de toutes les données a été réduit à moins de 10 jours, ce qui se traduit par un service plus rapide à moindre coût. Un peu de préparation peut donc porter ses fruits.

La récupération de bande est une bonne idée?

Il n’y a pas de règle absolue, comprendre les systèmes et où les données peuvent être est la première étape. L’archive sur bande peut être une excellente source de données, mais si les données souhaitées n’ont jamais été sauvegardées, vous risquez de perdre du temps et de l’argent. Mais en ignorant ces “trucs effrayants sur bande”, vous pourriez manquer des données qui pourraient être une partie essentielle de toute enquête ou audit.

Leave A Comment