Praktik Terbaik untuk Forensik Komputer di Lapangan

pengantar

Pemeriksa forensik komputer bertanggung jawab atas ketajaman teknis, pengetahuan hukum, dan objektivitas selama penelitian. Keberhasilan didasarkan pada hasil yang dapat diverifikasi dan berulang yang mewakili bukti langsung dari dugaan kesalahan atau kemungkinan pembebasan. Artikel ini menetapkan serangkaian praktik terbaik untuk praktisi forensik komputer, yang mewakili bukti terbaik untuk solusi yang dapat dipertahankan di lapangan. Praktik terbaik bertujuan untuk menangkap proses yang telah berulang kali terbukti berhasil dalam penggunaannya. Ini bukan buku masak. Praktik terbaik dimaksudkan untuk dipelajari dan diterapkan berdasarkan kebutuhan spesifik organisasi, kasus dan pengaturan kasus.

Pengetahuan Pekerjaan

Penguji hanya bisa diberitahu begitu ketika mereka berjalan di lapangan. Dalam banyak kasus, pelanggan atau perwakilan pelanggan akan memberikan beberapa informasi tentang berapa banyak sistem yang dipertanyakan, spesifikasinya, dan kondisinya saat ini. Dan seperti biasa, mereka salah. Hal ini terutama berlaku dalam hal ukuran hard disk, laptop retak, peretasan kata sandi, dan antarmuka perangkat. Kejang yang membawa peralatan kembali ke lab harus selalu menjadi garis pertahanan pertama, memberikan fleksibilitas maksimum. Jika Anda harus tampil di lokasi, buatlah daftar lengkap informasi pekerjaan untuk dikumpulkan sebelum Anda terjun ke lapangan. Daftar harus terdiri dari langkah-langkah kecil dengan kotak centang untuk setiap langkah. Pemeriksa harus diberi tahu sepenuhnya tentang langkah selanjutnya dan tidak harus “berpikir sendiri”.

Berlebihan

Upaya yang berlebihan setidaknya dengan faktor dua jumlah waktu yang Anda butuhkan untuk menyelesaikan pekerjaan. Ini termasuk mengakses perangkat, memulai akuisisi forensik dengan strategi pemblokiran tulis yang tepat, mengisi dokumen dan dokumentasi rantai penjagaan yang sesuai, menyalin file yang diperoleh ke perangkat lain dan memulihkan perangkat keras ke keadaan semula. Ingatlah bahwa Anda mungkin memerlukan buku pegangan toko untuk menginstruksikan Anda dalam mengambil perangkat kecil untuk mengakses drive, menciptakan lebih banyak kesulitan dalam menyelesaikan akuisisi dan pemulihan perangkat keras. Hidup dengan Hukum Murphy. Sesuatu akan selalu menantang Anda dan membutuhkan lebih banyak waktu dari yang diharapkan – bahkan jika Anda telah melakukannya berkali-kali.

Peralatan Inventaris Sejumlah besar inspektur memiliki cukup banyak peralatan yang dapat mereka lakukan dengan baik dalam beberapa cara. Tentukan terlebih dahulu bagaimana Anda ingin menjalankan akuisisi situs web Anda secara ideal. Kita semua akan melihat peralatan menjadi buruk atau kekurangan lainnya menjadi penghenti pertunjukan pada saat yang paling kritis. Pertimbangkan untuk membawa dua pemblokir tulis dan drive penyimpanan massal tambahan, dihapus dan siap. Di sela-sela pekerjaan, pastikan untuk memvalidasi peralatan Anda dengan latihan mencuci. Tinjau dan inventaris semua kit Anda menggunakan daftar periksa sebelum keberangkatan.

Akuisisi Fleksibel

Alih-alih mencoba membuat “tebakan terbaik” tentang ukuran pasti hard drive pelanggan, gunakan perangkat penyimpanan massal dan jika ruang menjadi masalah, format akuisisi yang akan memampatkan data Anda. Setelah mengumpulkan data, salin data ke lokasi lain. Banyak inspektur membatasi diri pada akuisisi tradisional di mana mesin di-crack, drive dilepas, ditempatkan di belakang blok tulis dan diperoleh. Ada juga metode akuisisi lain yang disediakan oleh sistem operasi Linux. Linux, di-boot dari drive CD, memungkinkan pemeriksa membuat salinan mentah tanpa mempengaruhi hard disk. Cukup akrab dengan proses untuk memahami cara mengumpulkan nilai hash dan log lainnya. Pengadaan Langsung juga dibahas dalam dokumen ini. Tinggalkan drive foto dengan pengacara atau klien dan bawa salinannya kembali ke lab Anda untuk dianalisis.

Tarik Steker

Sebuah diskusi panas terjadi tentang apa yang harus dilakukan ketika dihadapkan dengan mesin yang sedang berjalan. Ada dua pilihan yang jelas; cabut steker atau lakukan shutdown bersih (dengan asumsi Anda dapat masuk). Sejumlah besar checker menarik steker, dan ini adalah metode terbaik untuk menghindari membiarkan proses jahat berjalan, yang dapat menghapus dan menghapus data atau masalah serupa lainnya. Ini juga memungkinkan akses pemeriksa untuk membuat snapshot dari file pertukaran dan informasi sistem lainnya seperti yang terakhir dijalankan. Ingatlah bahwa mencabut kabel juga dapat merusak beberapa file yang berjalan di sistem, membuatnya tidak tersedia untuk inspeksi atau akses pengguna. Bisnis terkadang lebih memilih untuk menutup bisnis dan harus diberi pilihan setelah dampaknya dijelaskan. Sangat penting untuk mendokumentasikan bagaimana mesin dijatuhkan karena akan menjadi pengetahuan penting untuk analisis.

Penghasilan Langsung

Pilihan lainnya adalah melakukan akuisisi secara langsung. Beberapa mendefinisikan “hidup” sebagai mesin yang berjalan seperti yang ditemukan, atau untuk tujuan ini, mesin itu sendiri akan berjalan selama akuisisi melalui beberapa cara. Salah satu metodenya adalah mem-boot ke lingkungan Linux yang disesuaikan yang mencakup dukungan yang cukup untuk mengambil snapshot hard disk (seringkali di antara kemampuan forensik lainnya), tetapi kernel dimodifikasi untuk tidak pernah menyentuh komputer host. Versi khusus juga tersedia yang memungkinkan pemeriksa memanfaatkan fitur autorun Window untuk melakukan Incident Response. Ini membutuhkan pengetahuan lanjutan tentang Linux dan pengalaman dengan forensik komputer. Jenis pengadaan ini ideal bila karena waktu atau kerumitan, membongkar mesin bukanlah pilihan yang masuk akal.

Dasar

Pengawasan kasar yang tidak biasa yang sering dilakukan oleh inspektur adalah mengabaikan boot perangkat setelah hard drive habis. Memeriksa BIOS memang penting untuk kemampuan melakukan analisis yang sepenuhnya tervalidasi. Waktu dan tanggal yang dilaporkan di BIOS harus dilaporkan, terutama jika zona waktu menjadi masalah. Berbagai informasi lain tersedia tergantung pada produsen yang menulis perangkat lunak BIOS. Ingatlah bahwa produsen drive juga dapat menyembunyikan area tertentu pada disk (Area yang Dilindungi Perangkat Keras) dan alat akuisisi Anda harus dapat membuat salinan bitstream penuh yang memperhitungkannya. Kunci lain yang perlu dipahami oleh pemeriksa adalah bagaimana mekanisme hashing bekerja: Beberapa algoritma hash mungkin lebih baik daripada yang lain tidak harus karena teknologinya yang kuat, tetapi karena bagaimana mereka dapat dirasakan dalam situasi pengadilan.

Tetap aman

Gambar yang diperoleh harus disimpan dalam lingkungan yang terlindungi dan tidak statis. Pemeriksa harus memiliki akses ke brankas yang terkunci di kantor yang terkunci. Drive harus disimpan dalam kantong antistatik dan dilindungi dengan penggunaan bahan kemasan non-statis atau bahan pengiriman asli. Setiap drive harus ditandai dengan nama klien, kantor pengacara dan nomor bukti. Sejumlah inspektur menyalin label drive pada mesin fotokopi, jika mereka memiliki akses ke label pada saat akuisisi dan ini harus disimpan dengan kertas kasus. Pada akhirnya, setiap drive harus dihubungkan ke rantai dokumen, pekerjaan, dan nomor bukti.

Menetapkan Kebijakan

Banyak klien dan pengacara akan meminta pembelian komputer segera dan kemudian menggunakan bukti selama berbulan-bulan. Jelaskan dengan pengacara berapa lama Anda bersedia menyimpan bukti di lab Anda dan membebankan penghematan untuk pekerjaan penting atau skala besar. Anda dapat menyimpan bukti penting untuk melakukan kejahatan atau tindakan perdata dan sementara dari perspektif pemasaran mungkin ide yang baik untuk menyimpan salinan drive, mungkin lebih baik dari perspektif kasus untuk mengembalikan semua salinan ke pengacara atau klien dengan dokumentasi lacak balak yang sesuai.

Kesimpulannya

Inspektur komputer memiliki banyak pilihan tentang bagaimana mereka akan melakukan akuisisi di lokasi. Pada saat yang sama, pengadaan di tempat adalah lingkungan yang paling mudah berubah bagi para inspektur. Alat mungkin gagal, kendala waktu mungkin berat, pengamat dapat menambah stres, dan tersangka mungkin hadir. Penguji perlu memperhatikan secara serius pemeliharaan alat mereka dan pengembangan pengetahuan yang berkelanjutan untuk mempelajari teknik terbaik untuk setiap situasi. Menggunakan praktik terbaik di sini, pemeriksa harus siap menghadapi hampir semua situasi yang mungkin mereka hadapi dan memiliki kemampuan untuk menetapkan tujuan dan harapan yang masuk akal untuk upaya yang dimaksud.

Leave a Reply

Your email address will not be published. Required fields are marked *