Jeux d'ordinateur
Guide du débutant pour Computer Forensics
Présentation
L'informatique judiciaire est la pratique de collecte, d'analyse et de reporting sur l'information numérique d'une manière qui est légalement recevable. Il peut être utilisé dans la détection et la prévention de la criminalité et dans tout litige où la preuve est stocké numériquement. L'informatique judiciaire a les étapes d'examen comparable à d'autres disciplines médico-légales et les visages des problèmes similaires.
A propos de ce guide
Ce guide traite de preuves informatiques à partir d'un point de vue neutre. Il n'est pas liée à la législation particulière ou destiné à promouvoir une entreprise ou un produit particulier et n'est pas écrit en biais d'application de la loi soit ou la criminalistique informatique commercial. Il est destiné à un public non technique et offre une vue de haut niveau de preuves informatiques. Ce guide utilise le terme «ordinateur», mais les concepts s'appliquent à tout appareil capable de stocker des informations numériques. Lorsque ces méthodologies ont été mentionnés, ils sont fournis à titre indicatif et ne constituent pas des recommandations ou des conseils. Copie et publication de tout ou partie de cet article est autorisée uniquement selon les termes de la licence Creative Commons - Paternité licence non commerciale 3.0
Utilise de la criminalistique informatique
Il ya quelques domaines de la criminalité ou de contestation, où l'informatique judiciaire ne peut être appliquée. Organismes d'application de la loi ont été parmi les premiers utilisateurs de la plus lourde et de l'informatique judiciaire et par conséquent ont souvent été à la pointe des développements dans le domaine. Les ordinateurs peuvent constituer une «scène d'un crime», par exemple avec de piratage [1] ou des attaques par déni de service [2] ou ils peuvent tenir la preuve sous forme d'e-mails, l'historique Internet, documents ou autres fichiers pertinents pour des crimes tels que assassiner , kidnappent, la fraude et le trafic de drogue. Ce n'est pas seulement le contenu des e-mails, documents et autres fichiers qui peuvent être d'intérêt pour les chercheurs mais aussi les «méta-données» [3] associée à ces fichiers. Un examen des ordinateurs peut révéler si un document est apparue sur un ordinateur, quand il a été édité, quand il a été sauvegardé ou imprimé et l'utilisateur qui a réalisé ces actions.
Plus récemment, les organisations commerciales ont utilisé l'informatique judiciaire à leur avantage dans une variété de cas tels que;
Le vol de propriété intellectuelle
L'espionnage industriel
Conflits du travail
Enquêtes sur les fraudes
Forgeries
Problèmes matrimoniaux
Enquêtes sur les faillites
Courriel inapproprié et l'utilisation d'Internet dans le lieu de travail
La conformité réglementaire
Directives
Pour preuve soit recevable, il doit être fiable et ne porte pas préjudice, ce qui signifie que toutes les étapes de cette recevabilité processus devrait être à la pointe de l'esprit d'un ordinateur légiste examinateur. Un ensemble de directives qui a été largement acceptée pour l'aider à cela est l'Association des chefs de police Good Practice Guide for Computer preuve électronique ou le Guide Basé ACPO pour faire court. Bien que le Guide est destiné à l'ACPO application la loi-Unis Royaume-ses grands principes sont applicables à toutes informatique judiciaire, quelle que soit législature. Les quatre grands principes de ce guide ont été reproduits ci-dessous (avec des références à l'application des lois supprimés):
Aucune action ne doit modifier les données détenues sur un ordinateur ou des supports de stockage qui peuvent ensuite être invoquée dans la cour.
Dans des circonstances où une personne estime qu'il est nécessaire d'accéder aux données d'origine a tenu sur un ordinateur ou des supports de stockage, cette personne doit être compétente pour le faire et être capable de donner des preuves expliquant la pertinence et les implications de leurs actions.
Une piste de vérification ou un autre enregistrement de tous les procédés appliqués à l'ordinateur basé sur des preuves électroniques doivent être créés et préservés. Une tierce partie indépendante devrait être en mesure d'examiner ces processus et obtenir le même résultat.
La personne en charge de l'enquête a la responsabilité globale de veiller à ce que la loi et ces principes sont respectés.
En résumé, aucun changement ne doit être faite à l'original, toutefois si l'accès / modifications sont nécessaires, l'examinateur doit savoir ce qu'ils font et à enregistrer leurs actions.
L'acquisition en direct
Principe 2 ci-dessus peut se poser la question: Dans quelle situation serait des modifications à l'ordinateur d'un suspect par un examinateur en informatique judiciaire soit nécessaire? Traditionnellement, l'ordinateur médecin légiste serait de faire une copie (ou acquérir) des informations à partir d'un dispositif qui est mis hors tension. Une écriture-bloquant [4] serait utilisé pour faire un peu exacte pour copie bit [5] du support de stockage d'origine. L'examinateur de travail, puis à partir de cette copie, en laissant l'original manifestement inchangées.
Cependant, parfois il n'est pas possible ou souhaitable de passer d'un ordinateur hors tension. Il ne peut être possible de passer d'un ordinateur hors si cela se traduirait par des pertes financières ou d'autres considérables pour le propriétaire. Il peut ne pas être souhaitable de faire basculer un ordinateur hors tension si cela signifie que la preuve potentiellement précieux peut être perdu. Dans ces deux circonstances, l'examinateur en informatique judiciaire serait nécessaire de procéder à une «acquisition de vivre» qui impliquerait l'exécution d'un petit programme sur l'ordinateur suspect afin de copier (ou acquérir) les données sur le disque dur de l'examinateur.
En exécutant un tel programme et attachant un disque de destination pour l'ordinateur suspect, l'examinateur faire des changements et / ou des ajouts à l'état de votre ordinateur, qui n'étaient pas présents avant ses actions. Ces actions resteraient recevables pour autant que l'examinateur a enregistré leurs actions, était conscient de leur impact et a été en mesure d'expliquer leurs actions.
Étapes d'un examen
Aux fins du présent article, le processus de l'examen des ordinateurs a été divisé en six étapes. Bien qu'ils soient présentés dans leur ordre chronologique d'habitude, il est nécessaire lors d'un examen pour être flexible. Par exemple, pendant la phase d'analyse de l'examinateur peut trouver un nouveau chef de file qui justifierait ordinateurs étant en outre examiné et signifierait un retour à la phase d'évaluation.
Readiness
Préparation médico-légale est une étape importante et parfois négligée dans le processus d'examen. Dans la criminalistique informatique commerciale, il peut inclure l'éducation des clients sur la préparation du système, par exemple, examens médico-légaux fournira des preuves plus solides, si un serveur ou un ordinateur intégré dans l'audit et des systèmes d'exploitation sont tous sous tension. Pour les examinateurs il ya de nombreux domaines où l'organisation préalable peut aider, y compris la formation, des essais et des vérifications régulières des logiciels et du matériel, la familiarité avec la législation, traitant des questions inattendues (par exemple, quoi faire si la pornographie enfantine est présente pendant un travail commercial) et en veillant que votre kit d'acquisition sur le site est complet et en ordre de marche.
Évaluation
L'étape d'évaluation comprend la réception des instructions claires, une analyse des risques et la répartition des rôles et des ressources. L'analyse des risques pour l'application des lois peuvent comprendre une évaluation de la probabilité de menace physique sur la saisie des biens d'un suspect et la meilleure façon d'y faire face. Les organisations commerciales doivent également être conscients des questions de santé et de sécurité, tandis que leur évaluation couvrirait également les risques de réputation et financière sur l'acceptation d'un projet particulier.
Collection
La partie principale du stade de la collecte, l'acquisition, a été présenté ci-dessus. Si l'acquisition est d'être réalisées sur place plutôt que dans un laboratoire de criminalistique informatique, puis ce stade comprennent l'identification, la sécurisation et à documenter la scène. Entretiens ou réunions avec le personnel qui peuvent détenir des informations qui pourraient être pertinents à l'examen (qui pourrait inclure les utilisateurs finaux de l'ordinateur, et le gestionnaire et la personne chargée de fournir des services informatiques) devrait normalement être effectuée à ce stade. Le 'ensachage et le marquage «piste de vérification devrait commencer ici par l'étanchéité de tout matériel unique, sacs à témoin. Il faut également être donnée de façon sûre et sécuritaire le transport du matériel au laboratoire l'examinateur.
Analyse
Analyse dépend des spécificités de chaque travail. L'examinateur fournit habituellement rétroaction au client lors de l'analyse et de ce dialogue de l'analyse peut prendre un chemin différent ou être réduit à des domaines spécifiques. L'analyse doit être précise, approfondie, impartiale, a enregistré, reproductibles et terminé dans les échelles de temps disponible et les ressources allouées. Il existe des outils disponibles pour une myriade d'analyse informatique judiciaire. Il est de notre avis que l'examinateur doit utiliser n'importe quel outil ils se sentent à l'aise avec tant qu'ils peuvent justifier leur choix. Les principales exigences d'un outil informatique légale, c'est qu'il fait ce qu'il est censé faire et la seule façon pour les examinateurs pour être sûr de cela est pour eux de tester et d'étalonner régulièrement les outils qu'ils utilisent avant l'analyse a lieu. Double-outil de vérification peut confirmer l'intégrité des résultats en cours d'analyse (si avec l'outil «A» de l'examinateur trouve 'X' artefact à 'Y' emplacement, puis 'b' outil devrait reproduire ces résultats.)
Présentation
Cette étape implique généralement l'examinateur de produire un rapport structuré sur leurs résultats, abordant les points dans les instructions initiales ainsi que toutes les instructions suivantes. Il serait également couvrir toute autre information que l'examinateur jugera utiles à l'enquête. Le rapport doit être rédigé avec le lecteur final à l'esprit; dans de nombreux cas le lecteur du rapport seront non-techniques, donc la terminologie devrait reconnaître ce fait. L'examinateur doit aussi être prêt à participer à des réunions ou des conférences téléphoniques pour discuter et élaborer le rapport.
Revue
Avec la phase de préparation, l'étape de l'examen est souvent négligé ou ignoré. Cela peut être dû à la perception des coûts de faire des travaux qui ne sont pas facturables, ou la nécessité de «passer à la tâche suivante. Cependant, une étape de l'examen incorporé dans chaque examen peut aider à économiser de l'argent et augmenter le niveau de qualité en faisant des examens futurs plus efficace et le temps effectif. Un examen d'un examen peut être simple, rapide et peut commencer pendant l'une des étapes ci-dessus. Il peut comprendre une base "ce qui s'est passé et comment cela peut-il être amélioré» et un «ce qui s'est bien déroulée et comment peut-il être incorporé dans les futurs examens. Commentaires de la partie donnant les instructions doivent également être recherchées. Toute leçons tirées de cette étape devrait être appliquée à l'examen suivant et introduit dans la phase de préparation.
Problèmes auxquels sont confrontés l'informatique judiciaire
Les enjeux de l'informatique judiciaire examinateurs peuvent être décomposés en trois grandes catégories: technique, juridique et administratif.
Cryptage - Les fichiers cryptés ou des disques durs peut être impossible pour les enquêteurs de vue sans la bonne clé ou mot de passe. Les examinateurs doivent considérer que la clé ou mot de passe peuvent être stockés ailleurs sur l'ordinateur ou sur un autre ordinateur que le suspect a eu accès. Il pourrait également résider dans la mémoire volatile d'un ordinateur (connu sous le nom de RAM [6] qui est habituellement perdue sur l'ordinateur de fermeture; une autre raison d'envisager d'utiliser des techniques d'acquisition vivre comme décrit ci-dessus.
L'augmentation de l'espace de rangement - support de stockage détient des quantités toujours plus grandes de données qui pour l'examinateur signifie que l'analyse de leurs ordinateurs ont besoin d'avoir une puissance de traitement suffisante et de stockage disponible pour traiter efficacement la recherche et l'analyse d'énormes quantités de données.
Nouvelles technologies - informatique est un domaine en constante évolution, avec de nouveaux matériels, logiciels et systèmes d'exploitation étant constamment produites. Pas un seul ordinateur médecin légiste peut être un expert dans tous les domaines, mais ils peuvent souvent être prévu afin d'analyser quelque chose dont ils n'ont pas traité avant. Pour faire face à cette situation, l'examinateur doit être préparé et capable de tester et expérimenter avec le comportement des nouvelles technologies. Réseautage et partage des connaissances avec les examinateurs autre ordinateur légiste est également très utile à cet égard comme il est probable que quelqu'un d'autre peut-être déjà rencontré le même problème.
Anti-forensics - Anti-forensics est la pratique de tenter de déjouer l'analyse informatique judiciaire. Cela peut inclure le cryptage, l'écriture plus de données pour les rendre irrécupérables, la modification des fichiers "meta-données et l'obscurcissement de fichiers (fichiers déguiser). Comme ci-dessus avec le cryptage, la preuve que de telles méthodes ont été utilisées peuvent être stockés ailleurs sur l'ordinateur ou sur un autre ordinateur que le suspect a eu accès. Dans notre expérience, il est très rare de voir des anti-forensics outils utilisés correctement et assez souvent pour totalement obscure soit leur présence ou la présence de la preuve qu'ils ont été utilisés pour cacher.
Les questions juridiques
Les arguments juridiques peuvent confondre ou distraire les conclusions d'un examinateur de l'ordinateur. Un exemple serait ici le "cheval de Troie de la défense». Un cheval de Troie est un morceau de code informatique déguisé en quelque chose de bénin mais qui a un but caché et malveillantes. Chevaux de Troie ont de nombreux usages, et notamment d'enregistrement des frappes [7], le téléchargement de fichiers et l'installation de virus. Un avocat peut être en mesure de faire valoir que les actions sur un ordinateur n'ont pas été effectués par un utilisateur, mais ont été automatisées par un Trojan insu de l'utilisateur; une telle défense Troie a été utilisé avec succès, même si aucune trace d'un Troie ou autre code malveillant était trouvés sur l'ordinateur du suspect. Dans de tels cas, un avocat compétent adverse, fourni avec la preuve d'un analyste en informatique compétents médico-légale, devrait être en mesure de rejeter un tel argument.
Normes acceptées - Il ya une pléthore de normes et de directives dans la criminalistique informatique, dont peu semblent être universellement accepté. Cela est dû à un certain nombre de raisons, y compris les organismes de normalisation étant lié aux législations particulier, les normes étant destinées soit à l'application des lois ou la criminalistique commerciaux, mais pas à la fois, les auteurs de ces normes ne sont pas acceptés par leurs pairs, ou à haute frais d'adhésion dissuader les praticiens de participer.
L'aptitude à la pratique - Dans de nombreuses juridictions il n'existe aucun organisme de qualification pour vérifier la compétence et l'intégrité des professionnels de preuves informatiques. Dans de tels cas n'importe qui peut se présenter comme un expert en informatique judiciaire, qui peut aboutir à des examens d'informatique légale de qualité douteuse et d'une vision négative de la profession dans son ensemble.
Ressources et autres lectures
Il ne semble pas être une grande quantité de matériau de couverture de preuves informatiques, qui s'adresse à un lectorat non-techniques. Cependant les liens suivants à des liens au bas de cette page peut s'avérer d'intérêt se révéler d'intérêt:
Glossaire
1. Piratage: la modification d'un ordinateur de façon qui n'était pas initialement prévu pour bénéficier des objectifs du pirate.
2. Attaque de déni de service: une tentative pour empêcher les utilisateurs légitimes d'un système informatique d'avoir accès aux informations de ce système ou des services.
3. Les méta-données: à un niveau de base de méta-données sont des données sur les données. Il peut être incorporé dans des fichiers ou stockées en externe dans un fichier séparé et peuvent contenir des informations sur l'auteur du fichier, format, date de création et ainsi de suite.
4. Ecrire bloqueur: un dispositif matériel ou logiciel qui empêche les données d'être modifié ou ajouté le support de stockage à l'étude.
5. Copie bit: bit est une contraction de l'expression «binary digit» et est l'unité fondamentale de l'informatique. Une copie bit se réfère à une copie séquentielle de chaque bit sur un support de stockage, qui comprend les zones du milieu «invisible» à l'utilisateur.
6. RAM: Random Access Memory. RAM est l'espace de travail temporaire d'un ordinateur et est volatile, ce qui signifie le contenu est perdu lorsque l'ordinateur est hors tension.
7. Clés d'enregistrement: l'enregistrement des entrées au clavier donnant la possibilité de lire les mots de passe saisi par l'utilisateur, les courriels et autres informations confidentielles.
Source de l'article: http://EzineArticles.com/6424247
L'informatique judiciaire est la pratique de collecte, d'analyse et de reporting sur l'information numérique d'une manière qui est légalement recevable. Il peut être utilisé dans la détection et la prévention de la criminalité et dans tout litige où la preuve est stocké numériquement. L'informatique judiciaire a les étapes d'examen comparable à d'autres disciplines médico-légales et les visages des problèmes similaires.
A propos de ce guide
Ce guide traite de preuves informatiques à partir d'un point de vue neutre. Il n'est pas liée à la législation particulière ou destiné à promouvoir une entreprise ou un produit particulier et n'est pas écrit en biais d'application de la loi soit ou la criminalistique informatique commercial. Il est destiné à un public non technique et offre une vue de haut niveau de preuves informatiques. Ce guide utilise le terme «ordinateur», mais les concepts s'appliquent à tout appareil capable de stocker des informations numériques. Lorsque ces méthodologies ont été mentionnés, ils sont fournis à titre indicatif et ne constituent pas des recommandations ou des conseils. Copie et publication de tout ou partie de cet article est autorisée uniquement selon les termes de la licence Creative Commons - Paternité licence non commerciale 3.0
Utilise de la criminalistique informatique
Il ya quelques domaines de la criminalité ou de contestation, où l'informatique judiciaire ne peut être appliquée. Organismes d'application de la loi ont été parmi les premiers utilisateurs de la plus lourde et de l'informatique judiciaire et par conséquent ont souvent été à la pointe des développements dans le domaine. Les ordinateurs peuvent constituer une «scène d'un crime», par exemple avec de piratage [1] ou des attaques par déni de service [2] ou ils peuvent tenir la preuve sous forme d'e-mails, l'historique Internet, documents ou autres fichiers pertinents pour des crimes tels que assassiner , kidnappent, la fraude et le trafic de drogue. Ce n'est pas seulement le contenu des e-mails, documents et autres fichiers qui peuvent être d'intérêt pour les chercheurs mais aussi les «méta-données» [3] associée à ces fichiers. Un examen des ordinateurs peut révéler si un document est apparue sur un ordinateur, quand il a été édité, quand il a été sauvegardé ou imprimé et l'utilisateur qui a réalisé ces actions.
Plus récemment, les organisations commerciales ont utilisé l'informatique judiciaire à leur avantage dans une variété de cas tels que;
Le vol de propriété intellectuelle
L'espionnage industriel
Conflits du travail
Enquêtes sur les fraudes
Forgeries
Problèmes matrimoniaux
Enquêtes sur les faillites
Courriel inapproprié et l'utilisation d'Internet dans le lieu de travail
La conformité réglementaire
Directives
Pour preuve soit recevable, il doit être fiable et ne porte pas préjudice, ce qui signifie que toutes les étapes de cette recevabilité processus devrait être à la pointe de l'esprit d'un ordinateur légiste examinateur. Un ensemble de directives qui a été largement acceptée pour l'aider à cela est l'Association des chefs de police Good Practice Guide for Computer preuve électronique ou le Guide Basé ACPO pour faire court. Bien que le Guide est destiné à l'ACPO application la loi-Unis Royaume-ses grands principes sont applicables à toutes informatique judiciaire, quelle que soit législature. Les quatre grands principes de ce guide ont été reproduits ci-dessous (avec des références à l'application des lois supprimés):
Aucune action ne doit modifier les données détenues sur un ordinateur ou des supports de stockage qui peuvent ensuite être invoquée dans la cour.
Dans des circonstances où une personne estime qu'il est nécessaire d'accéder aux données d'origine a tenu sur un ordinateur ou des supports de stockage, cette personne doit être compétente pour le faire et être capable de donner des preuves expliquant la pertinence et les implications de leurs actions.
Une piste de vérification ou un autre enregistrement de tous les procédés appliqués à l'ordinateur basé sur des preuves électroniques doivent être créés et préservés. Une tierce partie indépendante devrait être en mesure d'examiner ces processus et obtenir le même résultat.
La personne en charge de l'enquête a la responsabilité globale de veiller à ce que la loi et ces principes sont respectés.
En résumé, aucun changement ne doit être faite à l'original, toutefois si l'accès / modifications sont nécessaires, l'examinateur doit savoir ce qu'ils font et à enregistrer leurs actions.
L'acquisition en direct
Principe 2 ci-dessus peut se poser la question: Dans quelle situation serait des modifications à l'ordinateur d'un suspect par un examinateur en informatique judiciaire soit nécessaire? Traditionnellement, l'ordinateur médecin légiste serait de faire une copie (ou acquérir) des informations à partir d'un dispositif qui est mis hors tension. Une écriture-bloquant [4] serait utilisé pour faire un peu exacte pour copie bit [5] du support de stockage d'origine. L'examinateur de travail, puis à partir de cette copie, en laissant l'original manifestement inchangées.
Cependant, parfois il n'est pas possible ou souhaitable de passer d'un ordinateur hors tension. Il ne peut être possible de passer d'un ordinateur hors si cela se traduirait par des pertes financières ou d'autres considérables pour le propriétaire. Il peut ne pas être souhaitable de faire basculer un ordinateur hors tension si cela signifie que la preuve potentiellement précieux peut être perdu. Dans ces deux circonstances, l'examinateur en informatique judiciaire serait nécessaire de procéder à une «acquisition de vivre» qui impliquerait l'exécution d'un petit programme sur l'ordinateur suspect afin de copier (ou acquérir) les données sur le disque dur de l'examinateur.
En exécutant un tel programme et attachant un disque de destination pour l'ordinateur suspect, l'examinateur faire des changements et / ou des ajouts à l'état de votre ordinateur, qui n'étaient pas présents avant ses actions. Ces actions resteraient recevables pour autant que l'examinateur a enregistré leurs actions, était conscient de leur impact et a été en mesure d'expliquer leurs actions.
Étapes d'un examen
Aux fins du présent article, le processus de l'examen des ordinateurs a été divisé en six étapes. Bien qu'ils soient présentés dans leur ordre chronologique d'habitude, il est nécessaire lors d'un examen pour être flexible. Par exemple, pendant la phase d'analyse de l'examinateur peut trouver un nouveau chef de file qui justifierait ordinateurs étant en outre examiné et signifierait un retour à la phase d'évaluation.
Readiness
Préparation médico-légale est une étape importante et parfois négligée dans le processus d'examen. Dans la criminalistique informatique commerciale, il peut inclure l'éducation des clients sur la préparation du système, par exemple, examens médico-légaux fournira des preuves plus solides, si un serveur ou un ordinateur intégré dans l'audit et des systèmes d'exploitation sont tous sous tension. Pour les examinateurs il ya de nombreux domaines où l'organisation préalable peut aider, y compris la formation, des essais et des vérifications régulières des logiciels et du matériel, la familiarité avec la législation, traitant des questions inattendues (par exemple, quoi faire si la pornographie enfantine est présente pendant un travail commercial) et en veillant que votre kit d'acquisition sur le site est complet et en ordre de marche.
Évaluation
L'étape d'évaluation comprend la réception des instructions claires, une analyse des risques et la répartition des rôles et des ressources. L'analyse des risques pour l'application des lois peuvent comprendre une évaluation de la probabilité de menace physique sur la saisie des biens d'un suspect et la meilleure façon d'y faire face. Les organisations commerciales doivent également être conscients des questions de santé et de sécurité, tandis que leur évaluation couvrirait également les risques de réputation et financière sur l'acceptation d'un projet particulier.
Collection
La partie principale du stade de la collecte, l'acquisition, a été présenté ci-dessus. Si l'acquisition est d'être réalisées sur place plutôt que dans un laboratoire de criminalistique informatique, puis ce stade comprennent l'identification, la sécurisation et à documenter la scène. Entretiens ou réunions avec le personnel qui peuvent détenir des informations qui pourraient être pertinents à l'examen (qui pourrait inclure les utilisateurs finaux de l'ordinateur, et le gestionnaire et la personne chargée de fournir des services informatiques) devrait normalement être effectuée à ce stade. Le 'ensachage et le marquage «piste de vérification devrait commencer ici par l'étanchéité de tout matériel unique, sacs à témoin. Il faut également être donnée de façon sûre et sécuritaire le transport du matériel au laboratoire l'examinateur.
Analyse
Analyse dépend des spécificités de chaque travail. L'examinateur fournit habituellement rétroaction au client lors de l'analyse et de ce dialogue de l'analyse peut prendre un chemin différent ou être réduit à des domaines spécifiques. L'analyse doit être précise, approfondie, impartiale, a enregistré, reproductibles et terminé dans les échelles de temps disponible et les ressources allouées. Il existe des outils disponibles pour une myriade d'analyse informatique judiciaire. Il est de notre avis que l'examinateur doit utiliser n'importe quel outil ils se sentent à l'aise avec tant qu'ils peuvent justifier leur choix. Les principales exigences d'un outil informatique légale, c'est qu'il fait ce qu'il est censé faire et la seule façon pour les examinateurs pour être sûr de cela est pour eux de tester et d'étalonner régulièrement les outils qu'ils utilisent avant l'analyse a lieu. Double-outil de vérification peut confirmer l'intégrité des résultats en cours d'analyse (si avec l'outil «A» de l'examinateur trouve 'X' artefact à 'Y' emplacement, puis 'b' outil devrait reproduire ces résultats.)
Présentation
Cette étape implique généralement l'examinateur de produire un rapport structuré sur leurs résultats, abordant les points dans les instructions initiales ainsi que toutes les instructions suivantes. Il serait également couvrir toute autre information que l'examinateur jugera utiles à l'enquête. Le rapport doit être rédigé avec le lecteur final à l'esprit; dans de nombreux cas le lecteur du rapport seront non-techniques, donc la terminologie devrait reconnaître ce fait. L'examinateur doit aussi être prêt à participer à des réunions ou des conférences téléphoniques pour discuter et élaborer le rapport.
Revue
Avec la phase de préparation, l'étape de l'examen est souvent négligé ou ignoré. Cela peut être dû à la perception des coûts de faire des travaux qui ne sont pas facturables, ou la nécessité de «passer à la tâche suivante. Cependant, une étape de l'examen incorporé dans chaque examen peut aider à économiser de l'argent et augmenter le niveau de qualité en faisant des examens futurs plus efficace et le temps effectif. Un examen d'un examen peut être simple, rapide et peut commencer pendant l'une des étapes ci-dessus. Il peut comprendre une base "ce qui s'est passé et comment cela peut-il être amélioré» et un «ce qui s'est bien déroulée et comment peut-il être incorporé dans les futurs examens. Commentaires de la partie donnant les instructions doivent également être recherchées. Toute leçons tirées de cette étape devrait être appliquée à l'examen suivant et introduit dans la phase de préparation.
Problèmes auxquels sont confrontés l'informatique judiciaire
Les enjeux de l'informatique judiciaire examinateurs peuvent être décomposés en trois grandes catégories: technique, juridique et administratif.
Cryptage - Les fichiers cryptés ou des disques durs peut être impossible pour les enquêteurs de vue sans la bonne clé ou mot de passe. Les examinateurs doivent considérer que la clé ou mot de passe peuvent être stockés ailleurs sur l'ordinateur ou sur un autre ordinateur que le suspect a eu accès. Il pourrait également résider dans la mémoire volatile d'un ordinateur (connu sous le nom de RAM [6] qui est habituellement perdue sur l'ordinateur de fermeture; une autre raison d'envisager d'utiliser des techniques d'acquisition vivre comme décrit ci-dessus.
L'augmentation de l'espace de rangement - support de stockage détient des quantités toujours plus grandes de données qui pour l'examinateur signifie que l'analyse de leurs ordinateurs ont besoin d'avoir une puissance de traitement suffisante et de stockage disponible pour traiter efficacement la recherche et l'analyse d'énormes quantités de données.
Nouvelles technologies - informatique est un domaine en constante évolution, avec de nouveaux matériels, logiciels et systèmes d'exploitation étant constamment produites. Pas un seul ordinateur médecin légiste peut être un expert dans tous les domaines, mais ils peuvent souvent être prévu afin d'analyser quelque chose dont ils n'ont pas traité avant. Pour faire face à cette situation, l'examinateur doit être préparé et capable de tester et expérimenter avec le comportement des nouvelles technologies. Réseautage et partage des connaissances avec les examinateurs autre ordinateur légiste est également très utile à cet égard comme il est probable que quelqu'un d'autre peut-être déjà rencontré le même problème.
Anti-forensics - Anti-forensics est la pratique de tenter de déjouer l'analyse informatique judiciaire. Cela peut inclure le cryptage, l'écriture plus de données pour les rendre irrécupérables, la modification des fichiers "meta-données et l'obscurcissement de fichiers (fichiers déguiser). Comme ci-dessus avec le cryptage, la preuve que de telles méthodes ont été utilisées peuvent être stockés ailleurs sur l'ordinateur ou sur un autre ordinateur que le suspect a eu accès. Dans notre expérience, il est très rare de voir des anti-forensics outils utilisés correctement et assez souvent pour totalement obscure soit leur présence ou la présence de la preuve qu'ils ont été utilisés pour cacher.
Les questions juridiques
Les arguments juridiques peuvent confondre ou distraire les conclusions d'un examinateur de l'ordinateur. Un exemple serait ici le "cheval de Troie de la défense». Un cheval de Troie est un morceau de code informatique déguisé en quelque chose de bénin mais qui a un but caché et malveillantes. Chevaux de Troie ont de nombreux usages, et notamment d'enregistrement des frappes [7], le téléchargement de fichiers et l'installation de virus. Un avocat peut être en mesure de faire valoir que les actions sur un ordinateur n'ont pas été effectués par un utilisateur, mais ont été automatisées par un Trojan insu de l'utilisateur; une telle défense Troie a été utilisé avec succès, même si aucune trace d'un Troie ou autre code malveillant était trouvés sur l'ordinateur du suspect. Dans de tels cas, un avocat compétent adverse, fourni avec la preuve d'un analyste en informatique compétents médico-légale, devrait être en mesure de rejeter un tel argument.
Normes acceptées - Il ya une pléthore de normes et de directives dans la criminalistique informatique, dont peu semblent être universellement accepté. Cela est dû à un certain nombre de raisons, y compris les organismes de normalisation étant lié aux législations particulier, les normes étant destinées soit à l'application des lois ou la criminalistique commerciaux, mais pas à la fois, les auteurs de ces normes ne sont pas acceptés par leurs pairs, ou à haute frais d'adhésion dissuader les praticiens de participer.
L'aptitude à la pratique - Dans de nombreuses juridictions il n'existe aucun organisme de qualification pour vérifier la compétence et l'intégrité des professionnels de preuves informatiques. Dans de tels cas n'importe qui peut se présenter comme un expert en informatique judiciaire, qui peut aboutir à des examens d'informatique légale de qualité douteuse et d'une vision négative de la profession dans son ensemble.
Ressources et autres lectures
Il ne semble pas être une grande quantité de matériau de couverture de preuves informatiques, qui s'adresse à un lectorat non-techniques. Cependant les liens suivants à des liens au bas de cette page peut s'avérer d'intérêt se révéler d'intérêt:
Glossaire
1. Piratage: la modification d'un ordinateur de façon qui n'était pas initialement prévu pour bénéficier des objectifs du pirate.
2. Attaque de déni de service: une tentative pour empêcher les utilisateurs légitimes d'un système informatique d'avoir accès aux informations de ce système ou des services.
3. Les méta-données: à un niveau de base de méta-données sont des données sur les données. Il peut être incorporé dans des fichiers ou stockées en externe dans un fichier séparé et peuvent contenir des informations sur l'auteur du fichier, format, date de création et ainsi de suite.
4. Ecrire bloqueur: un dispositif matériel ou logiciel qui empêche les données d'être modifié ou ajouté le support de stockage à l'étude.
5. Copie bit: bit est une contraction de l'expression «binary digit» et est l'unité fondamentale de l'informatique. Une copie bit se réfère à une copie séquentielle de chaque bit sur un support de stockage, qui comprend les zones du milieu «invisible» à l'utilisateur.
6. RAM: Random Access Memory. RAM est l'espace de travail temporaire d'un ordinateur et est volatile, ce qui signifie le contenu est perdu lorsque l'ordinateur est hors tension.
7. Clés d'enregistrement: l'enregistrement des entrées au clavier donnant la possibilité de lire les mots de passe saisi par l'utilisateur, les courriels et autres informations confidentielles.
Source de l'article: http://EzineArticles.com/6424247
0 commentaires:
Enregistrer un commentaire