Sicherheit + Zertifizierung: Computer Forensik und Incident Reponse - Dummies

Computerforensik beinhaltet die Durchführung einer Untersuchung, um festzustellen, was passiert ist, um herauszufinden, wer verantwortlich ist und rechtlich zu sammeln zulässige Beweise für die Verwendung in einem Fall von Computerkriminalität.

Eng verbunden mit, aber deutlich von den Untersuchungen verschieden, ist die Reaktion auf Vorfälle. Der Zweck einer Untersuchung besteht darin, festzustellen, was passiert ist, um festzustellen, wer verantwortlich ist, und um Beweise zu sammeln. Incident Response bestimmt, was passiert ist, enthält und bewertet Schäden und stellt normale Operationen wieder her.

Untersuchungen und Vorfallreaktionen müssen oft gleichzeitig koordiniert und kontrolliert durchgeführt werden, um sicherzustellen, dass die ersten Aktionen beider Aktivitäten keine Beweise zerstören oder die Vermögenswerte der Organisation weiter schädigen. Aus diesem Grund müssen Computer-Incident- (oder Notfall-) Reaktionsteams (CIRT bzw. CERT) ordnungsgemäß ausgebildet und qualifiziert werden, um einen Tatort oder Vorfall unter Beibehaltung von Beweisen zu sichern. Idealerweise schließt der CIRT Personen ein, die die Untersuchung durchführen.

Durchführung von Ermittlungen

Eine Computerkriminalitätsuntersuchung sollte sofort nach der Meldung eines mutmaßlichen Computerkriminalität oder -vorfalls beginnen. Anfänglich sollte jeder Vorfall als eine Computerkriminalitätsuntersuchung behandelt werden, bis eine vorläufige Untersuchung etwas anderes bestimmt. Die allgemeinen Schritte, die im Untersuchungsprozess zu befolgen sind, sind die folgenden:

• Erkennen und enthalten: Die Früherkennung ist entscheidend für eine erfolgreiche Untersuchung. Unglücklicherweise sind passive oder reaktive Detektionstechniken (wie die Überprüfung von Audit Trails und zufällige Entdeckung) normalerweise die Norm bei Computerkriminalität und hinterlassen oft eine kalte Beweisspur. Eindämmung ist wichtig, um weitere Verluste oder Schäden zu minimieren.

• Management benachrichtigen: Das Management muss so schnell wie möglich über eine Untersuchung informiert werden. Das Wissen über die Untersuchung sollte auf so wenige Menschen wie möglich beschränkt sein und auf einer Need-to-Know-Basis basieren. Out-of-Band-Kommunikationsmethoden (persönliche Berichterstattung) sollten verwendet werden, um sicherzustellen, dass sensible Mitteilungen über die Untersuchung nicht abgefangen werden.
• Beginnen Sie mit der Voruntersuchung: Dies ist notwendig, um festzustellen, ob ein Verbrechen tatsächlich stattgefunden hat. Die meisten Vorfälle sind ehrliche Fehler, kein kriminelles Verhalten. Dieser Schritt umfasst

• Überprüfen der Beschwerde oder des Berichts

• Überprüfen von Schäden

• Befragung von Zeugen

• Untersuchen von Protokollen

• Ermitteln weiterer Untersuchungsanforderungen

• Initiieren der Offenlegungsbestimmung: Die erste und am wichtigsten ist es festzustellen, ob die Offenlegung des Verbrechens oder Vorfalls gesetzlich vorgeschrieben ist.Bestimmen Sie als Nächstes, ob eine Offenlegung gewünscht ist. Dies sollte mit einem Public Relations- oder Public Affairs-Mitarbeiter der Organisation abgestimmt werden.
• Führen Sie die Untersuchung durch:

• Identifizieren Sie potenzielle Verdächtige. Dies schließt Insider und Außenstehende in die Organisation ein. Ein Standarddiskriminator, der dabei helfen soll, potenzielle Verdächtige zu ermitteln oder zu eliminieren, ist der MOM-Test: Hatte der Verdächtige das Motiv, die Gelegenheit und die Mittel, um das Verbrechen zu begehen?

• Identifizieren Sie potenzielle Zeugen. Bestimmen Sie, wer interviewt werden soll und wer die Interviews durchführen wird. Achten Sie darauf, potenzielle Verdächtige nicht auf die Untersuchung aufmerksam zu machen. Konzentrieren Sie sich darauf, Fakten, nicht Meinungen, in Zeugenaussagen zu erhalten.

• Bereiten Sie die Suche und den Anfall vor. Dies umfasst die Identifizierung der Arten von Systemen und Beweismaterial, die gesucht oder beschlagnahmt werden sollen, die Benennung und Schulung der Mitglieder des Such- und Ergreifungsteams (CIRT), die Beschaffung und Zustellung geeigneter Durchsuchungsbefehle (falls erforderlich) und die Bestimmung eines potenziellen Risikos für das System. während einer Suche und Beschlagnahme.

• Berichtsergebnisse: Die Ergebnisse der Untersuchung, einschließlich Beweise, sollten der Geschäftsleitung gemeldet und den zuständigen Strafverfolgungsbeamten oder Staatsanwälten übergeben werden.

Beweise

Beweise sind Informationen, die einem Gericht vorgelegt werden, um eine Tatsache zu bestätigen oder zu zerstreuen, die unter Behauptung steht. Ein Fall kann nicht ohne ausreichende Beweise vor Gericht gebracht werden, um den Fall zu unterstützen. Daher ist die korrekte Sammlung von Beweisen eine der wichtigsten und schwierigsten Aufgaben des Ermittlers.

Arten von Beweisen

Quellen von rechtlichen Beweisen, die vor einem Gericht vorgelegt werden können, fallen allgemein in eine von vier Hauptkategorien:

• Direkte Beweise: Dies ist eine mündliche Aussage oder eine schriftliche Erklärung auf der Grundlage von Informationen, die durch die fünf Sinne des Zeugen gesammelt wurden (ein Augenzeugenbericht), die eine bestimmte Tatsache oder ein bestimmtes Problem beweisen oder widerlegen.
• Tatsächliche (oder physische) Beweise: Dies sind materielle Gegenstände aus dem eigentlichen Verbrechen, wie zum Beispiel:

• Werkzeuge und Waffen

• Gestohlene oder beschädigte Gegenstände

• Visuelle oder akustische Überwachungsbänder

Physische Beweise von einem Computerkriminalität sind selten verfügbar.
• Dokumentarischer Beweis: Die meisten Beweise, die in einem Fall von Computerkriminalität vorgelegt werden, sind dokumentarische Beweise wie die folgenden;

• Originale und Kopien von Geschäftsdatensätzen

• Computergenerierte und computergespeicherte Datensätze

• Handbücher

• Richtlinien

• Standards

• Prozeduren

• Protokolldateien > Geschäftsunterlagen, einschließlich Computeraufzeichnungen, werden von den meisten Gerichten traditionell als Hörensagen angesehen, da diese Aufzeichnungen nicht als genau und zuverlässig nachgewiesen werden können. Eines der wichtigsten Hindernisse für einen Staatsanwalt bei der Überwindung von Computerkriminalität ist die Aufnahme von Computerdaten als Beweismaterial.

Demonstrativer Beweis.
• Verwendet, um das Verständnis des Gerichts für einen Fall zu unterstützen. Die Meinungen werden als Beweismittel betrachtet und können entweder •

sein. Experte: Basierend auf persönlichem Sachverstand und Fakten •

Nonexpert: Nur auf Fakten basiert Andere Beispiele für demonstrative Beweise enthalten Modelle, Simulationen, Diagramme und Illustrationen.

Andere Arten von Beweisen, die in mindestens eine der vorhergehenden Hauptkategorien fallen können, sind:

Beste Beweise:

• Ursprüngliche, unveränderte Beweise. Vor Gericht wird dies gegenüber sekundären Beweisen bevorzugt. Daten, die von einem Computer extrahiert werden, erfüllen die beste Beweisregel und können normalerweise als solche in Gerichtsverfahren eingeführt werden.
Sekundäre Evidenz:
• Ein Duplikat oder eine Kopie von Evidenz, wie • Band-Backup

• Screen-Capture

• Photographie

Korrektives Beweismaterial:

• Unterstützt oder belegt andere vorgelegte Beweise in einem Fall. Schlüssiger Beweis:
• Unbestreitbar und unwiderlegbar: die rauchende Pistole. Indizienbeweis:
• Relevante Tatsachen, die nicht direkt oder endgültig mit anderen Ereignissen in Verbindung gebracht werden können, über die jedoch eine vernünftige Schlussfolgerung gezogen werden kann. Zulässigkeit von Beweisen

Da computergenerierte Beweise oft leicht manipuliert, verändert oder verfälscht werden können, und weil es nicht einfach und allgemein verstanden wird, wird diese Art von Beweisen normalerweise vor Gericht als verdächtig angesehen.

Um zulässig zu sein, muss der Beweis vorliegen:

Relevant:

• Es muss dazu dienen, Tatsachen zu beweisen oder zu widerlegen, die für den Fall relevant und wesentlich sind. Zuverlässig:
• Es muss vernünftig bewiesen werden, dass das, was als Beweis vorgelegt wird, das ist, was ursprünglich gesammelt wurde und dass der Beweis selbst zuverlässig ist. Dies wird zum Teil durch eine angemessene Beweiserledigung und die Kette der Verwahrung erreicht. Rechtlich zulässig:
• Es muss mit rechtlichen Mitteln erworben werden. Beweise, die nicht gesetzlich zulässig sind, können Beweise enthalten, die durch diese Mittel erlangt wurden: •

Illegale Durchsuchung und Beschlagnahme: Strafverfolgungspersonal muss eine vorherige gerichtliche Verfügung einholen; Personen, die nicht der Strafverfolgung unterliegen, wie etwa ein Vorgesetzter oder Systemadministrator, können unter bestimmten Umständen jedoch eine autorisierte Suche durchführen. •

Illegale Abhören oder Telefonabgriffe: Jeder, der Abhör- oder Telefonabhörvorgänge durchführt, muss eine vorherige gerichtliche Verfügung einholen. •

Gefangennahme oder Verlockung: Verhaftung ermutigt jemanden, ein Verbrechen zu begehen, das die Person möglicherweise nicht beabsichtigt hat. Umgekehrt lockt Verlockung jemanden zu einem Beweis (ein Honigtopf, wenn man so will), nachdem diese Person bereits ein Verbrechen begangen hat. Verführung ist nicht unbedingt illegal, sondern wirft ethische Argumente auf und ist möglicherweise vor Gericht nicht zulässig. •

Zwang: Zwangsweises Zeugnis oder Geständnisse sind rechtlich nicht zulässig. •

Unbefugte oder unsachgemäße Überwachung: Die aktive Überwachung muss ordnungsgemäß autorisiert und in standardisierter Weise durchgeführt werden. Benutzer müssen darüber informiert werden, dass sie überwacht werden können.