Segurança + Certificação: Computação Forense e de Incidentes Reponse

computação forense

envolve a realização de uma investigação para determinar o que aconteceu, para descobrir quem é o responsável e para recolher provas legalmente admissíveis para o uso em uma caixa do computador crime.

Intimamente relacionado com, mas distintamente diferente de investigações, é de resposta a incidentes. O propósito de uma investigação é determinar o que aconteceu, para determinar quem é o responsável, e para recolher provas. Resposta a incidentes determina o que aconteceu, contém e avalia danos e restaura as operações normais.

Investigações e resposta a incidentes frequentemente devem ser realizadas simultaneamente de uma forma bem coordenada e controlada para garantir que as ações iniciais de qualquer atividade não destruir provas ou causar mais danos aos ativos da organização. Por esta razão, Computer Incident (ou emergência) Response Teams (CIRT ou CERT, respectivamente) precisam ser devidamente treinado e qualificado para garantir uma cena de crime ou incidente, preservando provas. Idealmente, o CIRT inclui os indivíduos que conduzem a investigação.

realização de investigações

Uma investigação da criminalidade informática deve começar imediatamente após o relatório de um crime de computador alegada ou incidente. Inicialmente, qualquer incidente deve ser tratado como uma investigação da criminalidade informática até que uma investigação preliminar determine o contrário. As etapas gerais a serem seguidas no processo de investigação são as seguintes:

  • Detectar e conter: A detecção precoce é fundamental para uma investigação bem sucedida. Infelizmente, as técnicas de detecção passiva ou reativa (tais como a revisão das trilhas de auditoria e descoberta acidental) são geralmente a norma em crimes de computador e muitas vezes deixam um rastro provas frio. Contenção é essencial para minimizar outras perdas ou danos.
  • Notificar gestão: A administração deve ser notificado de qualquer investigação o mais rapidamente possível. O conhecimento da investigação deve ser limitada a tão poucas pessoas quanto possível e deve ser com base na necessidade de saber. Out-of-band métodos de comunicação (Reporting em pessoa) deve ser usado para assegurar que as comunicações confidenciais sobre a investigação não são interceptados.
  • Comece investigação preliminar: Isso é necessário para determinar se um crime realmente ocorreu. A maioria dos incidentes são erros honestos, não conduz investigação criminal. Este passo inclui

# 8226; Revendo a queixa ou relatório

# 8226; inspecionar danos

# 8226; entrevistar testemunhas

# 8226; examinando os logs

# 8226; Identificar outras necessidades de investigação

  • Iniciado determinação divulgação: A primeira e mais importante coisa a determinar é se a divulgação do crime ou incidente é exigido por lei. Em seguida, determinar se a divulgação for desejado. Este deve ser coordenada com um oficial de relações públicas ou relações públicas da organização.
  • Conduzir a investigação:

# 8226; Identificar potenciais suspeitos. Isso inclui dentro e de fora da organização. Um discriminador padrão para ajudar a determinar ou eliminar potenciais suspeitos é o teste MOM: Será que o suspeito tem o motivo, oportunidade e os meios para cometer o crime?

# 8226; Identificar potenciais testemunhas.Determinar quem deve ser entrevistado e que irão conduzir as entrevistas. Tenha cuidado para não alertar quaisquer suspeitos potenciais para o foco investigation- em fatos obtenção, não opiniões, em depoimentos de testemunhas.

# 8226; Prepare-se para busca e apreensão. Isto inclui a identificação dos tipos de sistemas e provas a ser procurado ou apreendidos, designando e treinar os membros da equipe de busca e apreensão (CIRT), obtendo-se e servindo mandados de busca adequadas (se necessário), e determinar o risco potencial para o sistema durante uma busca e esforço de apreensão.

  • Reportar os resultados: Os resultados da investigação, incluindo provas, devem ser comunicados à administração e entregue a agentes da lei adequadas ou procuradores.

evidência

evidência é a informação apresentada em um tribunal de direito para confirmar ou dissipar um fato que está sob disputa. Um caso não pode ser submetido a julgamento sem provas suficientes para sustentar o caso. Assim, reunindo adequadamente evidência é uma das tarefas mais importantes e mais difíceis do investigador.

Tipos de provas

Fontes de provas legais que podem ser apresentados em um tribunal de direito geralmente caem em uma das quatro categorias principais:

  • A evidência direta: Este é o testemunho oral ou uma declaração por escrito com base em informações recolhidas através da testemunha cinco sentidos (uma testemunha) que prove ou não um fato ou assunto específico.
  • Real (ou física) provas: Estes são objetos tangíveis do crime real, como estes:

# 8226; Ferramentas e armas

# 8226; propriedade roubada ou danificada

# 8226; fitas visuais ou de áudio de vigilância

    provas físicas de um crime de computador raramente está disponível.
  • Evidencia documental: A maioria das evidências apresentadas em uma caixa do computador crime é prova documental, tal como o seguinte;

# 8226; Originais e cópias de registros de negócios

# 8226; geradas por computador e registros armazenados em computador

# 8226; manuais

# 8226; políticas

# 8226; Padrões

# 8226; procedimentos

# 8226; Arquivos de registro

    registros de negócios, incluindo registros de computador, são tradicionalmente consideradas evidências boatos pela maioria dos tribunais porque esses registros não pode ser provada precisas e confiáveis. Um dos obstáculos mais significativos para um promotor de superar em um caso de crime informático está buscando a admissão de registros de computador como prova.
  • evidência demonstrativa. Utilizada para auxiliar o entendimento do tribunal de um caso. Opiniões são consideradas provas demonstrativas e podem ser

# 8226; Especialista: Com base na experiência pessoal e fatos

# 8226; nonexpert:Baseado em fatos única

    Outros exemplos de provas demonstrativas incluem modelos, simulações, gráficos e ilustrações.

Outros tipos de evidência que possam cair em, pelo menos, uma das principais categorias anteriores incluir

  • Melhor evidência:Original, a evidência inalterado. No tribunal, este é preferido sobre provas secundárias.
  • Dados extraídos de um computador satisfaz a melhor regra provas e pode normalmente ser introduzido em processos judiciais como tal.
  • provas secundárias: Um duplicado ou cópia de provas, tais como

# 8226; backup de fita

# 8226; Captura de tela

# 8226; Fotografia

  • evidências mais contundentes: Suporta ou substancia outras provas apresentadas em um caso.
  • Evidencia conclusiva: Indiscutível e irrefutável: a arma fumegante.
  • Evidência circunstancial: fatos relevantes que não podem ser directa ou conclusivamente ligados a outros eventos, mas sobre o qual uma inferência razoável possa ser feita.

Admissibilidade das provas

Porque a evidência gerada por computador muitas vezes pode ser facilmente manipulado, alterado ou adulterado, e porque não é fácil e comumente entendido, este tipo de prova é geralmente considerado suspeito em um tribunal de direito.

Para ser admissível, a prova deve ser:

  • Relevante: Deve tendem a provar ou refutar os fatos que são relevantes e materiais para o caso.
  • Confiável: Deve ser razoavelmente provado que o que é apresentado como evidência é que foram inicialmente recolhidos e que os elementos em si é de confiança. Isto é conseguido, em parte, por meio adequado de tratamento das provas e da cadeia de custódia.
  • Legalmente permitido: Ele deve ser obtido através de meios legais. A prova de que não é legalmente permitido podem incluir provas obtidas por esses meios:

# 8226; busca ilegal e apreensão: agentes da lei deve obter uma ordem- judicial prévia no entanto, pessoal de aplicação da não-lei, como um supervisor ou administrador do sistema, pode ser capaz de realizar uma pesquisa autorizada em algumas circunstâncias.

# 8226; escutas ilegais ou torneiras do telefone: Qualquer realização de escutas telefônicas ou escutas telefônicas deve obter uma ordem judicial prévia.

# 8226; Encarceramento ou sedução: Entrapment incentiva alguém a cometer um crime que o indivíduo pode ter tido a intenção de cometer. Por outro lado, sedução iscas de alguém em relação a algumas provas (um pote de mel, se você) depois que o indivíduo já tenha cometido um crime. Aliciamento não é necessariamente ilegal, mas levanta argumentos éticos e pode não ser admissíveis em tribunal.

# 8226; Coerção:testemunho ou confissões forçadas não são legalmente permitido.

# 8226; monitoramento não autorizado ou impróprio: vigilância activa deve ser devidamente autorizado e realizado em um usuários manner- padrão devem ser notificados para que possam ser objecto de acompanhamento.

menu