Security + Zertifizierung: Computer-Forensik und Incident Reponse

Computer-Forensik

beinhaltet eine Untersuchung durch, um festzustellen, was passiert ist, um herauszufinden, wer verantwortlich ist und rechtlich zulässige Beweise für die Verwendung in einem Computerkriminalität Fall zu sammeln.

Eng verwandt mit, aber deutlich von Untersuchungen, ist die Reaktion auf Vorfälle. Der Zweck einer Untersuchung ist, um zu bestimmen, was passiert ist, um zu bestimmen, wer dafür verantwortlich ist, und Beweise zu sammeln. Incident Response bestimmt, was passiert ist, enthält und Schäden bewertet, und den normalen Betrieb wieder her.

Die Untersuchungen und die Reaktion auf Vorfälle müssen oft gleichzeitig in einem gut koordinierten und kontrollierten Art und Weise durchgeführt werden, um sicherzustellen, dass die ersten Maßnahmen der beiden Aktivität nicht zerstören Beweise oder weiteren Schaden verursachen auf das Vermögen der Organisation. Aus diesem Grund, Computer Incident (oder Emergency) Response Teams (CIRT oder CERT bezeichnet) müssen einen Tatort oder Vorfall zu sichern, während Beweissicherung richtig geschult und qualifiziert werden. Idealerweise umfasst das CIRT Personen, die die Untersuchung durchführen.

Durchführung von Untersuchungen

Ein Computerkriminalität Untersuchung sollte unmittelbar nach dem Bericht eines angeblichen Computerkriminalität oder Vorfall beginnen. Zunächst sollte jeder Vorfall als Computerkriminalität Untersuchung behandelt werden, bis eine vorläufige Untersuchung nichts anderes bestimmt. Die allgemeinen Schritte in dem Untersuchungsverfahren befolgt werden, sind die folgenden:

  • Erkennen und enthalten: Früherkennung ist entscheidend für eine erfolgreiche Untersuchung. Leider sind passive oder reaktive Detektionstechniken (wie zB die Überprüfung der Audit-Trails und zufällige Entdeckung) in der Regel die Norm in der Computer-Verbrechen und oft einen kalten Beweis Spur. Containment ist wichtig, einen weiteren Verlust oder Schaden zu minimieren.
  • Benachrichtigen Management: Das Management muss so bald wie möglich über jede Untersuchung unterrichtet. Die Kenntnis der Untersuchung sollten so wenige Personen wie möglich begrenzt werden und auf einem Need-to-know-Prinzip sein sollte. Out-of-Band-Kommunikationsmethoden (persönlich Reporting) verwendet werden soll, dass sensible Kommunikation über die Untersuchung zu gewährleisten, werden nicht abgefangen.
  • Beginnen Voruntersuchung: Dies ist notwendig, um zu bestimmen, ob ein Verbrechen tatsächlich stattgefunden hat. Die meisten Vorfälle sind ehrliche Fehler, nicht kriminelles Verhalten. Dieser Schritt umfasst

# 8226; Die Überprüfung der Beschwerde oder Bericht

# 8226; inspizieren Schaden

# 8226; Befragung von Zeugen

# 8226; Prüfungsprotokolle

# 8226; Die Identifizierung weiterer Untersuchungsbedarf

  • Initiieren Offenlegung Bestimmung: Die erste und wichtigste Sache, um zu bestimmen, ob die Offenlegung der Verbrechen oder der Störung ist gesetzlich vorgeschrieben. Als nächstes bestimmen, ob die Veröffentlichung gewünscht wird. Dies sollte mit einer PR oder öffentlichen Angelegenheiten Beamten der Organisation koordiniert werden.
  • Führen Sie die Untersuchung:

# 8226; Identifizieren Sie potenzielle Verdächtige. Dazu gehören Insider und Outsider für die Organisation. Ein Standard-Diskriminator, um festzustellen oder möglichen Verdächtigen zu beseitigen ist der MOM-Test: Hat der Verdächtige haben das Motiv, Gelegenheit, und bedeutet, das Verbrechen zu begehen?

# 8226; Identifizieren Sie potenzielle Zeugen.Bestimmen Sie, wer befragt werden soll, und wer führt die Gespräche. Achten Sie darauf, nicht auf den Erhalt Fakten alle möglichen Verdächtigen zu den investigation- Fokus aufmerksam zu machen, nicht Meinungen, in Zeugenaussagen.

# 8226; Bereiten Sie sich auf Durchsuchung und Beschlagnahme. Dazu gehören auch die Arten von Systemen und Beweise Identifizierung für oder ergriffen durchsucht werden, Benennung und Ausbildung der Durchsuchung und Beschlagnahme Teammitglieder (CIRT), zu erhalten und die richtige Durchsuchungsbefehle dienen (falls erforderlich), und bei einer Durchsuchung potenzielle Risiko für das System zu bestimmen und Anfalls Aufwand.

  • Bericht Ergebnisse der Studie: Die Ergebnisse der Untersuchung, einschließlich des Nachweises, sollte an das Management gemeldet werden, und übergeben, um geeignete Vollzugsbeamte oder Staatsanwälte.

Beweis

Beweis ist es, Informationen in einem Gericht stellte eine Tatsache, die unter Behauptung ist zu bestätigen oder zu zerstreuen. Ein Fall kann nicht vor Gericht ohne ausreichende Beweise dafür vorgelegt werden, um den Fall zu unterstützen. So richtig Beweiserhebung ist eine der wichtigsten und schwierigsten Aufgaben des Prüfers.

Arten von Beweismitteln

Quellen der Rechts Hinweise darauf, dass in einem Gericht vorgelegt werden kann in der Regel fallen in eine von vier Hauptkategorien:

  • Ein direkter Beweis: Dies ist eine mündliche Aussage oder eine schriftliche Erklärung basiert auf Informationen durch das Zeugnis der fünf Sinne gesammelt (ein Augenzeugenbericht), die beweist oder widerlegt eine bestimmte Tatsache oder ein Problem.
  • Real (oder physisch) Beweis: Dies sind greifbare Objekte aus dem eigentlichen Verbrechen, wie zum Beispiel diese:

# 8226; Werkzeuge und Waffen

# 8226; Gestohlene oder beschädigtes Eigentum

# 8226; Visuelle oder akustische Überwachungsbänder

    Physische Beweise von einem Computerkriminalität ist selten zur Verfügung.
  • Die Belege: Die meisten Beweise in einem Computerkriminalität Fall präsentiert Belege darüber vorliegen, wie die folgenden;

# 8226; Originale und Kopien von Geschäftsunterlagen

# 8226; Computer-generierte und im Computer gespeicherten Aufzeichnungen

# 8226; Handbücher

# 8226; Richtlinien

# 8226; Standards

# 8226; Verfahren

# 8226; Protokolldateien

    Geschäftsunterlagen, einschließlich Computeraufzeichnungen, werden traditionell Hörensagen Beweise von den meisten Gerichten berücksichtigt, da diese Aufzeichnungen nicht genau und zuverlässig nachgewiesen werden kann. Eines der größten Hindernisse für einen Staatsanwalt in einem Computerkriminalität Fall zu überwinden, ist die Aufnahme von Computeraufzeichnungen als Beweismittel zu suchen.
  • Demonstrativ Beweise. Verwendet, um das Gericht das Verständnis eines Falles zu unterstützen. Die Meinungen sind demonstrative Beweise betrachtet und kann entweder

# 8226; Experte: Basierend auf persönliches Fachwissen und Fakten

# 8226; Nichtfachmann:nur auf Fakten

    Weitere Beispiele für demonstrative Beweise umfassen Modelle, Simulationen, Diagramme und Abbildungen.

Andere Arten von Beweismitteln, die in mindestens einem der vorangehenden Hauptkategorien fallen kann

  • Bester Beweis:Ursprüngliche, unveränderte Beweise. Vor Gericht wird dies über sekundäre Beweise bevorzugt.
  • Daten von einem Computer extrahiert erfüllt die beste Beweis Regel und in der Regel kann in Gerichtsverfahren als solche eingeführt werden.
  • Sekundäre Beweise: Ein Duplikat oder Kopie von Beweismitteln, wie zum Beispiel

# 8226; Bandsicherung

# 8226; Bildschirm Aufnahme

# 8226; Foto

  • Beweismittel stützt: Unterstützt oder erhärtet andere Beweise in einem Fall dargestellt.
  • Schlüssiger Beweis: Unbestreitbare und unwiderlegbar: die smoking gun.
  • Indizien: Relevante Fakten, die nicht direkt werden können oder endgültig zu anderen Ereignissen verbunden, sondern um die eine vernünftige Schlussfolgerung gemacht werden kann.

Zulässigkeit von Beweismitteln

Da Computer-generierten Belege können oft leicht manipuliert werden, verändert oder manipuliert, und weil es nicht leicht ist und allgemein verstanden wird, wird diese Art von Beweisen in der Regel Verdächtiger in einem Gericht in Betracht gezogen.

Um zulässig zu sein, muss nachgewiesen werden:

  • Relevant: Es muss dazu neigen, Tatsachen zu beweisen oder zu widerlegen, die für den Fall relevant und wesentlich sind.
  • Zuverlässig: Es müssen ausreichend nachgewiesen werden, dass, was als Beweis präsentiert wird, ist, was ursprünglich erhoben wurde und dass der Beweis selbst ist zuverlässig. Dies wird dadurch erreicht, teilweise durch die richtige Umgang mit Datenmaterial und der Produktkette.
  • Gesetzlich zulässig: Es muss mit rechtlichen Mitteln erhalten werden. Der Nachweis, dass nicht gesetzlich zulässig ist durch diese Mittel erlangten Beweismittel können gehören:

# 8226; Illegale Durchsuchung und Beschlagnahme: Mitarbeiter der Strafverfolgungsbehörden müssen vor Gericht auftrags- jedoch nicht der Strafverfolgungsbehörden, wie zum Beispiel ein Supervisor oder Systemadministrator erhalten, kann der Lage sein, eine autorisierte Suche unter bestimmten Umständen durchzuführen.

# 8226; Illegale Abhörgeräte oder Telefon Taps: Jeder Abhörmaßnahmen oder Telefon Taps durchführen, müssen eine vorherige gerichtliche Verfügung erhalten.

# 8226; Verleitung oder Lockung: Verleitung ermutigt jemand ein Verbrechen, das die einzelnen gehabt haben nicht die Absicht zu begehen zu begehen. Umgekehrt, Verführung lockt jemand zu einem gewissen Beweis (ein Honigtopf, wenn man so will) nach, dass einzelne bereits ein Verbrechen begangen. Enticement ist nicht unbedingt illegal, aber tut ethische Argumente erheben und vor Gericht nicht zulässig sein kann.

# 8226; Zwang:Erzwungene Zeugnis oder Bekenntnisse sind nicht gesetzlich zulässig ist.

# 8226; Nicht autorisierte oder unsachgemäße Überwachung: Aktive Überwachung ordnungsgemäß genehmigt und in einem Standard-Manner Benutzer durchgeführt werden müssen, muss benachrichtigt werden, dass sie für die Überwachung unterliegen.

Menü