Guide du débutant à Computer Forensics

Guide du débutant à Computer Forensics

PresentationL'informatique judiciaire est la pratique de collecte, d'analyse et de reporting sur l'information numérique d'une manière qui soit juridiquement recevable. Il peut être utilisé dans la détection et la prévention du crime et dans tout litige où les preuves sont conservées numériquement. L'informatique judiciaire a les étapes d'examen comparables à d'autres disciplines médico-légaux et fait face à des problèmes similaires.
À propos de ce guideCe guide traite de la criminalistique informatique à partir d'un point de vue neutre. Elle n'est pas liée à une législation particulière ou pour but de promouvoir une entreprise ou un produit particulier et n'est pas écrit en biais soit d'application de la loi ou de la criminalistique informatique commerciale. Il est destiné à un public non technique et offre une vue de haut niveau de la criminalistique informatique. Ce guide utilise le terme «ordinateur», mais les concepts s'appliquent à tout appareil capable de stocker des informations numériques. Où méthodologies ont été mentionnés, ils sont fournis uniquement à titre indicatif et ne constituent pas des recommandations ni des conseils. Copier et publier tout ou partie de cet article est autorisé uniquement sous les termes de la licence Creative Commons - Paternité licence non commerciale 3.0
Les utilisations de l'informatique judiciaireIl ya peu de domaines de la criminalité ou de litige où l'informatique judiciaire ne peut être appliquée. les organismes d'application de la loi ont été parmi les plus anciens et les plus grands utilisateurs de l'informatique judiciaire et par conséquent ont souvent été à la pointe des développements dans le domaine. Les ordinateurs peuvent constituer une «scène de crime», par exemple avec le piratage [1] ou des attaques par déni de service [2] ou ils peuvent détenir des preuves sous forme d'e-mails, l'histoire d'Internet, des documents ou d'autres fichiers pertinents pour des crimes tels que assassiner , l'enlèvement, la fraude et le trafic de drogue. Ce n'est pas seulement le contenu des e-mails, documents et autres fichiers qui peuvent être d'intérêt pour les chercheurs, mais aussi le «méta-données» [3] associée à ces fichiers. Un examen médico-légal de l'ordinateur peut révéler quand un document est apparue sur un ordinateur, quand il a été édité dernièrement, lors de son dernier enregistrement ou imprimé et l'utilisateur qui a réalisé ces actions.
Plus récemment, les organisations commerciales ont utilisé l'informatique judiciaire à leur profit dans une variété de cas tels que;

    Le vol de la propriété intellectuelle
    L'espionnage industriel
    Les litiges du travail
    enquêtes sur la fraude
    Faux
    Questions matrimoniales
    enquêtes sur la faillite
    Email inapproprié et l'utilisation d'Internet sur le lieu de travail
    Respect de la réglementation
Lignes directricesPour preuve soit recevable, il doit être fiable et non préjudiciable, ce qui signifie à toutes les étapes de ce processus recevabilité devrait être à la pointe de l'esprit d'un ordinateur légiste examinateur. Un ensemble de directives qui a été largement acceptée pour aider à ce que l'Association des chefs de police du Guide de bonnes pratiques pour basées sur des preuves électroniques de l'ordinateur ou le Guide ACPO pour faire court. Bien que le Guide ACPO vise à Royaume-Uni application de la loi les grands principes sont applicables à toutes les preuves informatiques dans tout législature. Les quatre grands principes de ce guide ont été reproduits ci-dessous (avec des références à l'application de la loi supprimés):

    Aucune mesure ne devrait modifier des données présentes sur un ordinateur ou support de stockage qui peuvent être ultérieurement invoqués devant les tribunaux.

    Dans les cas où une personne estime qu'il est nécessaire d'accéder aux données originales détenues sur un ordinateur ou support de stockage, cette personne doit être capable de le faire et être en mesure de fournir des preuves expliquant la pertinence et les conséquences de leurs actions.

    Une piste de vérification ou un autre enregistrement de tous les processus appliqués à la preuve électronique assistée par ordinateur devraient être créés et préservés. Une tierce partie indépendante devrait être en mesure d'examiner ces processus et obtenir le même résultat.

    La personne en charge de l'enquête a la responsabilité globale de veiller à ce que la loi et ces principes sont respectés.
En résumé, pas de changements devraient être apportés à l'original, mais si l'accès / modifications sont nécessaires, l'examinateur doit savoir ce qu'ils font et à enregistrer leurs actions.
Vivre acquisitionPrincipe n ° 2 ci-dessus peut soulever la question: Dans quelle situation serait modifications à l'ordinateur d'un suspect par un ordinateur légiste examinateur nécessaire? Traditionnellement, la criminalistique informatique examinateur ferait une copie (ou acquérir) des informations provenant d'un dispositif qui est éteint. Une écriture-bloquant [4] serait utilisé pour faire une copie exacte de bits bit [5] du support de stockage d'origine. L'examinateur ne fonctionnerait alors à partir de cette copie, en laissant l'original manifestement inchangée.
Cependant, parfois, il n'est pas possible ou souhaitable de faire basculer un ordinateur. Il peut ne pas être possible de passer d'un ordinateur hors tension si cela devait occasionner une perte financière ou autre considérable pour le propriétaire. Il n'est pas souhaitable de faire basculer un ordinateur hors tension si cela signifierait que les éléments de preuve potentiellement précieux peut être perdu. Dans ces deux cas, la criminalistique informatique examinateur devra effectuer une «acquisition en direct» qui impliquerait l'exécution d'un petit programme sur l'ordinateur suspect afin de copier (ou acquérir) les données sur le disque dur de l'examinateur.
En exécutant un tel programme et la fixation d'un lecteur de destination à l'ordinateur suspect, l'examinateur apporter des modifications et / ou ajouts à l'état de l'ordinateur qui n'étaient pas présents avant ses actions. Ces actions resteraient recevables pour autant que l'examinateur a enregistré leurs actions, était au courant de leur impact et a été en mesure d'expliquer leurs actions.
Les étapes d'un examenAux fins du présent article, le processus d'examen des ordinateurs a été divisé en six étapes. Bien qu'ils soient présentés dans leur ordre chronologique d'habitude, il est nécessaire lors d'un examen pour être flexible. Par exemple, pendant la phase d'analyse, l'examinateur peut trouver une nouvelle piste qui justifierait d'autres ordinateurs en cours d'examen et qui signifierait un retour à l'étape de l'évaluation.
Bonne volontéPréparation médico-légale est une étape importante et parfois négligée dans le processus d'examen. Dans la criminalistique informatique commerciales, il peut inclure l'éducation des clients sur la préparation du système, par exemple, des examens médico-légaux fournissent des preuves plus solides si un serveur ou intégré dans l'audit et des systèmes d'exploitation forestière sont toutes activées du ordinateur. Pour les examinateurs, il ya de nombreux domaines où l'organisation préalable peut aider, y compris la formation, des tests et des vérifications régulières des logiciels et du matériel, la familiarité avec la législation, face à des problèmes inattendus (par exemple, que faire si la pornographie juvénile est présente pendant un travail commercial) et d'assurer que votre kit d'acquisition sur place est complet et en bon état de fonctionnement.
ÉvaluationL'étape d'évaluation comprend la réception des instructions claires, analyse des risques et la répartition des rôles et des ressources. L'analyse des risques pour l'application de la loi peut inclure une évaluation de la probabilité de menace physique sur la saisie des biens d'un suspect et la meilleure façon de traiter avec elle. Les organisations commerciales doivent également être conscients des problèmes de santé et de sécurité, tandis que leur évaluation devrait également couvrir les risques de réputation et financière sur l'acceptation d'un projet particulier.
EnsembleLa partie principale de la phase de collecte, l'acquisition, a été présenté ci-dessus. Si l'acquisition doit être réalisée sur place plutôt que dans un laboratoire médico-légal de l'ordinateur puis ce stade serait de rechercher l'existence, la sécurisation et la documentation de la scène. Interviews et rencontres avec le personnel susceptible de détenir des informations qui pourraient être utiles à l'examen (qui pourrait inclure les utilisateurs finaux de l'ordinateur, et le gestionnaire et la personne responsable de la fourniture de services informatiques) seront généralement réalisées à ce stade. Le 'ensachage et l'étiquetage «piste d'audit seraient commencer ici par scellement des matériaux uniques sacs inviolable. Il faut également être accordée à toute sécurité et en toute sécurité le transport du matériel au laboratoire de l'examinateur.
AnalyseAnalyse dépend des spécificités de chaque métier. L'examinateur fournit généralement une rétroaction au client lors de l'analyse et de ce dialogue, l'analyse peut prendre un chemin différent ou être restreint à des zones spécifiques. L'analyse doit être exacte, complète, impartiale, enregistré, reproductible et achevé dans les échelles de temps disponible et les ressources allouées. Il existe des outils multiples disponibles pour l'analyse de preuves informatiques. Il est de notre avis que l'examinateur doit utiliser n'importe quel outil ils se sentent à l'aise avec tant qu'ils peuvent justifier leur choix. Les principales exigences d'un outil informatique légale, c'est qu'il fait ce qu'il est censé faire et la seule façon pour les examinateurs pour être sûr de cela est pour eux de tester régulièrement et calibrer les outils qu'ils utilisent avant l'analyse a lieu. Vérification Dual-outil peut confirmer l'intégrité du résultat lors de l'analyse (si avec l'outil 'A' l'examinateur constate artefact 'X' au lieu 'Y', alors l'outil 'B' devrait reproduire ces résultats.)
PrésentationCette étape implique généralement l'examinateur produire un rapport structuré sur leurs conclusions, abordant les points dans les instructions initiales ainsi que les instructions suivantes. Il serait également couvrir toute autre information que l'examinateur jugera utiles à l'enquête. Le rapport doit être rédigé avec le lecteur final à l'esprit, dans de nombreux cas, le lecteur du rapport sera non technique, de sorte que la terminologie doit le reconnaître. L'examinateur doit également être prêt à participer à des réunions ou des conférences téléphoniques pour discuter et élaborer le rapport.
Passez en revueAvec la phase de préparation, la phase de réexamen est souvent négligée ou ignorée. Cela peut être dû aux coûts perçus de faire un travail qui n'est pas facturable, ou la nécessité de «passer à la tâche suivante. Cependant, une étape de l'examen intégré dans chaque examen peut aider à économiser de l'argent et augmenter le niveau de qualité en faisant futurs examens plus efficace et plus efficace du temps. Un examen de l'examen peut être simple, rapide et peut commencer pendant l'une des étapes ci-dessus. Il peut comprendre une base «ce qui s'est passé et comment cela peut être amélioré» et un «ce qui s'est bien passé et comment peut-il être intégré dans de futurs examens. Commentaires du donneur d'ordre devrait aussi être recherchée. Tous les enseignements tirés de cette étape devrait être appliquée à l'examen suivant et introduit dans la phase de préparation.
Les enjeux pour la criminalistique informatiqueLes enjeux de l'informatique judiciaire examinateurs peuvent être décomposés en trois grandes catégories: technique, juridique et administrative.
Encryption - Les fichiers cryptés ou des disques durs peut être impossible pour les enquêteurs de visualiser sans la clé ou mot de passe correct. Les examinateurs doivent considérer que la clé ou le mot de passe peuvent être stockés ailleurs sur l'ordinateur ou sur un autre ordinateur que le suspect a eu accès. Il pourrait également résider dans la mémoire volatile d'un ordinateur (connu sous le nom de RAM [6], qui est habituellement perdue sur l'ordinateur d'arrêt; une autre raison d'envisager l'utilisation de techniques d'acquisition en direct, comme indiqué ci-dessus.
Augmentation de l'espace de rangement - support de stockage détient toujours plus grandes quantités de données pour l'examinateur signifie que leurs ordinateurs d'analyse doivent avoir une puissance de traitement suffisante et de stockage disponibles pour faire face efficacement à la recherche et l'analyse d'énormes quantités de données.
Nouvelles technologies - informatique est un domaine en constante évolution, avec le nouveau matériel, les logiciels et les systèmes d'exploitation qui sont produits en permanence. Pas seul ordinateur légiste examinateur peut être un expert dans tous les domaines, mais ils peuvent souvent s'attendre à analyser quelque chose qui ne l'ont pas traitée avant. Pour faire face à cette situation, l'examinateur doit être prêt et capable de tester et expérimenter avec le comportement des nouvelles technologies. Réseautage et le partage des connaissances avec les autres médecins légistes de l'ordinateur est également très utile à cet égard car il est probable que quelqu'un d'autre a peut-être déjà rencontré le même problème.
Anti-forensics - Anti-forensics est la pratique de tenter de contrecarrer l'analyse médico-légale de l'ordinateur. Cela peut inclure le cryptage, la sur-écriture de données pour les rendre irrécupérables, la modification des méta-données et le fichier de dissimulation de fichiers (fichiers déguiser). Comme avec cryptage ci-dessus, la preuve que de telles méthodes ont été utilisées peuvent être stockées ailleurs sur l'ordinateur ou sur un autre ordinateur que le suspect a eu accès. Dans notre expérience, il est très rare de voir des anti-forensics outils utilisés correctement et assez souvent à obscurcir totalement soit leur présence ou de la présence de la preuve qu'ils ont été utilisés pour cacher.
Les questions juridiquesArguments juridiques peuvent confondre ou distraire de conclusions d'un examinateur ordinateur. Un exemple ici serait le «cheval de Troie de la Défense». Un cheval de Troie est un morceau de code informatique déguisé en quelque chose de bénin mais qui a un but caché et malveillant. Troyens ont de nombreux usages, et notamment à clé exploitation [7], le téléchargement de fichiers et l'installation de virus. Un avocat peut être en mesure de faire valoir que les actions sur un ordinateur n'ont pas été effectués par un utilisateur mais ont été automatisées par un cheval de Troie à l'insu de l'utilisateur; une telle défense de Troie a été utilisé avec succès, même si aucune trace d'un cheval de Troie ou tout autre code malveillant était trouvé sur l'ordinateur du suspect. Dans de tels cas, un avocat adverse compétent, fourni la preuve d'un analyste en informatique judiciaire compétente, devrait être en mesure de rejeter un tel argument.
Normes acceptées - Il ya une pléthore de normes et de lignes directrices dans la criminalistique informatique, dont quelques-uns semblent être universellement accepté. Cela est dû à un certain nombre de raisons, y compris les organismes de normalisation étant liés à certaines législations, les normes étant destinées soit à l'application de la loi ou la médecine légale commerciales, mais pas à la fois, les auteurs de ces normes ne sont pas reconnus par leurs pairs, ou frais d'adhésion élevés dissuader les praticiens de participer.
Aptitude à la pratique - Dans de nombreux pays il n'existe aucun organisme de qualification pour vérifier la compétence et l'intégrité des professionnels de preuves informatiques. Dans de tels cas, toute personne peut se présenter comme un expert en informatique légale, ce qui peut entraîner des examens médico-légaux informatiques de qualité douteuse et une vision négative de la profession dans son ensemble.
Ressources et lectures supplémentairesIl ne semble pas y avoir une grande quantité de matériau recouvrant la criminalistique informatique qui s'adresse à un lectorat non technique. Cependant les liens suivants à liens au bas de cette page peuvent s'avérer d'intérêt s'avérer d'intérêt:
Glossaire1. Piratage: la modification d'un ordinateur de façon qui n'était pas initialement prévu, afin de bénéficier des objectifs de l'intrus.2. Attaque par déni de service: une tentative pour empêcher les utilisateurs légitimes d'un système informatique d'avoir accès à l'information ou aux services de ce système.3. Les méta-données: à un niveau de base-de métadonnées sont des données sur les données. Il peut être intégré dans des fichiers ou entreposé à l'extérieur dans un fichier séparé et peut contenir des renseignements sur l'auteur du fichier, le format, la date de création et ainsi de suite.4. Écrire bloqueur: un dispositif matériel ou logiciel qui empêche des données d'être modifiées ou ajoutées au support de stockage en cours d'examen.5. copie de bits: Bit est une contraction du terme «binary digit» et est l'unité fondamentale de l'informatique. Une copie de bit désigne une copie séquentielle de tous les bits sur un support de stockage, qui comprend des zones du support "invisible" pour l'utilisateur.6. RAM: Random Access Memory. RAM est l'espace de travail temporaire d'un ordinateur et est volatile, ce qui signifie que son contenu est perdu lorsque l'ordinateur est éteint.7. Key-logging: l'enregistrement de la saisie au clavier donnant la possibilité de lire les mots de passe saisi par l'utilisateur, e-mails et autres informations confidentielles.