piątek, 17 grudnia 2010

Informatyka Śledcza-Jak zabezpieczać urządzenia elektroniczne cz.I


W poście tym przedstawimy niektóre metody zabezpieczania dowodów elektronicznych.Przedstawione metody będą się różnić w zależności od tego, czy urządzenie jest włączone, czy wyłączone.
Często przy popełnianiu różnego rodzaju przestępstw (gospodarcze, pornografia z udziałem dzieci, kradzieże tożsamości, hakowanie, nielegalne oprogramowanie) dowody znajdują się tylko i wyłącznie w zasobach urządzenia elektronicznego.Należy przedsięwziąć odpowiednie kroki w celu ich właściwego zabezpieczenia.Bardzo popularnym sprzętem elektronicznym są komputery i notebooki.Z definicji służą one do przetwarzania danych, a więc muszą gdzieś te dane przechowywać.Jeśli komputer jest wyłączony, pod żadnym pozorem nie powinniśmy go włączać! Włączenie komputera może spowodować zmiany w pamięci, poskutkuje zmianami w logach systemu a może także włączyć program zamazujący ślady czy program szpiegowski.Tak więc po wyłączeniu komputera zaklejamy taśmą klejącą wszystkie otwory napędów, slotów i kart.Oczywiście te, do których jest swobodny dostęp.Jeśli natomiast komputer jest włączony, należy się wpierw skonsultować ze specjalistą z zakresu informatyki śledczej.Jeśli takowy jest niedostępny, powinnyśmy: zrobić zdjęcie ekranu, wypiąć kabel zasilający z komputera lub wyjąć baterię z notebooka.Komputer należy sfotografować i opisać połączenia kabli,slotów,gniazd, jeśli musieliśmy je rozłączyć.Jest to niezwykle ważne,jeśli w przyszłości zajdzie potrzeba ponownego podłączenia urządzenia.Zabezpiecz także wszystkie urządzenia peryferyjne które współpracowały z komputerem, a które mogą mieć znaczenie w śledztwie.Bardzo ważna sprawa:zabezpiecz wszystkie notatki znalezione na miejscu.Mogą się na nich znajdować hasła.Dodatkowo należy zabrać ze sobą instrukcje obsługi zabezpieczanych urządzeń.Całość sprzętu pakujemy w karton zabezpieczając sprzęt folią ochronną i oznaczając karton jako "Ostrożnie.Szkło".Oczywiście nie dzwonimy po kuriera i nie odsyłamy towaru do firmy śledczej, gdyż kto wie co po drodze może stać się z dowodem :) Czekamy na transport z firmy śledczej.Na miejscu sprzęt powinien być składowany w suchym pomieszczeniu o temperaturze pokojowej, z dala od źródeł promieniowania elektro/magnetycznego.

Nieco inaczej postępujemy z serwerami usług sieciowych, gdyż na tych komputerach jest zazwyczaj zainstalowane oprogramowanie zarządzające procesami biznesowymi.W żadnym wypadku nie powinniśmy przerywać działania takiego programu, gdyż może to poczynić szkody klientom.Tak więc najpierw kontaktujemy się ze specjalistą informatykiem śledczym i czekamy na jego dyspozycje.Zabezpieczmy na samym początku miejsce z lokalizacją serwera, niepozwalając się do niego zbliżyć nikomu bez doświadczenia sieciowego.Być może konieczne będzie odłączenie systemu od zewnętrznej sieci internetowej, aby zapobiec dostęp zdalny osobom które mają konta (i mogą kasować ślady przestępstwa).W żadnym wypadku nie odłączamy zasilania od serwera czy od UPSa.Serwer musi działać nadal.Czekamy na przyjazd informatyka śledczego.Ażeby nie tracić czasu, uzyskajmy w międzyczasie hasła administracyjne do serwera/systemów.


W następnej części opublikujemy porady jak postępować podczas zabezpieczania telefonów, kart pamięci i aparatów cyfrowych.

0 komentarzy:

Prześlij komentarz