Security + Sertifika: Computer Forensics and Incident Respond - dummies

Bilişim Bilimi , neler olduğunu belirlemek, kimlerin sorumlu olduğunu bulmak ve yasal olarak toplamak için bir soruşturma yürütmektir bir bilgisayar suç davasında kullanılmak üzere kabul edilebilir kanıt.

İncelemelerle yakından ilişkili, ancak araştırmalardan farklı olarak, olaya tepki veriliyor. Soruşturmanın amacı, olanı belirlemek, kimin sorumlu olduğunu belirlemek ve kanıt toplamaktır. Olanak yanıtı , olanları belirler, hasarı içerir ve değerlendirir ve normal işlemleri geri getirir.

Soruşturmalar ve olay tepkisi, her iki faaliyetin başlangıç ​​eylemlerinin kanıtları yok etmemesi veya kuruluşun varlıklarına daha fazla zarar vermemesi için sıklıkla eşgüdümlü ve kontrollü bir tarzda yürütülmelidir. Bu nedenle, kanıtları korurken bir olay mahali veya olayını güvence altına alabilmek için Bilgisayar Olayı (veya Acil Durum) Müdahale Ekipleri (sırasıyla CIRT veya CERT), doğru eğitilmiş ve nitelikli olmalıdır. İdeal olarak, CIRT, soruşturmayı yürüten kişileri içerir.

Soruşturmaları yürütme

Bir bilgisayar suçları soruşturması, iddia edilen bir bilgisayar suçu ya da olayı hakkında bir rapor üzerine derhal başlanmalıdır. Başlangıçta, herhangi bir olay, bir ön soruşturma aksini belirleyene kadar bir bilgisayar suçu soruşturması olarak ele alınmalıdır. Soruşturma sürecinde izlenecek genel adımlar şunlardır:

• Algıla ve İçer: Erken tespit, başarılı bir soruşturma için kritik öneme sahiptir. Ne yazık ki, pasif veya reaktif tespit teknikleri (denetim yollarının gözden geçirilmesi ve kazara keşfi gibi) genellikle bilgisayar suçlarında norm olup genellikle soğuk kanıt izi bırakmaktadır. Zararın daha fazla kaybını veya hasarını en aza indirmek için barındırmak önemlidir.

• Yönetim bildir: Herhangi bir soruşturma için en kısa sürede yönetim bilgilendirilmelidir. Soruşturmanın bilgisi mümkün olduğunca az insanla sınırlı olmalı ve öğrenilmesi gereken bir temel olmalıdır. Soruşturmayla ilgili hassas iletişimlerin engellenmemesi için bant dışı iletişim yöntemleri (şahsen raporlama) kullanılmalıdır.
• Ön soruşturma başlatın: Bu, bir suçun gerçekten gerçekleşip gelişmediğini belirlemek için gereklidir. Çoğu olay, ceza davranıp dürüst olmayan hatalardır. Bu adımda

• Şikayetin veya raporun gözden geçirilmesi

• Hasarın incelenmesi

• Şahitlerin görüşülmesi

• Günlüklerin incelenmesi

• Soruşturma gereksinimlerinin belirlenmesi

• Bilgilendirme kararlılığının başlatılması: ve belirlenmesi gereken en önemli şey, suçun ifşa edilip edilmemesi ya da olayın kanunen gerekli olup olmadığıdır.Daha sonra, ifşa edilmesinin istenip istenmediğini belirleyin. Bu, kuruluşun bir halkla ilişkiler veya kamu işleri yetkilisi ile koordine edilmelidir.
• Soruşturmayı yürütün:

• Olası şüphelileri tanımlayın. Bu, içerdekileri ve örgüte yabancılar dahildir. Potansiyel şüphelilerin belirlenmesine veya ortadan kaldırılmasına yardımcı olmak için standart bir ayırt edicidir MOM testidir: Şüphelinin suçu işlemek için gerekli olan güdüsü, fırsatı ve araçları var mı?

• Olası tanıkları tanımlayın. Röportaj yapacak kişileri ve kimlerin görüşmeleri kimin yapacağını belirleyin. Soruşturmaya olası herhangi bir şüpheliyi uyarmamaya özen gösterin; Tanık ifadeleriyle gerçekleri değil de görüşleri elde etmeye odaklanın.

• Arama ve el koyma için hazırlanın. Bu, arama ve nöbetçi tim üyelerinin (CIRT) aranması veya ele geçirilmesi, belirlenmesi ve eğitimi için sistem türleri ve kanıtların belirlenmesi, uygun arama emirlerinin alınması ve sunulması (gerekirse) ve sistemin potansiyel riskinin belirlenmesini içerir Bir arama ve el koyma çabası sırasında.

• Rapor bulguları: Soruşturmanın kanıtları da dahil olmak üzere sonuçları yönetim tarafından rapor edilmeli ve uygun kolluk görevlilerine veya savcılara devredilmelidir.

Kanıtlar

Kanıtlar , bir mahkemede, çekişen bir gerçeği doğrulamak veya silmek için sunulan bilgilerdir. Bir dava, davayı desteklemek için yeterli delil olmadan yargılanamaz. Dolayısıyla, kanıt toplama kanıtı araştırmacının en önemli ve en zor görevlerinden biridir.

Kanıt türleri

Bir mahkemede sunulabilen yasal kanıt kaynakları genel olarak dört ana kategoriden birine girer:

• Doğrudan kanıt: Sözlü ifadeler veya yazılı ifadeler Tanıkların beş duyusu (bir görgü tanıklığı hesabı) aracılığıyla toplanan bilgiler, belirli bir gerçeği ya da yayımı kanıtlayan ya da çürüten bilgilerdir.
• Gerçek (veya fiziksel) kanıt: Bunlar gerçek suçtan kaynaklanan somut nesnelerdir: Bunlar:

• Aletler ve silahlar

• Çalınan veya hasar gören mülkler

• Görsel veya sesli gözetim bantları

Bilgisayar suçlarından elde edilen fiziksel kanıtlar nadiren bulunur.
• Belgesel kanıt: Bir bilgisayar suç davasında sunulan delillerin çoğu aşağıdaki gibi belgesel kanıttır;

• İş kayıtlarının orijinalleri ve kopyaları

• Bilgisayar tarafından üretilen ve bilgisayar tarafından saklanan kayıtlar

• Kılavuzlar

• Politikalar

• Standartlar

• Usuller

• Günlük dosyaları > Bilgisayar kayıtları da dahil olmak üzere iş kayıtları, çoğu mahkemede geleneksel olarak söylenti kanıtı sayılır; çünkü bu kayıtlar doğru ve güvenilir olarak ispat edilemez. Savcının bilgisayar suçlarıyla mücadele etmesinin önündeki en önemli engellerden biri, bilgisayar kayıtlarının delil olarak kabul edilmesini istemektir.

Gösterici kanıt.
• Mahkemenin bir davayı anlamasına yardımcı olmak için kullanılır. Görüşler gösteri kanıtı olarak kabul edilir ve bunlar •

Uzman: Kişisel uzmanlığa ve olgulara dayanarak •

Uzman Olmayan: Yalnızca gerçeklere dayanan Diğer gösterici örnekler Kanıtlar modeller, simülasyonlar, grafikler ve çizimleri içerir.

Daha önce belirtilen ana kategorilerin en az biri içine düşebilecek diğer kanıt türleri şunlardır:

En İyi Kanıt:

• Orijinal, değiştirilmemiş kanıt. Mahkemede bu, ikincil kanıtlara göre tercih edilir. Bir bilgisayardan çıkarılan veriler en iyi delil kuralını yerine getirir ve normalde mahkeme süreçlerine bu şekilde başvurulabilir.
İkincil kanıt:
• gibi kanıt kopyası veya kopyası • Bant yedekleme

• Ekran görüntüsü

• Fotoğraf

Sağlamlık kanıtı:

• Sunulan diğer kanıtları desteklemek veya doğrulamak bir davada. Kesin kanıt:
• Taahhüt edilemez ve reddedilemez: sigara silahı. Gerçek kanıt:
• Doğrudan veya kesin olarak diğer olaylara bağlanamayan ama makul çıkarım yapılabilecek ilgili gerçekler. Kanıtlara Kabuledilebilirlik

Bilgisayar tarafından üretilen kanıtlar genellikle kolaylıkla manipüle edilebilir, değiştirilebilir veya tahrif edilebilir ve kolay ve yaygın şekilde anlaşılmadığı için bu tür kanıtlar genellikle bir mahkemede şüpheli kabul edilir.

Kabul edilmek için kanıt şu olmalıdır:

İlgili:

• Durum ile alâkalı ve önemli olan gerçekleri ispatlama ya da kınama eğilimi göstermelidir. Güvenilir:
• Kanıt olarak sunulanların başlangıçta toplanan ve kanıtların kendisinin güvenilir olduğu makul bir şekilde kanıtlanmalıdır. Bu, kısmen, uygun kanıt elleçleme ve gözaltı zinciri yoluyla gerçekleştirilir. Yasal olarak izin verilir:
• Bu yasal yollarla sağlanmalıdır. Yasal olarak izin verilmeyen kanitlar, bu yollarla elde edilen kanıtları içerebilir: •

Yasadışı arama ve nöbet: Kolluk personeli önceden bir mahkeme kararı almalıdır; Bununla birlikte, bir amir veya sistem yöneticisi gibi kanunsuz görev yapan personel, bazı koşullar altında yetkili bir arama yapabilir. •

Yasadışı telefon dinleme ya da telefona dokunma: Telefon dinleme ya da telefon dinleme yetkisi verenlerin önceden mahkeme kararı almaları gerekir. •

Tecavüz veya cezbedici: Tecavüz , bir şahısın, işlemek niyetinde olmadığı bir suç işlemek için teşvik eder. Tersine, cazibe , bir kişinin zaten bir suç işledikten sonra birilerini delillere (bir bal potası, eğer isterseniz) çektirir. Devam yasadışı değildir, ancak etik argümanlar ortaya çıkar ve mahkemede kabul edilmeyebilir. •

Suçlama: Zorla ifade edilen ifadeler veya itiraflar yasal olarak izin verilmez. •

Yetkisiz veya hatalı izleme: Aktif izleme, standart bir şekilde uygun şekilde yetkilendirilmeli ve yürütülmelidir; kullanıcıların izlemeye tabi tutulabilecekleri konusunda bilgilendirilmesi gerekir.