Sécurité + certification: Computer Forensics et l'incident reponse
L'informatique judiciaire
consiste à mener une enquête pour déterminer ce qui est arrivé, pour savoir qui est responsable et de recueillir des preuves légalement admissibles pour une utilisation dans un cas de criminalité informatique.Étroitement liée à, mais nettement différente de recherches, est la réponse aux incidents. Le but d'une enquête est de déterminer ce qui est arrivé, afin de déterminer qui est responsable, et de recueillir des preuves. Incident Response détermine ce qui est arrivé, contient et évalue les dommages, et restaure les opérations normales.
Enquêtes et réponse aux incidents doivent souvent être menées simultanément dans une manière bien coordonnée et contrôlée afin d'assurer que les actions initiales de l'activité soit ne détruisent pas la preuve ou causer d'autres dommages aux actifs de l'organisation. Pour cette raison, aux incidents informatiques (ou d'urgence) équipes d'intervention (liste CIRT ou CERT, respectivement) doivent être correctement formés et qualifiés pour assurer une scène de crime ou d'un incident tout en préservant la preuve. Idéalement, la CIRT comprend les personnes qui mènent l'enquête.
La conduite d'enquêtes
Une enquête de la criminalité informatique devrait commencer immédiatement sur le rapport d'un crime informatique alléguée ou d'incident. Initialement, tout incident doit être traité comme une enquête de la criminalité informatique jusqu'à ce qu'une enquête préliminaire en décide autrement. Les étapes générales à suivre dans le processus d'enquête sont les suivantes:
- Détecter et contenir: La détection précoce est essentielle pour que l'enquête aboutisse. Malheureusement, les techniques de détection passifs ou réactifs (tels que l'examen des pistes de vérification et découverte accidentelle) sont généralement la norme dans les crimes informatiques et laissent souvent une traînée de preuves froid. Le confinement est essentielle pour minimiser les pertes ou dommages.
- La gestion prévenir: La direction doit être informé de toute enquête dès que possible. Connaissance de l'enquête devrait être limitée à aussi peu de personnes que possible et devrait être fondée sur le besoin de savoir. Out-of-band méthodes de communication (rapports en personne) devraient être utilisés pour assurer que les communications sensibles au sujet de l'enquête ne sont pas interceptés.
- Commencez enquête préliminaire: Cela est nécessaire pour déterminer si un crime a effectivement eu lieu. La plupart des incidents sont des erreurs honnêtes, pas une conduite criminelle. Cette étape comprend
# 8226- examen de la plainte ou un rapport
# 8226- Inspection dommages
# 8226- interroger des témoins
# 8226- examen journaux
# 8226- Identifier de nouvelles exigences d'enquête
- Initier détermination divulgation: La première et la plus importante chose à déterminer est de savoir si la divulgation du crime ou de l'incident est requis par la loi. Ensuite, déterminer si la communication est souhaitée. Ce devrait être coordonnée avec les relations publiques ou d'affaires publiques officiel de l'organisation.
- Mener l'enquête:
# 8226- Identifier des suspects potentiels. Cela comprend insiders et outsiders à l'organisation. Un discriminateur standard pour aider à déterminer ou d'éliminer des suspects potentiels est le test de MOM: le suspect avait le mobile, d'occasion, et des moyens de commettre le crime?
# 8226- Identifier des témoins potentiels.Déterminer qui est d'être interviewé et qui va mener les entrevues. Soyez prudent de ne pas alerter des suspects potentiels à la mise au point pour enquête sur des faits, pas des opinions obtention, dans les déclarations des témoins.
# 8226- Préparez-vous pour la recherche et la saisie. Ceci comprend l'identification des types de systèmes et des preuves à rechercher ou saisis, la désignation et la formation des membres de l'équipe de recherche et de saisie (CIRT), l'obtention et la signification de mandats de recherche appropriées (si nécessaire), et de déterminer le risque potentiel pour le système lors d'une perquisition et l'effort de saisie.
- Signaler conclusions: Les résultats de l'enquête, y compris des preuves, doivent être signalées à la direction et remis à des fonctionnaires ou des procureurs chargés de l'application de la loi appropriés.
Preuve
Preuve est l'information présentée dans une cour de justice pour confirmer ou infirmer un fait qui est sous contention. Un cas ne peut pas être jugé sans preuves suffisantes pour étayer l'affaire. Ainsi, correctement la collecte de preuves est une des tâches les plus importantes et les plus difficiles de l'enquêteur.
Types de preuves
Sources de preuves juridiques qui peuvent être présentés devant un tribunal de droit tombent généralement dans l'une des quatre grandes catégories:
- La preuve directe: Ceci est un témoignage oral ou une déclaration écrite sur la base des informations recueillies par le biais des cinq sens du témoin (un compte de témoin oculaire) qui confirme ou infirme un fait ou une question spécifique.
- Real (ou physique) la preuve: Ce sont des objets tangibles de la criminalité réelle, comme celles-ci:
# 8226- outils et des armes
# 8226- biens volés ou endommagés
# 8226- cassettes vidéo ou audio surveillance
- Les preuves physiques d'un crime informatique est rarement disponible.
- La preuve documentaire: La plupart des données présentées dans un cas de criminalité informatique est la preuve documentaire, telle que la suivante;
# 8226- Originaux et copies de documents commerciaux
# 8226- générée par ordinateur et les dossiers stockés par ordinateur
# 8226- Manuels
# 8226- politiques
# 8226- normes
# 8226- Procédures
# 8226- fichiers journaux
- Les documents d'entreprise, y compris les dossiers informatiques, sont traditionnellement considérés ouï-dire par la plupart des tribunaux parce que ces dossiers ne peuvent être prouvées exactes et fiables. L'un des obstacles les plus importants pour un procureur à surmonter dans une affaire de crime informatique est à la recherche de l'admission des enregistrements informatiques comme preuve.
- Preuve démonstrative. Utilisé pour faciliter la compréhension de la cour d'une affaire. Les opinions sont considérés comme une preuve démonstrative et peuvent être soit
# 8226- Expert: Basé sur l'expertise personnelle et faits
# 8226- Nonexpert:Basé sur des faits seulement
- D'autres exemples d'éléments de preuve matériels comprennent des modèles, des simulations, des graphiques et des illustrations.
D'autres types de preuve qui peuvent tomber dans au moins une des grandes catégories précédentes comprennent
- Meilleure preuve:D'origine, preuve inchangée. Dans la cour, cela est préférable à une preuve secondaire.
- Les données extraites d'un ordinateur satisfait à la règle de la meilleure preuve et peuvent normalement être introduits dans les procédures judiciaires en tant que telle.
- La preuve secondaire: Un double ou une copie de la preuve, comme
# 8226- sauvegarde sur bande
# 8226- Capture d'écran
# 8226- Photo
- Un élément de corroboration: Supports ou vient étayer une autre preuve présentée dans une affaire.
- Preuve concluante: Irréfutables: le pistolet de tabagisme.
- Preuve circonstancielle: Les faits pertinents qui ne peut pas être connecté directement ou définitivement à d'autres événements, mais à propos de laquelle une inférence raisonnable peut être faite.
Admissibilité de la preuve
Parce que la preuve générée par ordinateur peut souvent être facilement manipulé, modifié ou altéré, et parce qu'il est pas facilement et couramment entendu, ce type de preuve est généralement considéré comme suspect dans une cour de justice.
Pour être recevable, la preuve doit être:
- Pertinente: Il doit tendre à prouver ou à réfuter les faits qui sont pertinents et importants pour le cas.
- Fiable: Il doit être raisonnablement prouvé que ce qui est présenté comme la preuve est ce qui a été initialement collectées et que la preuve elle-même est fiable. Ceci est accompli, en partie, par traitement de la preuve appropriée et la chaîne de possession.
- Légalement admissible: Il doit être obtenu par des moyens légaux. Preuve que est pas légalement admissible peut inclure des preuves obtenues par ces moyens:
# 8226- Perquisition et saisie illégales: Les forces de police doivent obtenir un order- judiciaire préalable cependant, le personnel des forces non-droit, comme un administrateur de superviseur ou système, peut être en mesure de procéder à une perquisition autorisée dans certaines circonstances.
# 8226- Écoutes téléphoniques illégales ou écoutes téléphoniques: Tous ceux qui effectuent des écoutes téléphoniques ou écoutes téléphoniques doit obtenir une ordonnance de la cour avant.
# 8226- Piégeage ou la séduction: Piégeage encourage quelqu'un à commettre un crime que l'individu peut avoir eu aucune intention de commettre. Inversement, séduction leurres quelqu'un vers certaines preuves (un pot de miel, si vous voulez) après que cette personne a déjà commis un crime. Enticement est pas nécessairement illégal, mais soulève des arguments éthiques et peut ne pas être admissible en cour.
# 8226- Contrainte:Témoignages ou des aveux sous la contrainte ne sont pas légalement admissible.
# 8226- Non autorisée ou abusive de surveillance: La surveillance active doit être dûment autorisée et menée dans une norme Manner utilisateurs doivent être informés qu'ils peuvent être soumis à surveillance.