Computer Forensics.DK Sidste opdatering: 4.februar 2007
hjem | computer forensics | incident response | electronic discovery | programmer | knowledge base | links | rootkits | mig | sitemap | kontakt

                                                         Computer Forensics - introduktion
Som nævnt på hovedsiden er "Computer Forensics" helt grundlæggende at indsamle, analyserer og dokumenterer elektronisk bevismateriale på en juridisk forsvarlig måde.
Rent teknisk kan forensics opdeles i en lang række forskellige undergrupper, fra undersøgelser af arbejdsstationer for at finde tegn på besvigelser, over undersøgelser af servere for at finde tegn på hackerangreb, til netværksforensics hvor selve trafikken på netværket undersøges for at finde tegn på angreb.

Der er således en lang, lang række forskellige måder computer forensics undersøgelser kan udføres på. Når man tager med hvor mange forskellige operativsystemer og muligheder der findes for at opdele netværk, indser man hurtigt hvor mange forskellige typer computer forensics undersøgelser der findes.

Hvorfor computer forensics?
Der kan være mange grunde til en virksomhed eller organisation ønsker at foretage en forensics undersøgelse af et computer system eller et helt netværk. Det kan f.eks. være for at forsøge at
- Bestemme om der er blevet foretaget en ulovlig handling.
- Bestemme hvem der har foretaget en ulovlig eller mistænkelig handling.
- Bestemme hvordan en angriber har opnået adgang til data/et system, så det sikres det ikke sker igen - eller om det allerede er sket andre steder på netværket.
- Bestemme hvilken skade er sket - hvad har angriberen haft adgang til, hvad har han gjort med data der har været adgang til (f.eks. slettet, ændret, kopieret).
- Ved mistanke imod interne medarbejdere (f.eks. en medarbejder mistænkes for illoyalitet, eller for at have brudt en sikkerhedspolitik).

Resultatet af en forensics undersøgelse kan i nogle tilfælde påvirke beslutningen om en hændelse skal anmeldes til politiet. Hvis virksomheden foretager en indledende undersøgelse forkert, kan det ligeledes betyde at politiets arbejde vanskeliggøres eller i værste fald helt ødelægger muligheden for at retsforfølge angriberen.

Bevismateriale:
I mange situationer er det eneste bevismateriale der er tilstede, det der eksistere i digitalt format. Det kan betyde at muligheden for at dømme en angriber afhænger af undersøgerens evne til at indsamle, undersøge, bevare og præsentere bevismateriale. Der er dog tre helt grundlæggende problemer med computer data som bevismateriale: det er flygtigt, sårbart og let at forfalske.
Flygtigt: Hvis computeren slukkes, eller der går lang tid fra en forbrydelse er foregået til systemet undersøges, kan bevismateriale "forsvinde" af sig selv. F.eks. forsvinder spor efter netværksforbindelser kort tid efter forbindelsen afbrydes. Hvis en computer slukkes inden bevismateriale indsamles kan en række andre typer data ligeledes gå tabt.
Sårbart: Mange typer potentielt bevismateriale ændrer sig når man forsøger at undersøge det. F.eks. ændres 'access tider' når man eksekvere eller ser på filer (se billedet til venstre), ligesom slettede filer kan overskrives når der installeres nye programmer på systemet eller nye filer oprettes.
Let at forfalske: Det vil ofte være muligt at ændre data der opbevares på computer systemer på en lang række forskellige måder, både før og efter bevismateriale er indsamlet. Det medfører, at det ofte er nødvendigt at benytte særlige programmer og teknikker til at indsamle, undersøge og dokumentere data.

Selve håndteringen af elektronisk bevismateriale, dvs. at sørge for indsamlet materiale opbevares og behandles forsvarligt, er et omfattende studie i sig selv (meget mere information om dette emne er planlagt).
Måden bevismateriale indsamles og behandles på kan således i mange situationer være lige så vigtig som de resultater der kommer ud af de tekniske undersøgelser. En dygtig forsvarer vil ofte forsøge at så tvivl om brugbarheden af den indsamlede data, og som det nævnes flere gange her på siderne, kan selv en dygtig teknikker, uden forståelse for computer forensics, hurtigt ødelægge en sag ved ubevidst at ændre bevismateriale under sin undersøgelse af systemet.  

Hvordan?
Tankegangen bag alle computer forensics undersøgelser bør derfor være, at alt man gør senere skal kunne forklares i retten og som medlem af et incident response team bør man derfor altid forsøge at bevare alle potentielle beviser. I det mindste indtil man er helt sikker på sagen ikke skal forfølges yderligere.

Et par helt grundlæggende computer forensics regler er:
- Undgå at ødelægge potentielt bevismateriale
- Dokumenter alt hvad du gør
- Stol aldrig på den mistænkte computers operativ system. Eksekver f.eks. ikke programmer direkte på maskinen der undersøges
- Opbevar backup, logfiler, dokumentation og alle andre typer information fra maskinen der undersøges sikkert

På vej:
I første omgang vil der komme uddybende tekster om en række af de vigtigste elementer af computer forensics, f.eks.
- Dansk og international lovgivning
- Typer af forensics (e-mail, netværk, log osv.)
- Undersøgelser af arbejdsstationer ("insider forensics")
- Mobiltelefoner og computer forensics
- MAC-tider og tidslinier
- Filsystemer
- Reverse engineering
- "Chain of custody", sikring af bevismateriale
- Steganografi, kryptering og andre metoder til at skjule data
                men mange flere er planlagt.
 
Copyright © 2004-2008 Computerforensics.DK