|
Velkommen til
ComputerForensics.DK
Hvad er Computer Forensics?
Helt grundlæggende er "Computer Forensics" indsamling,
analyse og dokumentation af elektronisk bevismateriale.
Almindelig brug af navnet dækker dog over to meget
forskellige ting, nemlig det man på engelsk kalder
henholdsvis "Computer
Forensics" og "Incident Response".
 Computer
Forensics
Forensic betyder "kriminalteknisk", og er en betegnelse for den
systematiske metode der bruges til at indsamle beviser fra
et gerningssted. Hvis man ønsker at retsforfølge en
indtrænger er det nødvendigt at indsamle beviser såsom
logfiler og programmer efterladt på systemet i en sådan stand, at der
ikke kan være tvivl om rigtigheden af de oplysninger man
kommer frem til. Det er her teknikkerne fra computer
forensics bliver nødvendige.
Incident Response
I de fleste virksomheder er der ikke
tid til at bruge dagevis på at indsamle og analyserer data
fra et system der muligvis er blevet hacket, og i mange
tilfælde er ledelsen tilfreds, hvis bare systemerne hurtigt
er tilbage online. I mange tilfælde er det derfor overladt
til en almindelig bruger, eller i bedste fald en erfaren
administrator, at finde ud af hvad der er sket.
"Incident Response" ("håndtering af
sikkerhedsbrud") dækker således over en helt
anden måde at undersøge om noget er sket med et computer
system. Hovedformålet er her at få systemerne i gang igen så
hurtigt som muligt, hvis det samtidigt er muligt at finde ud
af hvad der er sket, og evt. finde beviser, så er det en
bonus, men det er ikke hovedformålet med undersøgelsen.
Hvis der er den mindste chance for en undersøgelse skal
munde ud i et retsligt efterspil, er det dog meget vigtigt
at incident response undersøgelsen udføres korrekt, i det
mindste indtil det er helt sikkert sagen ikke skal forfølges
yderligere.
Forsigtig!
En administrator der ikke er trænet i
incident response eller computer forensics vil ofte
ødelægge beviser inden for de første par minutter
vedkommende kommer i nærheden af et gerningssted. Det er
derfor vigtigt, at kun trænet personel tager sig af maskiner
der er blevet brudt ind i eller af anden grund er blevet
årsag til en sikkerhedshændelse.
Enhver organisation, der på en eller på anden måde er kritisk
afhængig af deres it-systemer, bør således have adgang til et
trænet incident response team, enten som fastansatte eller
som konsulenter ved et firma der kan indkaldes 24 timer i
døgnet. Det bør også overvejes på forhånd hvornår og i
hvilke situationer politiet evt. skal inddrages.
ComputerForensics.DK
Formålet med Computerforensics.DK
er, at give en introduktion til henholdsvis computer
forensics og incident response og samtidig give nogle
redskaber man kan benytte, hvis man kommer i en situation hvor man
selv skal
undersøge et system under mistanke. På
sigt er det planen at udbygge siderne med information om
alle områder indenfor computer forensics, fra relevant
lovgivning til specialiserede underområder indenfor tekniske
undersøgelser, fra undersøgelser af arbejdsstationer til
e-mail forensics.
(Note: et par af definitionerne her på
velkomst siden
er taget frit fra den meget anbefalelsesværdige faq i Usenet
gruppen dk.edb.sikkerhed). |