Własne laboratorium Computer Forensics

W każdej większej instytucji znajduje się już bądź w najbliższym czasie pojawi się komórka odpowiedzialna za prowadzenie dochodzeń informatycznych w ramach Computer Forensics, czyli kryminalistyki informatycznej (choć to ostatnie określenie lepiej wpasowuje się w ramy postępowania karnego). W co należy wyposażyć laboratorium CF, jak je budować i potem prowadzić w nim ekspertyzy - próbujemy odpowiedzieć w tym artykule.

Kolejne uwarunkowanie to zasobność portfela. Ponieważ prawdopodobnie nie będzie nas stać na kupowanie za każdym razem nowych dysków, które posłużą jako miejsce docelowe dla pobieranego materiału, musimy w pierwszej kolejności zadbać o sterylizację nośników. Można to zrobić po domowemu i wykorzystać do tego podstawowe narzędzie kryminalistyki informatycznej, czyli dd:
Dd if=/dev/zero of=/dev/[nośnik] bs=8k conv=noerror,sync.
Można też wykorzystać przetestowane przez Departament Sprawiedliwości USA narzędzia, np. Drive eRazer PRO za ok. 600 zł czy Darik’s Boot and Nuke (czyli popularny darmowy DBAN).

Drive eRazer PRO firmy WiebetechW tym miejscu warto zwrócić uwagę na modne ostatnio narzędzia typu Triage, czyli narzędzia zautomatyzowane do prowadzenia wstępnego sortowania i wyszukiwania interesujących pod kątem dalszej analizy danych. Są one pomostem między narzędziami akwizycyjnymi i analitycznymi. W zależności od podziału zadań w laboratorium mogą wspomagać lub ukierunkowywać dalsze poszukiwania bezpośrednio po etapie zabezpieczenia. Są niezwykle pożyteczne, zwłaszcza gdy otrzymujemy kilka 500 GB dysków z prośbą o szybką analizę "na wczoraj". Bardzo ciekawą prezentację na ten temat przedstawiono na tegorocznej konferencji Stowarzyszenia Instytutu Informatyki Śledczej (www.iis.org) - materiały dostępne u organizatorów. Słowem, narzędzia Triage mają przeprowadzić wstępną analizę zabezpieczonych danych.
Rynek Triage w ciągu ostatnich lat dynamicznie się rozwinął. Mamy więc prawdziwe kombajny, takie jak Spector firmy Evidence Talk, ale też mniejsze projekty, np. umożliwiający stworzenie raportów na temat aktywności użytkowników, uruchamiany z "gwizdka" DriveProphet (www.guardiandf.com).

ICS Super DriveLock - writeblocker USB, SCSI, IDE i SATAObserwując rynek, można zauważyć, że liczba firm świadczących mniej lub bardziej profesjonalne usługi kryminalistyczne (także w zakresie CF) rośnie z roku na rok. A zatem zapotrzebowanie jest wyraźnie widoczne. Zbudowanie laboratorium Computer Forensics już w warstwie sprzętowo-programowej nie jest zadaniem łatwym, a do tego dochodzi wiele formalności, spraw organizacyjno-proceduralnych i typowo zarządczych… I - co najważniejsze - nawet najlepiej wyposażone laboratorium nie dorówna prawdziwemu fachowcowi z własnym archiwum bezpłatnych narzędzi i czułym nosem.