První chyba: Nedostatečný trénink
Velikost digitálního forenzního oddělení v LE organizaci nebo incident response týmu ve firemním prostředí se může značně lišit. Některé mohou mít samostatnou digitální forenzní laboratoř a přidělené digitální forenzní analytiky a vyšetřovatele, zatímco jiné mohou sestávat z několika odborníků ze všech oborů, kteří provádějí téměř každý přidělený úkol.
S tím, co bylo řečeno, by to mohlo znamenat, že digitální forenzní analýza může být prováděna běžným odborníkem, kterému může chybět specifické školení, například specializované školení o konkrétním přístupu k akvizici mobilních zařízení.
Pokud si myslíte, že zkušení vyšetřovatelé a analytici nejsou touto chybou „zranitelní“, není tomu tak. Technologie se v dnešní době vyvíjí bezprecedentním tempem, a i ty nejlepší znalosti nástrojů a metod zastarávají bez podpůrného pravidelného školení. Před dvěma lety nikdo nevěděl o zranitelnosti checkm8 pro zařízení iOS – nyní jej musí každý specialista na DFIR znát a metodu a umět použít, když se setká s relevantními zařízeními.
Vyšetřovatelé, kterým záleží na tom, aby jejich znalosti byli aktuální, obvykle využívají několik digitálních forenzních nástrojů, a to jak open source, tak komerční. Neustále čtou knihy, blogy a fóra. Podporují méně zkušené kolegy – a tím se mohou dokonce naučit nové věci.
Můžete se podívat na seznam doporučených knih týmem Belkasoftu.
Druhá chyba: Nedostatek kontinuálního vzdělávání
Digitální forenzní věda je velmi rychlý a neustále se měnící obor; jak vyšetřovatelé, tak zločinci mají tendenci používat nové technologie. To je důvod, proč by digitální forenzní odborníci měli být vždy na špici, držet krok s osvědčenými postupy a být si vědomi nových trendů v oboru. Proto, jak již bylo zmíněno v chybě č. 1, odborník se bude vždy muset učit a sebevzdělávat – a to jak v práci, tak i mimo ni.
Co se stane s těmi, kteří se neučí každý den? Jejich výsledky jsou stále neúplnější. Někteří nedokážou extrahovat nová data, která je extrahovatelná s nejaktuálnějšmi akvizičními metodami. V důsledku toho nemusí v těchto případech zvítězit spravedlnost.
Online a offline komunikace s kolegy specialisty DFIR je jedním z nejlepších způsobů, jak vždy zůstat aktuální. Lze zmínit seznamy IACIS a MDFA, různé kanály Discord a Telegram, skupiny Twitter, LinkedIn a Facebook – ať už nezávislé na prodejcích nebo specifické pro dodavatele.
Třetí chyba: Použití „forenzní analýzy stisknutím tlačítka“ (což nemusí být nutně chyba)
Termín ‚forenzní analýzy stisknutím tlačítka‘ byl vytvořen před více než 10 lety a forenzní komunita jej považovala spíše za sarkastickou definici digitálních forenzních nástrojů. V minulosti se experti bránili snahám prodejců automatizovat získávání a analýzu digitálních dat, protože si byli jisti, že automatizace ztíží dokumentaci, ověření a tím i obhajobu jejich výstupů u soudu.
Nicméně, když pevné disky dosáhly rozsahu 1 TB, objevil se iPhone od Applu a navždy změnil vizi smartphonů, zvýšil se počet paměťových médií (telefony, herní zařízení, externí disky, USB klíče a další), a většina forenzních laboratoří skončila s dlouho odkládanými akvizicemi, což zdržovalo vyšetřování.
Už není možné analyzovat tyto objemy dat a být expertem na neuvěřitelné množství populárních aplikací. To je důvod, proč má nyní každý specialista na DFIR s největší pravděpodobností v rukou nějaký druh automatizace, a přístup založený na artefaktech (mimochodem, poprvé přijatý společností Belkasoft kolem roku 2007 v našem Forensic IM Extractor) zná každý.
Nástroj DFIR, který umožňuje vyšetřovateli extrahovat data z boxu, aniž by se musel hluboce ponořit do bitů a bajtů nezpracovaných dat ve zdroji dat, lze považovat za „tlačítko“. Je chyba používat takový nástroj?
Odpověď je „ano“ i „ne“.
Je těžké definovat forenzní analýzu pomocí tlačítka jako chybu jako takovou. Většina digitálních forenzních nástrojů, prezentovaných v současnosti na trhu, je tohoto druhu. Neexistuje však nástroj, který by nahradil znalosti a dovednosti jeho uživatele. Slepé používání výsledků výstupu vašeho nástroje je rozhodně chyba. Znát silné a slabé stránky nástroje, porovnávat výsledky s podobnými nástroji, ručně opakovat analýzu v pochybných situacích – to rozhodně chybou není.
Za zmínku stojí, že některé nástroje na trhu propagují jejich slepé používání. Takové nástroje fungují jako černá skříňka a poskytují výsledky bez vysvětlení, jak byly získány. Není překvapením, že závěry založené na takových výsledcích neobstojí u soudu, pokud je napadne informovaná protistrana. Otázka, kterou lze položit: ‚Jak software A obnovil tento smazaný chat?‘ může se zdát extrémně obtížné odpovědět, pokud je pro vás Software A černá skříňka.
Nápověda: Here is how we solve this issue in Belkasoft X
Digitální forenzní vyšetřovatel musí jasně pochopit, že žádný nástroj není stříbrná kulka. I ten nejlepší nástroj dokáže zautomatizovat pouze standardní rutinu, a jakmile se zdá, že vaše důkazy nespadají pod „standardní“ představu, budete je muset analyzovat ručně. Našel by váš forenzní nástroj zašifrovaný soubor ZIP vložený do dokumentu PDF, který byl připojen k e-mailu aplikace Outlook? Našel by smazané záznamy SQLite uvnitř paměťového procesu extrahovaného z výpisu paměti?
Chyba č. 4: Selhání v zajištění integrity chain of custody a důkazů
Zajištění chain of custody a integrity elektronických důkazů je složitější než u jiných typů důkazů, jako je například zbraň. Jedním z důvodů je to, že elektronická data lze změnit bez zanechání zjevných stop. Proto jedna z nejpřirozenějších otázek, kterou protistrana může a bude u soudu klást, zní: „Jak prokážete, že tento důkaz (chat/dokument/fotografie) není padělaný? To je důvod, proč kromě dobře známých akcí pro zachování chain of custody (jako je udržování formulářů pro chain of custody) existují další metody pro digitální forenzní analýzu.
Asi nejznámější metodou je výpočet hash. Před provedením jakékoli další analýzy je dobrou praxí vypočítat hash setu pro celý zdroj dat a všechny soubory uvnitř. Časté chyby zde mohou být:
- Nevypočítat kontrolní součet (hash).
- Použití pouze MD5 pro vypočítání kontrolního součtu (hash). Tento algoritmus je známý pro různé kolize, a když je používán, měl by být doplňován dalším algoritmem, jako je například SHA-1 nebo SHA-256.
- Práce s původním zdrojem dat namísto sekundární pracovní kopie obrázku. I když to může fungovat, pokud používáte hardwarová blokovací zařízení, pamatujte, že SSD disky nelze takovým zařízením chránit. Kromě toho jsou softwarové blokátory zápisu notoricky známé tím, že neblokují pokusy o zápis kvůli chybám. Podívejte se také na tento článek o mnoha dalších věcech, které se mohou pokazit.
- Práce s kopií pevného disku, ale zapomenutí wipe disku před pořízení kopií. Pokud jste disk úplně nevymazali, aby fungoval jako kopie důkazů, můžete zažít nepříjemná překvapení pocházející z vašich starších případů.
Jedním z důležitých faktorů v chain of custody je nejen udržovat seznam všech, kteří přišli do styku s důkazy, ale také zajistit, aby k nim neměl přístup nikdo jiný. Například ponechání naklonovaného pevného disku na stole v místnosti, kde současně pracují další vyšetřovatelé, přeruší chain of custody. Podobně ponechání odemknutého počítače potenciálně znehodnotí všechny soubory důkazů uložené v tomto počítači.
Přečtěte si článek: Dodržování Chain of Custody v digitální forenzní analýze
Chyba č. 5: Nekontrolování výsledků nástroje DFIR
Může být zvykem lidského mozku pokračovat v tom, co v minulosti vedlo k uspokojivému výsledku. V DFIR to může vést k nadměrnému používání jediného nástroje, na který se příliš spoléhá. Pokud je vyšetřovatel zvyklý na určitý produkt, může jej použít i pro úkoly, které tento nástroj nepodporuje tak dobře jako jiné.
Ve skutečnosti neexistuje jediný nástroj, který by pokryl vše v oblasti digitální forenzní analýzy a incident response. Dokonce i nástroje, které jsou skvělé v určité části DFIR, mohou mít problémy s konkrétním souborem nebo obrázkem. Proto se vždy doporučuje provést křížovou kontrolu výsledků vašeho hlavního nástroje, buď ručně, nebo pomocí sekundárního produktu. To je důvod, proč správná sada nástrojů pro digitální forenzní analýzu musí mít více než jeden nástroj pro každou konkrétní oblast vyšetřování.
Přílišné spoléhání se na jediný nástroj a neprovádění křížové kontroly výsledků může vést k vážným problémům v soudní síni a zároveň při obhajobě výsledků získaných bez řádného ověření.
Závěr
Lidé dělají chyby. Není problém udělat chybu, důležitější je, jak na svou chybu člověk zareaguje. V doméně DFIR, kde každá chyba může potenciálně způsobit obrovské a nepříjemné následky, je obzvláště důležité poučit se z již známých chyb. Naučte se obor. Nepřestávejte se učit, i když si myslíte, že víte všechno. Znát své nástroje a být schopen zopakovat jejich výsledky ručně a také vysvětlit, jak byly získány. Vědět, jak uchovat chain of custody a konkrétně jaké další metody je třeba použít pro digitální důkazy.
Originální článek naleznete zde.