Casa Finanza personale Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Sommario:

Video: Incident Response and Computer Forensics on Rootkits 2025

Video: Incident Response and Computer Forensics on Rootkits 2025
Anonim

Computer forensics comporta lo svolgimento di un'indagine per determinare cosa è successo, per scoprire chi è responsabile e per raccogliere legalmente prove ammissibili per l'uso in un caso di criminalità informatica.

Strettamente correlato a, ma distintamente diverso dalle indagini, è la risposta agli incidenti. Lo scopo di un'indagine è determinare cosa è successo, determinare chi è responsabile e raccogliere prove. La risposta agli incidenti determina cosa è successo, contiene e valuta il danno e ripristina le normali operazioni.

Le indagini e la risposta agli incidenti devono spesso essere svolte simultaneamente in modo ben coordinato e controllato per garantire che le azioni iniziali di entrambe le attività non distruggano le prove o causino ulteriori danni alle risorse dell'organizzazione. Per questo motivo, le squadre di risposta al Computer Incident (o Emergency) (CIRT o CERT, rispettivamente) devono essere adeguatamente addestrate e qualificate per assicurare una scena del crimine o un incidente mentre conservano le prove. Idealmente, il CIRT include individui che conducono le indagini.

Investigazioni condotte

Un'inchiesta sul crimine informatico dovrebbe iniziare immediatamente dopo la segnalazione di un presunto crimine informatico o incidente. Inizialmente, qualsiasi incidente dovrebbe essere trattato come un'investigazione del crimine informatico fino a quando un'indagine preliminare non stabilisca diversamente. I passaggi generali da seguire nel processo investigativo sono i seguenti:

  • Rileva e contiene: Il rilevamento precoce è fondamentale per un'indagine di successo. Sfortunatamente, le tecniche di rilevamento passivo o reattivo (come la revisione delle tracce di controllo e la scoperta accidentale) sono di solito la norma nei crimini informatici e spesso lasciano una traccia di prove fredde. Il contenimento è essenziale per minimizzare ulteriori perdite o danni.
  • Gestione notifiche: La gestione deve essere informata di eventuali indagini nel più breve tempo possibile. La conoscenza dell'indagine dovrebbe essere limitata al minor numero possibile di persone e dovrebbe basarsi su una necessità di conoscenza. Devono essere utilizzati metodi di comunicazione fuori banda (segnalazione di persona) per garantire che le comunicazioni sensibili sull'inchiesta non siano intercettate.
  • Iniziare le indagini preliminari: Questo è necessario per determinare se un crimine si è effettivamente verificato. La maggior parte degli incidenti sono errori onesti, non comportamenti criminali. Questo passaggio include

• Revisione del reclamo o del rapporto

• Ispezione dei danni

• Intervista ai testimoni

• Esami dei registri

• Identificazione di ulteriori requisiti di indagine

  • Avvio determinazione della divulgazione: Il primo e la cosa più importante da determinare è se la divulgazione del crimine o dell'incidente sia richiesta dalla legge.Successivamente, determinare se la divulgazione è desiderata. Questo dovrebbe essere coordinato con un funzionario di pubbliche relazioni o affari pubblici dell'organizzazione.
  • Conduci l'indagine:

Identifica potenziali sospetti. Questo include gli addetti ai lavori e gli estranei all'organizzazione. Un discriminatore standard per aiutare a determinare o eliminare potenziali sospetti è il test MOM: il sospettato ha il movente, l'opportunità e i mezzi per commettere il crimine?

Identifica potenziali testimoni. Determina chi deve essere intervistato e chi condurrà le interviste. Fare attenzione a non allertare potenziali indagati nelle indagini; concentrarsi sull'ottenere fatti, non opinioni, nelle dichiarazioni dei testimoni.

Prepararsi per la ricerca e il sequestro. Ciò include l'identificazione dei tipi di sistemi e prove da cercare o sequestrare, designare e formare i membri della squadra di ricerca e sequestro (CIRT), ottenere e servire adeguati warrant di ricerca (se richiesti) e determinare il potenziale rischio per il sistema durante uno sforzo di ricerca e sequestro.

  • Risultati del rapporto: I risultati dell'indagine, comprese le prove, devono essere comunicati alla direzione e consegnati a funzionari o pubblici ministeri competenti.

Evidenza

Evidenza sono informazioni presentate in un tribunale per confermare o dissipare un fatto che è in discussione. Un caso non può essere portato in giudizio senza prove sufficienti a sostegno del caso. Pertanto, raccogliere correttamente le prove è uno dei compiti più importanti e più difficili dell'investigatore.

Tipi di prove

Le fonti di prove legali che possono essere presentate in tribunale generalmente rientrano in una delle quattro principali categorie:

  • Prova diretta: Questa è una testimonianza orale o una dichiarazione scritta basata su informazioni raccolte attraverso i cinque sensi del testimone (un testimone oculare) che provano o confutano un fatto o un problema specifico.
  • Prova reale (o fisica): Questi sono oggetti tangibili dal crimine effettivo, come questi:

• Strumenti e armi

• Proprietà rubata o danneggiata

• Nastri di sorveglianza visivi o audio

    Le prove fisiche da un crimine informatico sono raramente disponibili.
  • Prove documentali: La maggior parte delle prove presentate in un caso di reato informatico sono prove documentali, come le seguenti;

• Originali e copie dei record aziendali

• Record generati dal computer e archiviati dal computer

• Manuali

• Politiche

• Standard

• Procedure

• File di registro > Le registrazioni aziendali, inclusi i registri informatici, sono tradizionalmente considerate prove ingiustificate dalla maggior parte dei tribunali, in quanto tali registrazioni non possono essere dimostrate accurate e affidabili. Uno degli ostacoli più importanti per un pubblico ministero da superare in un caso di criminalità informatica è la richiesta di ammissione di record informatici come prova.

    Prova dimostrativa.
  • Utilizzato per aiutare la comprensione di un caso da parte della corte. Le opinioni sono considerate prove dimostrative e possono essere o

Esperto: Sulla base di esperienza personale e fatti

Nessuno escluso: Basati solo su fatti Altri esempi di dimostrativo le prove includono modelli, simulazioni, grafici e illustrazioni.

    Altri tipi di prove che possono rientrare in almeno una delle principali categorie precedenti includono

Migliore evidenza:

  • Prove originali e inalterate. In tribunale, questo è preferito rispetto alle prove secondarie. I dati estratti da un computer soddisfano la regola di prova migliore e possono normalmente essere introdotti nei procedimenti giudiziari in quanto tali.
  • Evidenza secondaria:
  • Un duplicato o una copia di prove, come • Backup su nastro

• Cattura schermo

• Fotografia

Prova di conferma:

  • Supporta o conferma altre prove presentate in un caso. Prova conclusiva:
  • Incontrovertibile e irrefutabile: la pistola fumante. Prove circostanziali:
  • fatti rilevanti che non possono essere collegati direttamente o definitivamente ad altri eventi ma su cui può essere fatta una ragionevole inferenza. Ammissibilità delle prove

Poiché le prove generate dal computer possono spesso essere facilmente manipolate, alterate o manomesse, e poiché non sono facilmente e comunemente comprese, questo tipo di prove viene solitamente considerato sospetto in un tribunale.

Per essere ammissibili, la prova deve essere:

Pertinente:

  • Deve tendere a dimostrare o confutare fatti rilevanti e rilevanti per il caso. Affidabile:
  • Deve essere ragionevolmente provato che ciò che viene presentato come prova è ciò che è stato originariamente raccolto e che le prove stesse sono affidabili. Ciò si ottiene, in parte, attraverso un'adeguata gestione delle prove e la catena di custodia. Legalmente consentito:
  • Deve essere ottenuto con mezzi legali. Le prove che non sono legalmente consentite possono includere prove ottenute attraverso questi mezzi:

Ricerca e sequestro illegale: Il personale delle forze dell'ordine deve ottenere un ordine giudiziario precedente; tuttavia, il personale non incaricato dell'applicazione della legge, come un supervisore o un amministratore di sistema, può essere in grado di condurre una ricerca autorizzata in determinate circostanze. •

Intercettazioni telefoniche illegali o prese telefoniche: Chiunque conduca intercettazioni telefoniche o prese telefoniche deve ottenere un ordine giudiziario precedente. •

Intrappolamento o allettamento: Entrapment incoraggia qualcuno a commettere un crimine che l'individuo potrebbe non avere alcuna intenzione di commettere. Viceversa, allettamento attira qualcuno verso qualche prova (un vaso di miele, se vuoi) dopo che quell'individuo ha già commesso un crimine. L'allettamento non è necessariamente illegale ma solleva argomenti etici e potrebbe non essere ammissibile in tribunale. •

Coercizione: Le testimonianze o le confessioni forzate non sono legalmente consentite. •

Monitoraggio non autorizzato o improprio: Il monitoraggio attivo deve essere adeguatamente autorizzato e condotto in modo standard; gli utenti devono essere informati che potrebbero essere soggetti a monitoraggio.

Sicurezza + Certificazione: Computer Forensics e Incident Reponse - dummies

Scelta dell'editore

Il programma in cinque passaggi per superare la menopausa - dummy

Il programma in cinque passaggi per superare la menopausa - dummy

Alcune donne capiscono a malapena che la menopausa è loro. Altre donne, tuttavia, sono meno fortunate. Se sei uno di questi, prendi in mano questi pochi modi per rendere la tua esperienza più facile per te stesso: capisci e accetta che stai attraversando una transizione naturale, proprio come la pubertà. Fortunatamente, sei più vecchio e più saggio di te ...

Menopausa For Dummies Cheat Sheet (edizione UK) - dummies

Menopausa For Dummies Cheat Sheet (edizione UK) - dummies

Menopausa segna la fine della fase riproduttiva della tua vita e così è un momento significativo di cambiamento fisico, emotivo e mentale per molte donne ma, per generazioni, donne di tutte le età hanno vagato alla cieca in menopausa senza sapere cosa aspettarsi. Qui puoi scoprire alcune delle nozioni di base.

Perimenopausa: facilitare la transizione dalle mestruazioni alla menopausa - manichini

Perimenopausa: facilitare la transizione dalle mestruazioni alla menopausa - manichini

Mestruazioni e menopausa sono ben noti biologici pietre miliari nella vita di una femmina. Contrariamente al pensiero popolare, la menopausa non è il periodo di mesi o anni in cui una donna sta "attraversando il cambiamento". "Questo lasso di tempo è chiamato perimenopausa. La menopausa è una data effettiva nel tempo. In particolare, è il 12 ° anniversario dell'ultimo ciclo mestruale di una donna. ...

Scelta dell'editore

Come utilizzare il filtro automatico personalizzato su una tabella di Excel - dummies

Come utilizzare il filtro automatico personalizzato su una tabella di Excel - dummies

È Possibile creare un filtro automatico personalizzato . Per fare ciò, seleziona il comando Filtro testo dal menu della tabella e scegli una delle opzioni di filtro del testo. Indipendentemente dall'opzione di filtro del testo selezionata, Excel visualizza la finestra di dialogo Filtro automatico personalizzato. Questa finestra di dialogo consente di specificare con estrema precisione quali record si desidera ...

Come utilizzare la funzione DPRODUCT in un database Excel - dummies

Come utilizzare la funzione DPRODUCT in un database Excel - dummies

DPRODUCT moltiplica i valori che corrispondono al criterio in un database Excel. Questo è potente ma anche in grado di produrre risultati che non sono l'intenzione. In altre parole, è una cosa da aggiungere e ricavare una somma. Questa è un'operazione comune su un set di dati. Osservando la seguente figura, è possibile ...

Come utilizzare la funzione DPRODUCT in Excel - dummy

Come utilizzare la funzione DPRODUCT in Excel - dummy

La funzione DPRODUCT in Excel è strana. La funzione DPRODUCT moltiplica i valori nei campi da un elenco di database in base ai criteri di selezione. Perché vorresti farlo? Chissà. La funzione utilizza la sintassi = DPRODUCT (database, campo, criteri) in cui il database è un riferimento all'intervallo alla tabella di Excel che contiene il valore desiderato ...

Scelta dell'editore

Programmazione con Java: riutilizzo dei nomi nella tua app per Android - dummies

Programmazione con Java: riutilizzo dei nomi nella tua app per Android - dummies

Ci sono un paio di cose a cui vuoi pensare quando riutilizzi i nomi nella tua app per Android. È possibile dichiarare due variabili Java - bag1 e bag2 - per fare riferimento a due diversi oggetti BagOfCheese. Va bene. Ma a volte, avere solo una variabile e riutilizzarla per il secondo oggetto funziona altrettanto bene, ...

Java: Mettere a frutto l'uso della classe - dummies

Java: Mettere a frutto l'uso della classe - dummies

La classe Employee nell'elenco non ha alcun metodo principale , quindi non c'è un punto di partenza per l'esecuzione del codice. Per risolvere questo problema, il programmatore scrive un programma separato con un metodo principale e utilizza tale programma per creare istanze Employee. Questo elenco di codici mostra una classe con un metodo principale - uno che inserisce il ...

Classi wrapper java - dummies

Classi wrapper java - dummies

La differenza tra tipi primitivi e tipi di riferimento è una delle funzionalità più controverse di Java e gli sviluppatori si lamentano spesso sulle differenze tra valori primitivi e valori di riferimento. Ogni tipo primitivo viene cotto nella lingua. Java ha otto tipi primitivi. Ogni tipo di riferimento è una classe o un'interfaccia. È possibile definire il proprio ...