Microsoft Windows 7 u sebi donosi neke posve nove tehnologije koje predstavljaju izazov forenzičkoj analizi i posljedičnim vještačenjima. Detaljnije o tome u sljedećem tekstu.

First Look at the Windows 7 Forensics

U broju od studenog 2009. u slovenskom mjesečnom časopisu “Varnostni forum” posvećenom informacijskoj sigurnosti objavljen je intervju (stranice 16-18).  Intervju je na engleskom jeziku te je posvećen vještačenjima odnosno računalnoj forenzici. Na reviju se možete pretplatiti putem Internet stranica Varnostnog foruma a intervju možete preuzeti klikom na sliku ispod, ili u sekciji s desne strane pod “Radovi”.

Odgovor na sigurnosne incidente u tehničkom smislu je zahtjevna aktivnost, no u svojoj osnovi se oslanja na iskustvo, tehničko znanje i imaginaciju tehničkog osoblja zaduženog za pojedine funkcije unutar korporacije. Najvećim dijelom tehnička reakcija na sigurnosne incidente je problematična aktivnost jer je vremenski ograničena na čim kraći rok - kako bi se sačuvali dokazi, spriječila dodatna šteta po informacijske sustave i djelatnost organizacije, odgovor na sigurnosni incident mora biti čim brži, ali i u skladu sa zakonskim propisima odnosno principom očuvanja dokaza.

U ovoj interesantnoj knjizi su na granularni način izložene konkretne tehničke aktivnosti koje se provode kako bi se osigurala adekvatna reakcija na sigurnosne incidente.

Incident Response - Computer Forensics Toolkit

No, čak i kada je tehnički odgovor na sigurnosne incidente adekvatan, odnosno ukoliko je on možda bio automatski, koristeći već preinstalirana hardverska i softverska rješenja, u kompleksnim organizacijama potpunost odgovora na incidente često se oslanja na onu komponentu organizacije koja je najviše podložna voluntarizmu a to je organizacijska komponenta. Odluka o posljedicama sigurnosnog incidenta najčešće je na upravi organizacije ili službi za ljudske resurse a ako te procedure nisu jasno određene, moguće je da prijetnja koja je rezultirala incidentom i dalje ostane ugrađena u sustav, odnosno da osim tehničke nema i organizacijske reakcije na incident.

Širenjem i integracijom uređaja potrošačke elektronike zadnjih godina pojavila se i forenzika GSM uređaja. GSM uređaji imaju procesor, memoriju i vrlo često u sebi sadrže podatke o rutama i lokacijama na kojima se GSM uređaj nalazio što može biti dodatni pokazatelj u dokazivanju u nekom slučaju s kriminalnom pozadinom.

U zadnjih nekoliko godina pojavili su se i vrlo jeftini uređaji za ometanje GSM signala koji u potpunosti mogu obezvrijediti klasične kombinirane uređaje koji koriste GPS i podatkovnu vezu (GPRS/UMTS/HSDPA) koji se koriste  za osiguravanje praćenih vozila (skupocjeni automobili, vozila koja prevoze vrijedne pošiljke ili novac). Ometači GSM i GPS signala mogu se kupiti već za 60 do 90 US$!

Smatra se da je sljedeći korak koji će vjerojatno poduzeti pripadnici kriminalnog miljea GPS spoofing. U potencijalnom scenariju tako bi bilo moguće oteti vozilo koje je praćeno preko GPSa a koje prevozi npr. novac, lažirati signal i nastaviti ga emitirati preko podatkovne veze dok je vozilo u biti oteto i prepraćeno na posve drugu lokaciju.

GPS spoofing - sudski vještak informatike i telekomunikacija Saša Aksentijević

Testovi provedeni u Velikoj Britaniji pokazuju kako postoje na crnom tržištu uređaji snage 2 W koji su sposobni ovisno o konfiguraciji terena ometati propagaciju GPS signala u radijusu do 30 km i koji vrlo dobro obavljaju svoju zadaću.

Protumjera za ovakve sustave je uglavnom korištenje zemaljskih lokacijskih sustava koji imaju funkciju zamjenskih lokacijskih sustava i koji su se počeli razvijati nakon Drugog svjetskog rata a koji su upravo zbog relativno lakog ometanja GPS signala ponovo dobili na važnosti. Takav sustav je npr. eLoran.  Oni su ipak nešto manje osjetljivi na ometanje ovog tipa no daleko su od komercijalne uporabljivosti u gotovo svim uvjetima i na svim lokacijama što je značajka GPS sustava.

Ovih dana aktualni su u medijima DoS napadi.

Ostavimo na stranu konkretan slučaj, moguće motive i počinitelje, pa čak i način na koji je konkretno napad učinjen. Orijentirajmo se na komentar što bi točno trebalo učiniti kod prevencije DoS napada te kod oporavka od istoga. Naime, kod ovakve vrste prijetnji, koje bi trebale biti obuhvaćene općom implementacijom ISMS-a, najvažnije je proaktivno ponašanje. Reaktivna (povratna) reakcija svodi se na uspostavljanje ugroženih mrežnih servisa, sanaciju eventualno počinjene štete i naposlijetku, eventualno, otkrivanje počinitelja.

Pet je temeljnih mjera koje je potrebno poduzeti kako bi se unaprijed smanjila mogućnost uspješnih DoS napada, odnosno smanjio njihov utjecaj na mrežne i aplikativne sustave:

• Procedure konfiguriranja i nabave mrežne opreme (firewalli, routeri, switchevi) moraju biti u skladu s temeljnim ciljevima politika osiguranja mrežne sigurnosti, odnosno u ovom slučaju dostupnosti (u okviru klasične C-I-A trijade, izbjegavanje DoS napada je klasična razrada “Availability” vrha trokuta - u zadnje vrijeme postoje i tzv. permanent DoS napadi, kod kojega hackeri postižu kontrolu nad hardverskim komponentama i flashaju sustave programima blokirajući permanentno njihov rad, čime se ne ugrožava samo raspoloživost sustava nego i njihov integritet - “I” vrh trokuta)

• Hardverski sustavi za prevenciju uskraćivanja usluge - radi se o samostalnim hardverskim komponentama (”appliances”) koje se instaliraju u mreži prije samog aplikacijskog servera koji se štiti a mogu podržavati i zajednički način rada sa mrežnom opremom. Postoji čitav niz ponuđača ovakvih uređaja od kojih svaki ima svoje mane i prednosti a zajedničko im je da posjeduju postavljanje i određivanje prioriteta u mrežnom prometu, mogućnost hardverske akceleracije prometa te inteligentne (proaktivne) analize prometa u potrazi za sumnjivim obrascima. Ovisno o mogućnosti regulacije prometa, brzini rada te implementiranim algoritmima cijena ovakvih sustava najčešće u osnovnoj konfiguraciji kreće od 15.000 EUR nadalje, uvećano za godišnje održavanje (u pravilu oko 20 % nabavne cijene)  pa je njihova cijena najčešći razlog zašto se svjesno ne primjenjuju u zaštiti mrežnih sustava

• Sustavi za prevenciju upada (intrusion prevention systems), hardverski ili softverski, u slučaju DoS napada mogu biti efikasni ukoliko se radi o napadima koji imaju tipični obrazac odvijanja uz koji se može povezati određeni “digitalni potpis”. IPS sustavi tipično funkcioniraju slično sustavima antivirusne zaštite, tako da se od strane pružatelja zaštitnih usluga koji održava bazu “digitalnih otisaka” napada primjenjuju najnovije definicije koje zatim hardversko ili softversko rješenje koristi u analizi mrežnog prometa tragajući za tipičnim obrascima ponašanja. IPS sustavi moraju imati jaku procesorsku snagu jer moraju biti sposobni odvojiti legitimni promet od onoga koji je dio DoS napada, moraju vršiti online analizu sadržaja mrežnog prometa. Glavni ograničavajući čimbenik je taj što većina DoS napada koristi legitimne oblike prometa koji zbog svog volumena postižu maliciozne ciljeve.

• Jasno dokumentirane procedure implementacije ISMSa, a unutar njih, razrada postupaka i kontingencijskih procedura vezano uz IP adrese, komunikacijske kanale i serverske resurse te oporavak od katastrofe i kontinuitet obavljanja temeljne djelatnosti i pružanje usluga; vezano uz to jasni SLA ugovori

• Ugovori sa specijaliziranim konzultantskim kućama koje se bave tzv. odgovorom na napad. Takve kuće tipično pružaju specijalizirane usluge kriznog rukovođenja incidentom na tehničkom nivou, odnosno visoko su specijalizirane pri zaustavljanju napada, otklanjanju štetne radnje koja blokira pružanje mrežnih usluga i oporavak usluge na početne razine.Pritom je važno reći kako u Republici Hrvatskoj ne postoji niti jedna tvrtka koja bi se ekskluzivno bavila samo ovom djelatnošću - tržište ovakve usluge čiji korisnici su isključivo osviješteni korporativni korisnici je jednostavno previše malo da bi si tvrtke dozvolile specijalizaciju ove vrste. Stoga neka poduzeća nude odgovor na incidente u svojoj ponudi, no radi se o vrlo dinamičnoj grani tehničke informacijske sigurnosti i ostavlja se klijentima procjena validiteta takvih ugovora i ponuđenih usluga pošto nije jednostavno dobiti komercijalnu ponudu a još je teže obaviti komparaciju

Kada je jednom došlo do uspješnog napada, vrlo često je uz tehnički odgovor potreban i odgovor korištenjem metoda socijalnog inženjeringa. Vrlo je teško a s praktičnog stajališta ponekad i potpuno nemoguće utvrditi odakle dolazi napad i tko je za njega “kriv”, odnosno tko je inicijator u smislu jedne osobe ili organizacije. Naime, sofisticirane DoS napade koji nisu jednostavni “flooding” moguće je uz nešto detaljne pripreme pokrenuti na način da je čak i teoretski gotovo nemoguće otkriti koja osoba fizički stoji iza napada. Stoga je česta pojava neadekvatne reakcije onih koji su napadom pogođeni a koja često ide u smjeru “otkrivanja i kažnjavanja jednog krivca”. Potrebno se primarno orijentirati na načine zaustavljanja napada i sprečavanja ponavljanja istih napada u budućnosti.

Uobičajeno je da su investicije u informacijsku infrastrukturu na granici minimalno mogućeg i praktičnog umjesto da djeluju razvojno i proaktivno, jer još uvijek postoji svijest o tome kako je ICT isključivo trošak pošto se u Hrvatskoj danas vrlo rijetko računa povrat na investiciju u ICT sektoru a uprave korporacija posjeduju jako malo praktičnog znanja o ulozi i položaju strateške informatičke funkcije svodeći je na uslužnu potpornu djelatnost. Primjena ili nekorištenje nekih ili većine navedenih principa zaštite mrežnih usluga u svjetlu te činjenice spada u domenu procjene odnosno prihvaćanja objektivno postojećeg rizika.

U slučaju medijskih kuća koje kao isključivi komunikacijski medij koriste Internet i računalne mreže, mišljenja sam kako je poslovni model u kojemu se prihvaća rizik napada na mrežne sustave ili mu nije posvećena maksimalna pažnja (u praksi se to svodi na investicije i znanje, interno ili konzultantsko) u najmanju ruku manjkav, odnosno nije u skladu s temeljnim pravilima poslovne logike.

Apple iPhone nije baš “preopterećen” naprednim sigurnosnim rješenjima. Propusti u sigurnosnim značajkama i korištenje jednostavnih tehničkih rješenja u neku ruku olakšavaju rad forenzičkim istražiteljima. Ovaj video koji traje oko 10 minuta objašnjava postupak forenzičke analize iPhonea koji je zaštićen lozinkom a bez crackiranja iste - sve tehnike koje se na video isječku koriste definitivno spadaju u tzv. etičko hakiranje. Iste metode koje koristi istražitelj može koristiti i maliciozni hacker ili osoba koja ima fizički pristup iPhoneu, a djelomično i preko WiFi mreže. Zanimljivo je da se niz podataka nalazi na iPhoneu u nekriptiranom string obliku što olakšava dalju analizu. U svakom slučaju, ovakav nepotpuni pristup informacijskoj sigurnosti od strane proizvođača olakšava rad i forenzičarima i hakerima. Na samom kraju video clipa, forenzičar iznosi tvrdnju kako po njegovom mišljenju iPhone definitivno nije “enterprise grade” uređaj koji bi bio podesan za uporabu od strane vladinih tijela ili u korporativnom okruženju sa čime se može u potpunosti složiti.

Prošli tjedan, 18.06.2009. godine u okviru emisije eHrvatska na HRT2 emitiran je prilog o računalnoj forenzici. To je jedna od rijetkih autorskih emisija u hrvatskim medijima koja je uopće, makar površno, popratila uobičajene aktivnosti računalne forenzike.

Zahvaljujući kolegi Goranu koji je emisiju dobavio u digitalnom obliku, možete je pogledati na ovim stranicama u dva nastavka, ili je s ove poveznice skinuti u jednom komadu za gledanje na lokalnom računalu (datoteka ima 146 MB i bit će raspoloživa za skidanje do 01.07.2009. godine). Prilog o računalnoj forenzici se nalazi u drugom nastavku nakon pete minute.

eHrvatska o računalnoj forenzici - I  dio

eHrvatska o računalnoj forenzici - II dio

U kontaku s ljudima a osobito zaposlenicima unutar velikih sustava, vrlo često se može primijetiti zaokupljenost temom privatnosti i sigurnosti vlastitih podataka i akcija, načina korištenja poslovnog računala ili računalnog sustava. Današnja računala i računalni sustavi toliko su kompleksni da ih je ponekad teško u cjelovitosti “shvatiti” i predmetnim ekspertima, tako da uobičajena “dnevna” ili “laička” logika primjenjena na računalne sustave počesto ne uspijeva s visokim stupnjem značaja korelirati sa stvarnom situacijom.

Odgovarajući na pitanje što je danas privatno ili skriveno od ostalih, a da se tiče konteksta korištenja računala i računalnih mreža, može se poslužiti izjavom menadžera Sun Microsystemsa, Scotta Mcnealyja, kojega su pitali to pitanje i koji je rekao - “You have zero privacy anyway. Get over it.”

Doista, to je točno. Postoje samo različiti stupnjevi napora i raspoloživosti resursa koji mogu biti angažirani kako bi se nečija privatnost ograničila ili se u nju proniknulo. Pokažimo to na jednom primjeru - nečije navike korištenja Interneta možda nisu lako raspoložive nekoj drugoj osobi,no već mogu biti proučene i relativno lako praćene od strane istražnih organa. No, ono što se možda može sakriti istražnim organima, neće promaknuti sudskom vještaku ili forenzičaru, ili će forenzičar nešto naslutiti ali neće moći dokazati zbog nedostatka direktnih podataka, što bi ga dovelo u područje špekulacije. Naposlijetku, ono što ne može dokazati ili reproducirati forenzičar, zasigurno će moći sustavi poput Echelonea.

Isto tako, zanimljivo je, primarno s psihološkog stanovišta, kako ljudi koji su inače inherentno paranoični svoje ponašanje pri korištenju računala shvaćaju kao da se radi o sustavu s apsolutno osiguranom privatnošću, čak niti ne koriste firewalle, antivirusne programe, ne vode brigu o svojim lozinkama, korisničkim imenima, PIN brojevima ili tragovima koje ostavljaju za sobom. Štoviše, bez posebnog dokaza, nego iz čistog iskustva, moglo bi se reći da čim je osoba više paranoična oko privatnosti u “realnom” životu, ukoliko se ne radi o računalnom stručnjaku (a ponekad i onda!), manje vode brigu o svom “elektroničkom otisku stopala”.

Oduzimanje osobne privatnosti osobito je uzelo maha u zadnjih desetak godina, te nakon napada 11.09. u SAD. Dodatna regulacija osobne privatnosti zakonskom legislativom nažalost u globalu ne rezultira povećanim stupnjem sigurnosti iste, nego povećanom nadležnošću i olakšanom pristupu analizi privatnosti fizičkih osoba od strane vlade, njenih organizacija i velikih poslovnih sustava, odnosno korporacija. Neki od tipičnih regulatornih mehanizama preko kojih se ovo postiže su korištenje biometrije od strane državnih tijela čime se u biti prikupljaju podaci koji jedinstveno identificiraju ljude, prikupljanje osobnih podataka implicitnom silom i uvjetovanje suradnje davanjem pristanka na korištenje osobnih podataka (osobito prisutno u poslovanju banaka gdje bez takvog pristanka praktično nije moguće ostvariti poslovnu suradnju), te prikupljanje i korištenje osobnih podataka od strane tvrtki o njihovim zaposlenicima.

Čak i jednostavne online kupovine ili kupovina softvera vrlo često u sebi kriju ozbiljne prijetnje po privatnost fizičkih osoba.

Naposlijetku, najbolji savjet koji je moguće dati laiku, cum grano salis,  je nikada ne uzimati vlastitu privatnost za gotovo, dobro otvoriti oči, napregnuti mozak i pri korištenju računala ponašati se jednako kao pri otvaranju vlastitog novčanika u javnosti.

Jedno od često postavljanih pitanja je koja je uopće razlika između disciplina informacijske sigurnosti i računalne forenzike. Da li se radi o nekom novom “triku”, potezu kojim se dodatno diferenciraju područje informacijske sigurnosti i upravljanja informatikom ili se stvarno radi o autentičnoj disciplini.

Odgovor na ovo pitanje je vrlo jednostavan. Tamo gdje prestaje efikasnost funkcije informacijske sigurnosti koja je usmjerena primarno proaktivno, počinje područje računalne forenzike i vještačenja, koji su po svojoj prirodi krajnje reaktivni. Ta se točka se može točno odrediti - radi se o sigurnosnom incidentu.

Evo jednog videa koji jasno objašnjava odnos reaktivnog i proaktivnog te govori o ciljevima i temeljnim sastavnicama informacijske sigurnosti:

Velika je razlika između osobina koje se traže za stručnjaka informacijske sigurnosti, osobito onog koji se bavi tehničkim kontekstom, te forenzičara računalnih sustava. Patterson je rekao da “računalni forenzičar mora imati strpljenje fotografa divljih životinja i literarne sposobnosti Marka Twainea” - forenzičar mora imati znanje o tehničkom funkcioniranju vrlo kompleksnih sustava za masovnu obradu podataka, no  istovremeno mora imati sposobnost objašnjavanja karakteristika tih sustava na sudu koristeći vrlo kratke i laicima lako razumljive definicije.

Zanimljiv video koji konkretno govori o poslu računalnog forenzičara, koji je potekao iz ICT redova:

Drugi dio članka sa savjetima o tome što činiti u slučaju zloupotrebe računala ili mreže u poduzeću - no, opći postupak je isti i u slučaju mogućih zloupotreba osobnih računala, prijenosnih računala, palmtop računala, mobilnih telefona i ostale računalne i telekomunikacijske opreme.

Osvrnut ćemo se na to što bi trebalo učiniti kako bi se osigurala lakša analiza opreme forenzičkim istražiteljima ili vještacima  po njihovom angažmanu.

1. Vrlo rijetko potrebno je djelovati odmah, naime, računalni i komunikacijski sustavi uglavnom zadržavaju “dokaze” na sebi duže vrijeme, tako da ima dovoljno vremena da se na miru napravi akcijski plan. Koga obavijestiti unutar poduzeća? Da li je prekršen zakon? Da li je potrebno kontaktirati policiju? Da li je potrebno kontaktirati odvjetnički ured? Da li se može provesti interna istraga?
2. Potrebno je identificirati moguće izvore dokaze u terminima korištene i moguće kompromitirane računalne opreme u fizičkom smislu i popisati ih
3. Isto kao pod točkom 2. napraviti s mogućim medijima - diskete, CD/DVD optički mediji, tvrdi diskovi, USB diskovi, vanjske USB memorije, memorijske kartice, digitalne foto kamere
4. Da li su zlouporabljivana i druga računala, npr. “zajednički” terminali, računala suradnika iz ureda ili poduzeća, mobilni telefoni, palm računala, elektronski organizatori?
5. Koji servisi i baze podataka su možda kompromitirani i gdje se oni nalaze, da li su interni ili vanjski (distribuirani)?
6. Identificirati trake i medije na koje je izvršen zadnji funkcionalni backup (pohrana) podataka i *ne vršiti* povrat podataka s njih prije nego što računalni forenzičak izuzme dokaze
7. Identificirati i spremiti postojeće dnevnike (logove) pristupa koji su pohranjeni na računalima, mrežnoj opremi, serverskim sustavima, telefonskim centralama i faks uređajima. Oni mogu biti od velikog interesa i pomoći forenzičaru, odnosno vještaku
8. Da li je dio zlouporabe računalnog sustava poduzeća vršen preko računala koje se nalazi van poduzeća, npr. osobno kućno ili prijenosno računalo osobe na koju se sumnja? Na kojoj lokaciji se nalazi to računalo i da li će biti od interesa u istražnim radnjama?

Bitno je sačuvati korištene računalne sustave od promjene.

1. Ukoliko je računalo isključeno, neka ostane isključeno, pošto se ponovnim uključenjem mogu pobrisati važni tragovi
2. Ukoliko se radi o mobilnom telefonu, fiksnom bežičnom telefonu ili palmtop uređaju, spojiti ga na izvor električne struje kako se po pražnjenju baterije računalo ne bi ponovo startalo i kako se ne bi uslijed dubinskog pražnjenja izgubili mogući tragovi
3. Ukoliko je suspektno računalo uključeno, neka ostane uključeno do dolaska računalnog forenzičara i izuzimanja tragova i mogućih dokaza
4. Računalo treba isključiti (fizičkim uklanjanjem kabela) iz računalne i telefonske mreže, kako bi se spriječio možebitni daljinski pristup računalu i uklanjanje dokaza
5. Po zajedničkom dogovoru odgovornih, koordinirati sa rukovoditeljem informatičke službe promjenu glavnih lozinki za korištenje sustava te isključivanje mogućnosti korištenja računalnog sustava i sustava elektroničke pošte osobama koje su mogući počinitelji zlouporabe, no samo ako je procijenjeno da je to od interesa za istragu
6. Sve izuzete dokaze treba spremiti na sigurno mjesto i osigurati ključem, te popisati i pohraniti tijek poduzetih koraka s potpisima odgovornih osoba. Po potrebi, u ovaj proces moguće je uključiti javne bilježnike

Naposlijetku, najbolji savjet bio bi imati uspostavljen preliminarni kontakt s računalnim forenzičarem, odnosno vještakom, osobito u slučaju većih organizacija koje koriste kompleksne računalne sustave, kako bi se osigurao pravovremeni odgovor i reakcija u ovakvim situacijama.

Nekoliko je najčešćih slučajeva u kojima korporativni klijenti naručuju forenzičke analize računalnih sustava a obično se tiču postupanja prema sadašnjim ili bivšim zaposlenicima.

Stoga bih pokušao savjetovati odgovorne koji odlučuju o poduzimanju koraka o tome što učiniti a što ne učiniti ukoliko je došlo do evidentne ili suspektne zlouporabe računalnog sustava ili mreže.

U ovom članku, reći ću što pritom nikako NE BI trebalo učiniti.

• Pristupiti problematici mirno i bez panike a osobito izbjegavati bilo kakav oblik pisane i telefonske komunikacije. Ukoliko postoji opravdana sumnja u štetan događaj ili je već nastupila šteta po hardver ili softver u poduzeću, sumnja li se da je računalni ili komunikacijski sustav korišten na način koji nije sukladan poslovnoj politici ili je čak prekršen zakon, potrebno je uz potpunu povjerljivost raspraviti korake s vrhovnim nivoima odlučivanja unutar organizacije, pritom minimizirajući broj uključenih u konkretno postupanje. Vrlo često, osobito u slučajevima kriminalnog karaktera, prijestupe ove vrste čine ljudi kojima se vjeruje, koji su na visokim pozicijama i uključeni su u održavanje sustava.

• Najvažnije je ne izazvati sumnju kod onih u koje se sumnja, jer to može rezultirati daljim kompromitiranjem računalnog i telekomunikacijskog sustava ili brisanjem podataka.

• Temeljna greška koju čini dosta rukovoditelja je konfrontiranje sumnjivaca odmah po otkrivanju možebitnog korištenja računala u nedozvoljene svrhe i na nedozvoljeni način, a prije nego što je forenzičar izuzeo moguće dokaze temeljem kojih će se kasnije postupati u mogućem radnom sporu ili sudskom procesu.

• Ne izbjegavati kontakt s policijom. Ukoliko je na bilo koji način prekršen zakon, po dogovoru s odgovornim osobama organizacije odnosno poduzeća, potrebno je obavijestiti policiju.

• Ne isključujte iz struje uključena računala koja su možda korištena od strane sumnjivaca i ne gasite ih, osigurajte im sigurno napajanje strujom do kontaktiranja računalnog forenzičara.

• Ne uključujte isključena računala jer uključivanjem možete pobrisati važne tragove.

• Naposlijetku, jedna od najvećih šteta može biti počinjena od strane djelatnika internih odjela za upravljanje informatičkim tehnologijama i telekomunikacijama ukoliko se pokuša provesti interna istraga. Područje računalne forenzike vrlo je kompleksno i osobe koje imaju visoku razinu obrazovanja u radu s računalima nisu nužno i osobe koje mogu provesti istragu ove vrste. Ukoliko se ne zna točno koji je postupak forenzičke analize, ne posjeduju se adekvatni alati i ne shvaćaju se pravne implikacije dokaza koji se nalaze na računalima i računalnim sustavima, vrlo lako može doći do toga da se ili nehotice korumpiraju i unište dokazi ili da pribavljene informacije u eventualnom sudskom sporu ne budu prihvaćene.

Evo kako izgleda i što se radi u jednom od petnaest računalnih forenzičkih laboratorija FBI-a u Albuquerque-u.

Vrlo zanimljiv intervju s Robertom Fitzgeraldom iz tvrtke Lorenzi Group, specijalizirane za računalnu forenziku. Na jednostavan i svima shvatljiv način objašnjava tijek procesa forenzičke analize, ali i na koji način fizičke osobe i korporacije mogu ne samo koristiti usluge računalnog forenzičara nego i primijeniti temeljne obrasce integralne i tehničke zaštite kako bi zaštitili svoje računalne resurse i poslovne procese.

Encase je jedan od najpoznatijih računalnih forenzičkih alata koji je našao svoj put i u mnoge državne institucije koje se bave informacijskom sigurnošću i forenzičkim aktivnostima širom svijeta. Pogledajte kratku demonstraciju zašto je to tako.