Lar Finanças Pessoais Segurança + Certificação: Computer Forensics e Incident Reponse - dummies

Segurança + Certificação: Computer Forensics e Incident Reponse - dummies

Índice:

Vídeo: Projeto MUFFIN de Resposta a Incidentes - Tony Rodrigues - Workshop SegInfo 2011 2025

Vídeo: Projeto MUFFIN de Resposta a Incidentes - Tony Rodrigues - Workshop SegInfo 2011 2025
Anonim

Computer forensics envolve a realização de uma investigação para determinar o que aconteceu, descobrir quem é responsável e coletar legalmente provas admissíveis para uso em um caso de crime informático.

Estreitamente relacionado, mas distintamente diferente das investigações, é a resposta ao incidente. O objetivo de uma investigação é determinar o que aconteceu, determinar quem é responsável e coletar provas. Resposta a incidentes determina o que aconteceu, contém e avalia danos e restaura as operações normais.

As investigações e a resposta a incidentes devem ser conduzidas simultaneamente de forma bem coordenada e controlada para garantir que as ações iniciais de qualquer das atividades não destroem evidências ou causem danos adicionais aos ativos da organização. Por esse motivo, as Equipes de Resposta ao Incidente de Computador (ou Emergência) (CIRT ou CERT, respectivamente) precisam ser devidamente treinadas e qualificadas para garantir uma cena ou incidente do crime, preservando evidências. Idealmente, o CIRT inclui indivíduos que conduzem a investigação.

Realização de investigações

Uma investigação de crime informático deve começar imediatamente após o relatório de um presunto crime informático ou incidente. Inicialmente, qualquer incidente deve ser tratado como uma investigação de crime informático até que uma investigação preliminar determine o contrário. Os passos gerais a serem seguidos no processo de investigação são os seguintes:

  • Detectar e conter: A detecção precoce é fundamental para uma investigação bem-sucedida. Infelizmente, as técnicas de detecção passiva ou reativa (como a revisão de trilhas de auditoria e descoberta acidental) geralmente são a norma em crimes de computador e, muitas vezes, deixam uma fuga de fatos. A contenção é essencial para minimizar mais perdas ou danos.
  • Gerenciamento de notificação: O gerenciamento deve ser notificado de qualquer investigação o mais rápido possível. O conhecimento da investigação deve limitar-se ao menor número possível de pessoas e deve ser feito com base em necessidade de conhecimento. Os métodos de comunicação fora da banda (relatório em pessoa) devem ser usados ​​para garantir que as comunicações sensíveis sobre a investigação não sejam interceptadas.
  • Comece a investigação preliminar: Isto é necessário para determinar se um crime realmente ocorreu. A maioria dos incidentes são erros honestos, e não uma conduta criminal. Esta etapa inclui

• Revisão da queixa ou relatório

• Inspeção de danos

• Entrevistas de testemunhas

• Registro de registros

• Identificação de novos requisitos de investigação

  • Iniciando a determinação da divulgação: O primeiro e a coisa mais importante a determinar é se a lei revela o crime ou o incidente.Em seguida, determine se a divulgação é desejada. Isso deve ser coordenado com um funcionário de relações públicas ou assuntos públicos da organização.
  • Realize a investigação:

Identifique possíveis suspeitos. Isso inclui insiders e estrangeiros para a organização. Um discriminador padrão para ajudar a determinar ou eliminar possíveis suspeitos é o teste MOM: o suspeito tem motivo, oportunidade e meios para cometer o crime?

Identificar potenciais testemunhas. Determine quem deve ser entrevistado e quem realizará as entrevistas. Tenha cuidado para não alertar qualquer suspeito potencial para a investigação; concentrar-se na obtenção de fatos, não opiniões, em declarações de testemunhas.

Prepare-se para busca e apreensão. Isso inclui identificar os tipos de sistemas e evidências a serem pesquisados ​​ou apreendidos, designando e treinando os membros da equipe de busca e apreensão (CIRT), obtendo e servindo mandados de busca adequados (se necessário) e determinando o risco potencial para o sistema durante um esforço de busca e apreensão.

  • Resultados do relatório: Os resultados da investigação, incluindo evidências, devem ser reportados ao gerenciamento e entregues aos funcionários responsáveis ​​pela aplicação da lei ou procuradores apropriados.

Evidências

Evidências é uma informação apresentada em um tribunal de justiça para confirmar ou dissipar um fato que está em disputa. Um caso não pode ser julgado sem provas suficientes para apoiar o caso. Assim, reunir adequadamente evidências é uma das tarefas mais importantes e difíceis do investigador.

Tipos de evidência

Fontes de provas legais que podem ser apresentadas em um tribunal de justiça geralmente se enquadram em uma das quatro categorias principais:

  • Prova direta: Este é um testemunho oral ou uma declaração escrita baseada em informações coletadas através dos cinco sentidos da testemunha (uma conta de testemunha ocular) que prova ou refuta um fato ou problema específico.
  • Evidência real (ou física): Estes são objetos tangíveis do crime real, como estes:

• Ferramentas e armas

• Propriedade roubada ou danificada

• Fitas de vigilância visual ou de áudio

    A evidência física de um crime informático raramente está disponível.
  • Prova documental: A maioria das evidências apresentadas em um caso de crime informático são evidências documentais, como as seguintes;

• Originais e cópias de registros comerciais

• Registros gerados por computador e armazenados em computador

• Manuais

• Políticas

• Padrões

• Procedimentos

• Arquivos de registro > Registos de negócios, incluindo registros de computador, são tradicionalmente considerados evidências de boato na maioria dos tribunais porque esses registros não podem ser comprovados e confiáveis. Um dos obstáculos mais significativos para um promotor a superar em um caso de crime informático é buscar a admissão de registros de computador como prova.

    Evidência demonstrativa.
  • Usado para ajudar o entendimento do tribunal sobre um caso. As opiniões são consideradas evidências demonstrativas e podem ser

Especialista: Com base em conhecimentos pessoais e fatos

Nonexpert: Com base em fatos apenas Outros exemplos de demonstrativos A evidência inclui modelos, simulações, gráficos e ilustrações.

    Outros tipos de provas que podem cair em pelo menos uma das principais categorias anteriores incluem

Melhor evidência:

  • Prova original, inalterada. No tribunal, isso é preferido em relação à evidência secundária. Os dados extraídos de um computador satisfazem a melhor regra de evidência e normalmente podem ser introduzidos nos procedimentos judiciais como tal.
  • evidência secundária:
  • Uma cópia duplicada ou cópia de evidência, como • Backup de fita

• Captura de tela

• Fotografia

Evidência corroborativa:

  • Apoia ou comprovou outras evidências apresentadas em um caso. evidência conclusiva:
  • Incontroversível e irrefutável: a arma fumegante. Evidência circunstancial:
  • Fatos relevantes que não podem ser direta ou conclusivamente conectados a outros eventos, mas sobre o qual uma inferência razoável pode ser feita. Admissibilidade da evidência

Como as provas geradas por computador podem ser facilmente manipuladas, alteradas ou adulteradas, e, como elas não são facilmente e comumente entendidas, esse tipo de evidência geralmente é considerado suspeito em um tribunal.

Para ser admissível, a prova deve ser:

Relevante:

  • Deve tender a provar ou refutar fatos relevantes e relevantes para o caso. Confiável:
  • Deve ser razoavelmente comprovado que o que é apresentado como evidência é o que foi originalmente coletado e que a evidência em si é confiável. Isto é realizado, em parte, através do tratamento adequado de evidências e da cadeia de custódia. Legalmente permitido:
  • Deve ser obtido por meios legais. A evidência que não é legalmente permitida pode incluir evidências obtidas através destes meios:

Pesquisa e apreensão ilegais: O pessoal de aplicação da lei deve obter uma ordem judicial anterior; no entanto, pessoal não-policial, como um supervisor ou administrador do sistema, pode realizar uma pesquisa autorizada em algumas circunstâncias. •

Chamadas telefônicas ilegais ou toques de telefone: Qualquer pessoa que realize ligações telefônicas ou toques de telefone deve obter uma ordem judicial anterior. •

Entrapment ou tentativa: Entrapment encoraja alguém a cometer um crime que o indivíduo pode ter não teve intenção de cometer. Por outro lado, tentativa atrai alguém para alguma evidência (um pote de mel, se você quiser) depois que esse indivíduo já cometeu um crime. O engenho não é necessariamente ilegal, mas levanta argumentos éticos e pode não ser admissível no tribunal. •

Coerção: Os testemunhos ou as confissões coercivas não são legalmente permitidos. •

Monitoramento não autorizado ou inadequado: O monitoramento ativo deve ser devidamente autorizado e conduzido de maneira padrão; Os usuários devem ser notificados de que podem estar sujeitos a monitoramento.

Segurança + Certificação: Computer Forensics e Incident Reponse - dummies

Escolha dos editores

Como o Colégio dos Cardeais Escolhe um Novo Papa - manequins

Como o Colégio dos Cardeais Escolhe um Novo Papa - manequins

Quando um papa morre no cargo ou renuncia , como fez o Papa Bento XVI no início de 2013, o Colégio dos Cardeais (todos os cardeais da Igreja Católica) reuniu-se para eleger um novo papa. No prazo de 15 dias e no máximo 20 dias após a morte ou renúncia do papa, todos os cardeais ...

Como o Papa João Paulo II tornou-se um filósofo-Teólogo - manequins

Como o Papa João Paulo II tornou-se um filósofo-Teólogo - manequins

Quando João Paulo II ainda era Karol Wojtyła, uma adolescente no ensino médio, ele era tão bom em falar em público que ele foi escolhido para dar o endereço de boas-vindas a um dignitário muito especial visitando a escola um dia. O Príncipe Adam Stefan Stanisław Bonfatiusz Józef Sapieha (que é um bocado), o Arcebispo de Cracóvia e um ...

Assunção de Mary no Céu - manequins

Assunção de Mary no Céu - manequins

No calendário católico, o Dia da Assunção observa o dia em que Maria morreu e subiu - corpo e alma - no paraíso. A Igreja Católica professa que quando o tempo de Maria na Terra chegou ao fim, seu corpo foi colocado em um túmulo, mas seu corpo não caiu na Terra. Em vez disso, seu filho, Jesus Cristo, assumiu o seu corpo ...

Escolha dos editores

Como excluir fotos na sua Nikon D5300 - manequins

Como excluir fotos na sua Nikon D5300 - manequins

Você tem três opções para apagar imagens de uma memória quando estiver na sua Nikon D5300. Uma nota antes de começar: nenhuma das funções Excluir apaga as imagens que você protege. Para apagar fotos protegidas, primeiro você deve remover a proteção do arquivo. Como eliminar imagens uma de cada vez Durante a reprodução da imagem, você ...

Como exibir a visualização de visualização ao vivo em uma tela HDMI - manequins

Como exibir a visualização de visualização ao vivo em uma tela HDMI - manequins

Você pode conectar seu Câmera Nikon D7100 para um dispositivo HDMI (Interface Multimídia de Alta Definição) para ver a saída Live View na tela. Esse recurso é freqüentemente usado por fotógrafos de estúdio que querem uma visão maior do assunto do que o monitor da câmera fornece. Alguns problemas surgem quando você aproveita esta opção: ...

Como ativar a rotação automática da imagem em sua Nikon D5300 - manequins

Como ativar a rotação automática da imagem em sua Nikon D5300 - manequins

Quando tirar uma foto, o seu D5300 pode gravar a orientação da imagem - seja você segurado a câmera normalmente, criando uma imagem orientada horizontalmente ou girando a câmera do lado para filmar uma foto verticalmente orientada. Durante a reprodução, a câmera pode então ler os dados de orientação e girar automaticamente a imagem para que apareça ...

Escolha dos editores

Construir confiança para vender em mídias sociais - manequins

Construir confiança para vender em mídias sociais - manequins

Se o seu objetivo online é concluir uma venda para seus amigos e fãs de redes sociais, você terá que dar a essas pessoas um olhar frio e difícil. Alguns acreditam que mais é melhor. Mas mais o que? Você precisa se concentrar em pessoas que, no final do dia, podem comprar algo de você diretamente ou ...

Criar sua própria comunidade social para comércio - manequins

Criar sua própria comunidade social para comércio - manequins

Em um site comercial bem produzido, você muitas vezes vêem um link para uma área de comunidade social, que também pode levar o site externo para sites de redes sociais. Esta área é onde as páginas de serviço ao cliente e perguntas freqüentes vivem. Você também pode encontrar uma comunidade de clientes para clientes que incentive a participação de quem visita o site comercial. Se você escolher ...