Computer Evidence Recovery Plan

Voorwoord en Methodologie

Een rechter kan een machtiging afgeven voor de inbeslagname van een computer, zodat het bewijs kan worden ingewonnen van de harde schijf.

Dit artikel schetst vijf fasen die nodig zijn om bewijs-data te herstellen van de computer. Door de geschetste procedure te volgen, wordt de kans dat het gewonnen bewijsmateriaal in opspraak komt, tot een minimum beperkt.

CD-ROM’s voor veiligheid

Voor de verzekering van de integriteit van het computer bewijs wordt voorgesteld dat alle gegevens-bestanden gekopieerd worden naar een slechts eenmaal beschrijfbare schijf zoals een CD-Read Only Memory (CD-ROM).

De alternatieve benadering is om de computer harde schijf te klonen. Hoewel het klonen in eerste instantie logisch klinkt, zijn er enkele problemen verbonden aan deze methode.

Nadelen van een kloon

Alle harde schijven zijn lezen en schrijven media. Dit betekent dat wanneer informatie wordt gekloond op een harde schijf het ook kan worden gewijzigd. Het zou bijna onmogelijk zijn gegevens te veranderen op een slechts eenmaal schrijven CD-ROM. Ten tweede, wanneer u een kopie van een harde schijf maakt, dan kopieert u alles, dus inclusief alle operationele software.

Dit kan een redelijke hoeveelheid geheugen bezetten. In werkelijkheid is het bewijs meestal te vinden in de data files. Data files zijn goed voor een veel kleiner deel van de harde schijf ruimte en zijn daarom gemakkelijker te behandelen.

Harde schijf klonen

In het geval dat door de tijdsdruk of de omstandigheden het niet mogelijk is om de operationele software en data bestanden van de computer te scheiden, kan de harde schijf worden gekloond. Dit dient te geschieden met strikte bewaring van het bewijsmateriaal zodat er geen twijfel over kan bestaan dat de data files ooit werden veranderd.

Als de harde schijf is gekopieerd, is het nog steeds aanbevolen om de bestanden vervolgens te kopiëren naar CD-ROM's. Dit zorgt ervoor dat er sneller naar bestanden gezocht kan worden zonder het risico dat de bestanden worden veranderd.

Indien de volgende stappen zijn gevolgd, kan elke uitdaging, waarbij het bewijs in opspraak komt, gewonnen worden.

Fase 1: Voorontwerp Procedure -
Verkrijg Login Namen en pincodes

1. Verzoek voor bewijs de computer inlog naam en wachtwoord of een Personal Identification Number (PIN).
2. Verzoek voor bewijs computer e-mail inlog naam en wachtwoord of PIN.
3. Verzoek voor bewijs computer encryptie codes, encryptie wachtwoorden, en software voor de data files indien van toepassing.

Opmerking: een gerechtelijk bevel kan worden verlangd voor de bovenstaande informatie.

Reden voor Fase 1
De computer die het bewijs bevat, kan een gebruikerswachtwoord en PIN-code verlangen. Hetzelfde geldt ook dat de computer een e-mail wachtwoord en PIN-code heeft. Als de wachtwoorden en pincodes niet gemakkelijk beschikbaar zijn, wordt het moeilijker en gaat het veel meer tijd kosten om toegang te krijgen tot de computer en de bestanden.

Opmerking: Specifieke bestanden kunnen gecodeerd zijn. Het kan zeer moeilijk zijn, zo niet onmogelijk, om toegang te krijgen tot deze gecodeerde bestanden zonder de encryptie software en code.

Fase 2: Toegang en verdubbeling van het bewijsmateriaal

1. Inventarisatie van alle gegevens met inbegrip van verborgen bestanden en verwijderde bestanden. Identificeer alle e-mail bestanden.
2. Kopieer die bestanden op CD-ROM’s die zoals gezegd slechts eenmaal beschrijfbaar zijn.
3. Nadat alle kopieën zijn gemaakt, verklaar dat elk bestand is gekopieerd van de computer met het bewijs.

Opmerking: Gebruik een logsheet dat een lijst van bestanden en een handtekening van een gemachtigde getuige bevat, als elk bestand of groep bestanden wordt gekopieerd.

Reden voor Fase 2
Er worden meestal drie soorten data files geidentificeerd. Dit zijn tekstbestanden, spreadsheets en grafische bestanden. Deze bestanden bevatten doorgaans bewijsmateriaal. Deze gegevens moeten worden ingedeeld in toegewezen mappen met labels voor het traceren van bewijs. De labels kunnen identiek zijn aan die van de bestaande computer mappen. De dossiers en de bijbehorende mappen kunnen nu worden gekopieerd op een slechts eenmaal schrijven CD-ROM. Het bewijs zal dus intact en onveranderbaar blijven.

Fase 3: Software Identificatie

1. Inventarisatie van alle gebruikte software op de computer met bewijzen.
2. Identificeer de e-mail account client en leverancier.
3. Heb de beschikking over een andere computer (de zogenaamde Computer nr. 2). Laad de software op deze secundaire computer die al eerder is geïdentificeerd.
4. Plaats de CD-ROM-schijf (eerder beschreven met data files) in Computer nr. 2.
5. Review en print alle of geselecteerde bewijs bestanden zoals vereist.

Reden voor Fase 3
De eerder gekopieerde bestanden moeten nu worden bekeken. Dit vereist de identificatie van de bijbehorende software. Meest waarschijnlijk zal het Microsoft Word, Microsoft Excel en misschien wel een extra grafisch programma, zoals PowerPoint zijn. Het e-mail programma moet ook worden geïdentificeerd. Alle benodigde software dient dus geïdentificeerd en geïnstalleerd te worden op een andere computer. Deze computer moet worden gelabeld Computer nr. 2. Computer nr. 2 zal worden gebruikt voor het weergeven en afdrukken van het bewijsmateriaal.

Fase 4: Ontdekken van E-mail bewijs
(E-Mail Evidence Discovery)

1. Identificeer de e-mail provider.
2. Verzoek toegang tot alle beschikbare e-mail bestanden van de e-mail-server van de provider.

Opmerking: De toegang tot de e-mail server van de bewijscomputer kan een gerechtelijk bevel nodig hebben.

Reden voor Fase 4
E-mail bewijs kan worden gevonden op de e-mail client server. De e-mail provider kan worden vastgesteld aan de hand van de informatie op de harde schijf. Bovendien, moeten de e-mailadres contactboeken ook worden herzien om ander bewijs vast te stellen.

Fase 5: Evaluatie van het bewijs

Dit is de laatste fase van het bewijsmateriaal onderzoek. Alle data files zijn nu op CD-ROM's en Computer nr. 2 heeft de nodige software geladen om het bewijsmateriaal te kunnen bekijken en te evalueren.

De advocaat kan nu willen zoeken binnen alle bestanden op naam of belangrijke zinnen, om zo snel specifiek bewijs eruit te halen. Of, de advocaat wilt bestanden sorteren op datum en de chronologie van de gebeurtenissen herzien.

Indien het onderzoek dus goed is uitgevoerd, zijn deze opties beschikbaar door de evidence discovery.