数字取证在刑事侦查中的作用

来自Hillsborough灾难的证据最初仅以TATTY笔记本和水受损文件夹的形式,直到一系列软盘来到光线,并找到了关键文件。此外,还恢复了薄膜和摄影证据,并达到了案件的解决方案。证据在所有情况下至关重要,但采购和物理恢复并不像听起来那么简单。

挑战是,可能在历史性案例中对调查人员最兴趣的数据很可能以旧的甚至过时的格式存储。我们可能已经很久以前使用了一次普遍存在的3.5英寸甚至5.25英寸的软盘,但随着我们的调查往往展示,并不意味着组织完全摆脱了旧媒体。

虽然最佳实践指示数据从旧存储格式转移到备份磁带上,或者越来越多地,云,在我们的经验中,我们的经验旧软盘驱动器永远不会死,他们只是在橱柜或场外设施中放入箱子或箱子。

作为持续调查的一部分,找到磁盘是一回事,但识别它们的信息是相当的。随着技术在组织内刷新并更新,阅读旧文件格式的手段消失。就像一个家庭拥有一个充满录像带或LP记录的家庭,只能播放它们,但是,这么大量的企业组织保留了他们的IT设备无法再读取的磁盘和磁带。

答案可能是从同一时代源的旧机器,并希望它们都兼容。但是,您不知道会发生什么或者您是否能够提取相关文件。从外部的角度来看,机器可能看起来工作条件,但内部隐藏的失败或损坏可能会对您工作并防止从发现任何数据。

跟踪文档的作者或编辑可以同样挑战。例如,Microsoft Word文档可以具有其中包含的多个日期和时间戳,每当起草文档时都会被调用,保存,修改打印或共享。

缠绕在磁带中

如果组织选择将数据备份到磁带而不是简单地将旧磁盘放入存储,那么调查人员出现了一系列新的挑战。磁带对结构化文件存储解决方案非常不同。

在基本级别,磁盘结构可以有三种或四种主要格式–基于Windows的格式,如FAT32和NTFS,基于UNIX的格式,如UFS和EXT3,Apple HFS,以及使用相当标准的设备,访问数据相对简单。

另一方面的胶带更加多样化。例如,在过去七年的一段时间内,磁带技术持续改变,特别是与能力有关,最新的LTO6可以包含大规模的6.25tB的数据。至少使用20种不同的磁带物理格式,所有这些都需要适当的硬件并给出技术刷新的频率,从七年前可以在当前解决方案中读取磁带。

要添加到此并发症,可能有20个用于写入磁带的20个软件解决方案,每个解决方案都具有自己的格式。因此,虽然您可能需要六个或七个选项来恢复磁盘的数据,但在磁带方面,您可能正在查看400个组合之间的选择。具有所使用的软件的正确设备和知识是必不可少的(并且后者通常由于碎片化或不完整的保留方法)。当然,一旦您有磁带和选择恢复选项,您需要确定跨跨度集合在一起的磁带。

在一个理想的情况下,公司已经存档和记录了所有内容,并且可以识别所需的录像机,并且它们处于工作状态,问题是他们最后审查他们保留的数据的时间是什么时候?我个人见过的最古老的数据集是32岁,也包含了微薄卷轴。

许多公司将磁带放入存储中,然后未能审查由于缺乏履行数据保留和销毁政策而保持需要保留。不仅可以引起不必要的存储成本,而且在申请申请人的情况下,这显着增加了与访问,处理和审查数据相关的时间尺度和成本。

诉讼案件和监管机构和其他调查人员的要求可能需要严格的截止日期。所以当请求到达时,您有15年的胶带考虑,您将要做什么?希望该请求将与特定时间段相关联,但如果您无法识别您可能需要调查所有这些的相关磁带,导致对监管机构的响应延迟,甚至是非合作的印象。

在硬币的另一边,如果取证团队能够找到数据,即使组织认为它是无可挽回的,他们也可能面临数据隐私法犯规的风险,特别是现在,一般数据保护规则(GDPR)是在2017年追踪。

企业和个人需要考虑如何“摧毁”数据,如果这真的得到了预期的结果。数据可以在我们曾经认为隐藏的地方或'忘记'中找到。然而,由于技术进步数字法医团队正在从磁数据到云存储的数据存储的转变,这是引入新的挑战。

社交媒体转变

有一段时间,电子证据可能会补充其他类型的证据。现在,它必须是另一方面,因为我们接近案例,知道电子证据可能是初级或唯一的证据来源。

随着今年的众多新闻报道,这种电子证据越来越需要从社交媒体渠道中源众。当然,它不仅是生活在社交媒体上的名人,你只需要看看自己的数字足迹,以知道你是谁以及你所说的很大一部分,现在在社交媒体渠道上播放记录并能够播放。

即使从加密的iPhone手机或WhatsApp消息中提供信息,也存在通常其他方法来识别案例或调查所需的数据。

幸运的是,我们的现代依赖技术依赖于数字取证造成了巨大的增长。假设甚至可以检索原始数据的微小部分,数字取证团队能够复制副本并生成文件列表及其内容。多年来,这些团队能够适应和推进其能力,现在法律案件和犯罪调查严重依赖于其服务。

一些解决方案

尽管如此,公司现在必须具有有效和完全记录的信息保留政策和实践,涉及AE业务的所有相关部分。需要解决一些关键问题。来自法律方面;记录需要保持多长时间?从安全方面;记录应该保存在哪里?从一个方面;如何保存这些记录以及在有技术刷新时需要完成的?最后从整体商业角度来看,谁将维持所有必要的记录并拥有审查过程?

未来格式

上面概述的任何情况都没有表明,在数据存储复杂性方面,任何事情都会发生变化。实际上,格式的数量只会继续蘑菇,在调查人员库存列表中添加到堆积的现有磁盘,磁带和设备。良好的做法信息治理是允许的简化数据存储的唯一方法,这些数据存储可以由取证专家进行成本有效地检查。

Kroll Ontrack.的主要顾问Tony Dearsley撰写。

Kroll Ontrack.颜色TM

(来源: Kroll Ontrack.)

发表评论