数字取证在刑事调查中的作用

希尔斯伯勒(Helsborough)灾难的证据原本只是以薄薄的笔记本和损坏水的文件夹的形式出现,直到发现一系列软盘并找到关键文件为止。除此之外,电影和摄影证据也得到了恢复,有助于案件的解决。在所有情况下,证据都是至关重要的,但是采购和实际恢复并不像听起来那样简单。

面临的挑战是,在历史案例中,调查人员可能最感兴趣的数据可能以旧的或什至过时的格式存储。我们可能很久以前就停止使用曾经无处不在的3.5英寸甚至5.25英寸软盘,但是正如我们的调查经常表明的那样,这并不意味着组织已经完全摆脱了它们的旧媒体。

最佳实践表明,数据已从旧的存储格式转移到备份磁带上,或者越来越多地从云中转移,但根据我们的经验,旧的软盘驱动器永远都不会消失,它们只是放在橱柜或异地设施的盒子中。

在正在进行的调查中查找磁盘是一回事,但是识别磁盘上的信息则是另一回事。随着组织内部技术的更新和更新,读取旧文件格式的方法也消失了。就像许多家庭在阁楼中存储着装满盒式磁带或LP记录的盒子一样,但是没有什么可播放的,因此,许多公司组织保留了磁盘和磁带,它们的IT设备无法再读取它们。

答案可能是从同一时代采购一台旧机器,并希望它们都兼容。但是,您不知道会发生什么或是否能够提取相关文件。从外观上看,机器可能处于工作状态,但是内部隐患或损坏可能正在对您造成不利影响,并阻止发现任何数据。

追踪文档的作者或编辑者同样具有挑战性。例如,Microsoft Word文档可能在其中包含多个日期和时间戳,每当草稿,保存,修改打印或共享文档时都会调用它们。

纠结在磁带

如果组织选择将数据备份到磁带上,而不是简单地将旧磁盘放入存储中,那么对于调查人员来说,将面临一系列全新的挑战。磁带与磁盘上的结构化文件存储解决方案完全不同。

在基本级别上,磁盘结构可以具有三种或四种主要格式–基于Windows的格式(例如FAT32和NTFS),基于Unix的格式(例如UFS和EXT3,Apple HFS)以及相当标准的设备,对数据的访问相对简单。

另一方面,磁带种类繁多。例如,在过去的七年中,磁带技术一直在变化,特别是在容量方面,而最新的LTO6可以包含6.25 TB的海量数据。仍在使用至少20种不同的磁带物理格式,所有这些都需要适当的硬件,并且考虑到技术更新的频率,在当前解决方案中极不可能读取七年前的磁带。

更复杂的是,可能有20种用于写入磁带的软件解决方案,每种都有自己的格式。因此,尽管您可能需要六个或七个选项来从磁盘恢复数据,但是对于磁带,您可能正在寻找400种组合之间的选择。拥有正确的设备和所使用软件的知识是必不可少的(由于经常使用零散或不完整的保留方法,后者常常会丢失)。当然,有了磁带后,在选择恢复选项之前,您需要确定哪些磁带作为跨组一起使用。

在理想的情况下,公司一直在归档和记录所有内容,并且可以识别所需的磁带并且它们处于正常工作状态,问题是,他们上次何时查看保留的数据?我个人所见过的最古老的数据集已经有32年的历史了,其中还包含缩微胶卷。

由于缺乏可靠的数据保留和销毁政策,许多公司将其磁带存储在存储中,但随后又没有审查保留磁带的需求。这不仅会导致不必要的存储成本,而且在要求进行电子数据发现的情况下,这还会大大增加与访问,处理和查看数据相关的时间尺度和成本。

诉讼案件以及监管机构和其他调查人员的要求可能非常苛刻,而且要求严格的期限。因此,当请求到达并且您需要考虑15年的录音带时,您将要做什么?希望该请求与特定时间段有关,但是,如果您无法识别相关的录像带,则可能必须对所有录像带进行调查,从而导致对监管机构的响应甚至是不合作的印象。

另一方面,如果即使组织认为无法取回,取证小组仍能够找到数据,则他们很可能会面临违反数据隐私法的风险,尤其是当通用数据保护法规(GDPR)在2017年走上正轨。

企业和个人需要考虑他们如何“销毁”数据,以及这是否真的获得了预期的结果。可以在我们曾经认为是隐藏或“遗忘”的地方找到数据。然而,随着技术的进步,数字取证团队正在看到数据存储从磁数据到云存储的转变,这带来了新的挑战。

社交媒体转移

曾经有一段时间,也许有电子证据可以补充其他类型的证据。当我们处理案件时,必须知道是另一种方式,因为我们知道电子证据很可能是主要或唯一的证据来源。

正如今年许多新闻报道所表明的那样,越来越多的电子证据需要从社交媒体渠道获得。当然,不仅仅是名人在社交媒体上过着生活,您只需要查看自己的数字足迹,即可知道您的大部分身份以及您所说的内容现在已在社交媒体渠道上播放,并且被记录并可以播放。

即使无法从加密的iPhone手机或WhatsApp消息中获取信息,通常也可以使用其他方法来识别案件或调查所需的数据。

幸运的是,我们当今对技术的依赖推动了数字取证的巨大增长。假设即使原始数据的一小部分都是可检索的,则数字取证团队能够复制副本并生成文件及其内容的列表。这些年来,这些团队已经能够适应并提高自身的能力,如今,法律案件和犯罪调查在很大程度上取决于其服务。

一些解决方案

尽管如此,对于公司而言,制定有效且充分记录的信息保留政策和做法,涉及企业业务的所有相关部分,现在至关重要。一些关键问题需要解决。从法律角度而言;记录需要保留多长时间?从安全方面考虑;记录应保存在哪里?从IT方面来看;技术更新后,这些记录将如何保存?需要做什么?最后,从整体业务角度来看,谁来维护所有必要的记录并拥有审核流程?

未来格式

上面概述的所有场景都没有暗示任何将来在数据存储复杂性方面会发生变化。实际上,格式的数量只会继续增加,这将增加调查人员的清单上已经存在的大量现有磁盘,磁带和设备。优良作法的信息治理是促进精简数据存储的唯一方法,可以由取证专家进行经济有效地检查。

由Kroll Ontrack首席顾问Tony Dearsley撰写。

Kroll Ontrack颜色TM

(资源: Kroll Ontrack)

发表评论