Metodologia live forensic polega na zabezpieczaniu dowodów elektronicznych z uruchomionych systemów komputerowych.
Metoda ta jest alternatywą do standardowego zabezpieczenia materiału dowodowego, kiedy badane urządzenie jest wyłączone. Może ono także służyć do zabezpieczania danych, które nie są dostępne w przypadku wyłączonego sprzętu.
Praktyka wskazuje na fakt, iż takie podejście jest coraz śmielej stosowane podczas zabezpieczania danych.
Powodów aby stosować metodologię live forensic pojawia się z każdym rokiem coraz więcej (oto kilka z nich):
- Systemy, których nie można wyłączyć – np. komputery przemysłowe, urządzenia medyczne itp.
- Szyfrowanie danych – pełne szyfrowanie dysków (full disk encryption) może uniemożliwić dalszy dostęp do danych w sytuacji kiedy zabezpieczenie zostanie wykonane w tradycyjny sposób (dead box acquisition)
- Rozwiązania antiforensic – możliwości i dostępność narzędzi utrudniających analizę danych (tzw. antiforensic) są coraz większe. Często są one zaprogramowane aby usuwać i nadpisywać dane podczas wyłączania urządzenia.
- Dane ulotne (volatile data) – informacje zapisane w pamięci RAM, które zanikają po wyłączeniu badanego systemu. Informacje takie mogą stanowić istotny fragment materiału dowodowego.
- Wolumen danych – rosnące pojemności nośników stanowią wyzwanie pod kątem czasu potrzebnego do zabezpieczenia oraz analizy danych.
- Dane w chmurze – zauważalny wzrost ilości danych przechowywanych w systemach typu cloud wymusza na specjalistach zmianę podejścia podczas ich zabezpieczania.
W maju 2016 roku, na stronie ForensicFocus.com, największym forum internetowym zrzeszającym specjalistów z zakresu informatyki śledczej, ogłoszono wyniki ankiety, gdzie specjaliści z całego świata wyrazili swoje zdanie na temat wyzwań w ich pracy.
Największym wyzwaniem okazały się dane w chmurze (23%), szyfrowanie (21%) oraz rosnący wolumen danych (11%). Naturalną odpowiedzią jest tutaj metodologia live forensic/triage. Potrzebę oraz znaczenie metodologii live forensic/triage podkreśla coraz większe grono specjalistów informatyki śledczej, e-discovery ale także przedstawicieli służb oraz komercyjnych zespołów bezpieczeństwa.
Według Envision Discovery, w 90% spraw postępowania cywilnego, zabezpieczanie materiału dowodowego całościowo, tj. w formie kopii binarnej jest przesadą. Coraz częściej powoduje ono problemy natury prawnej, wydłuża czas analizy, blokuje aktywa ludzkie oraz zwiększa koszty postępowania.
W swojej opinii firma zaznacza, iż specjaliści powinni być wyposażeni w narzędzia do live forensic/triage, które wykorzystane oraz udokumentowane w odpowiedni sposób, mogą zostać obronione przed sądem.
Kolejnym przykładem z USA, jest dokument FRE (Federal Rules of Evidence), który określa m.in. w art. 901 (a), że:
„(a) In General. To satisfy the requirement of authenticating or identifying an item of evidence, the proponent must produce evidence sufficient to support a finding that the item is what the proponent claims.”
Interpretacje wskazują na fakt, iż materiał zabezpieczany na uruchomionym systemie, np. w formie kopii logicznej (targeted collection) jest akceptowany, o ile zostaną przedstawione dowody jego prawidłowego zabezpieczenia oraz jest on tym milej widziany, iż pozwala na ograniczenie obciążenia sądów z powodu nadmiernego gromadzenia (zabezpieczania danych).
Wątpliwości odnośnie uzyskiwania dostępu do uruchomionego systemu można rozwiać w sytuacji, kiedy taki dostęp jest np. jedyną możliwością zabezpieczenia wskazanych danych oraz jest ona udokumentowana w sposób wykluczający możliwość nadinterpretacji zachowania specjalisty – np. w formie protokołu zabezpieczenia oraz dokumentacji audiowizualnej.
Dokumentacja ACPO – Association of Chief Police Officers to zbiór dobrych praktyk oraz zaleceń dotyczących zachowania z elektronicznym materiałem dowodnym, określa m.in., że:
“In exceptional circumstances, where a person finds it necessary to access original data held on a computer or storage media, that person must be competent to do so and be able to give evidence explaining the relevance and implications of their actions.”
Informacja ta oznacza nic innego, jak to, iż zgodnie z ACPO, metodologia live forensic może zostać użyta, o ile taki dostęp jest wymagany podczas zabezpieczenia/postępowania oraz, iż zostanie ono wykonane przez profesjonalistę, który w razie potrzeby, będzie w stanie wybronić oraz uzasadnić swoje postępowanie.
Reasumując, metodologia live forensic/triage powinna być traktowana jako pełnoprawny sposób zabezpieczania danych. Wymaga ona jednak więcej niż tradycyjne zabezpieczenie o czym należy zawsze pamiętać. Połączenie metod live forensic oraz tradycyjnego modelu zabezpieczania elektronicznego materiału dowodowego dają pełny obraz zabezpieczanego systemu.
