Τρίτη, 5 Ιανουαρίου 2016

Λίστα Lagarde και γιατί τελικά είναι άχρηστη νομικά ως πειστήριο.



5-1-16

Το τελευταίο διάστημα γίνεται ένας έντονος λόγος για τις λίστες με οικονομικούς φοροφυγάδες και πώς μια λίστα δόθηκε στην Ελληνική κυβέρνηση το 2013 για να χρησιμοποιηθεί για τον εντοπισμό τους, από την αξιωματούχο του IMF, C.Lagarde.

Η όλη ιστορία φυσικά αποδείχθηκε εξαρχής πώς αποτελούσε πυροτέχνημα πολιτικής μικροσκοπιμότητας καθώς τόσο η ΔΗΕ όσο και ειδικοί διαβεβαίωσαν πώς η λίστα δεν μπορεί να σταθεί σε δικαστήριο ως πειστήριο καθώς ήταν προϊόν παράνομης υποκλοπής, αλλά συνάμα δεν είχε ληφθεί ακολουθώντας σωστές διαδικασίες για να είναι άρτια τεχνικά και να μη έχει υποστεί αλλοίωση ή ακόμα και πρόσθεση στοιχείων που δεν υπήρχαν.

Στην πορεία μάλιστα , προ ολίγων μηνών έγινε ολόκληρη αναφορά στις κάθειρξη 15 ετών που επιβλήθηκε στον Falciani άλλοτε security  στέλεχος της εταιρίας που διέρρευσε τα στοιχεία έναντι αμοιβής. Η διαφορά βέβαια ήταν πώς οι κυβερνήσεις που πήραν αυτές τις λίστες , έκαναν χρήση τους για διασταύρωση στοιχείων και για πρόσκληση προς συμβιβασμό.. ΟΧΙ ΣΕ ΑΙΘΟΥΣΕΣ ΔΙΚΑΣΤΗΡΙΩΝ καθώς οι λίστες θα αποκλείονταν άμεσα από οποιοδήποτε νομικό στον κόσμο.

Σήμερα λοιπόν διαβάζουμε για μια κόντρα μεταξύ πολιτικής σκηνής και δικαιοσύνης για το νομικό του θέματος όσον αφορά θέματα υποκλοπών και σχετικών προϊόντω, μέσα από τεχνολογικά μέσα, προφανώς ξεχνώντας τα βασικά κομμάτια. Πώς το νομικό κομμάτι μιας απόδειξης διασφαλίζει την ακεραιότητα και την αρτιότητα του καθώς παρακολουθεί όλη την διαδρομή από το σημείο ανάνηψης μέχρι και το σημείο παράδοσης στην αίθουσα. Πρόκειται πραγματικά για τραγελαφική κατάσταση καθώς μια ματιά στις παρακάτω ΕΠΙΓΡΑΜΜΑΤΙΚΕΣ διαδικασίες που πρέπει να τηρηθούν για τέτοια δεδομένα νομίζουμε πώς δείχνει πόσο διαρκεί αυτό το πυροτέχνημα που στο τέλος αφήνει την Ελλάδα και τους θεσμούς της και πάλι ακάλυπτους. Καλό θα ήταν λοιπόν όταν μπαίνουν θέματα τεχνολογίας μαζί με νόμους, να καλούνται και κάποιοι ειδικοί του εκάστοτε χώρου για να δώσουν την συμβολή τους, πριν αρχίζει και γελάει όλη η παγκόσμια κοινωνία της τεχνολογίας μαζί μας.

Παρακάτω μια σειρά ΕΝΔΕΙΚΤΙΚΩΝ ΔΙΑΔΙΚΑΣΙΩΝ για ανάνηψη δεδομένων κατά αντιγραφή εγχειριδίου Digital Forensics που προφανώς και δεν τηρήθηκαν από τον Falciani όταν πήρε τα δεδομένα χωρίς συγκατάθεση και με παράνομο τρόπο.



Στον κόσμο της πληροφορίας και της ασφάλειας αυτής , κάθε σύστημα ή δίκτυο οποιουδήποτε μεγέθους και χρησιμότητας, βρίσκεται σε διαρκή έκθεση απέναντι σε κινδύνους που προέρχονται από το internet ή από εσωτερικούς παράγοντες στους χώρους που βρίσκονται. Η διαχείριση τους σε επίπεδο ασφάλειας και προστασίας είναι σίγουρα σημαντική και βρίσκεται στις πρώτες κατηγορίες ανάλυσης και σχεδιασμού, κατά την διάρκεια διαμόρφωσης και χρήσης ενός σχεδίου αντίδρασης/προστασίας.

 Παρόλα αυτά όμως , δεν θα είναι λίγες οι φορές που οι απειλές αυτές θα γίνουν πραγματικότητα και θα παραβιάσουν την ασφάλεια του συστήματος και του δικτύου. Η διαδικασία αντιμετώπισης από εκείνο το σημείο και μετά, σήμερα, διαμορφώνεται σε κάτι πολύ πιο πολύπλοκο , ακόμα και για ειδικούς τεχνικούς υπολογιστικών συστημάτων που μπορεί να είναι ικανοί σύμβουλοι ασφαλείας, αλλά αυτό δεν επαρκεί σε εκείνο το σημείο.
Σε μια υπόθεση ανεύρεσης στοιχείων μετά από παραβίαση ασφαλείας σε ψηφιακό επίπεδο , ανεξαρτήτως διαβάθμισης και σημαντικότητας, τα πρώτα ΣΩΣΤΑ βήματα είναι άγνωστα στους περισσότερους . Το αποτέλεσμα είναι ότι κάποιες ενέργειες που θα αποσκοπούν στην εύρεση «ψηφιακών ιχνών» του εισβολέα και τον προσδιορισμό της φύσης της επίθεσης ή ίσως ακόμα και το κίνητρο του επιτιθέμενου, θα αλλοιώσουν ή και διαγράψουν ακούσια , τα όποια σημαντικά ευρήματα. Οι διαδικασίες ανεύρεσης ψηφιακών ιχνών σε μια Digital forensic (Ψηφιακή Ιατροδικαστική) έρευνα , θα πρέπει να είναι απόλυτα προσδιορισμένες και παράλληλα να διατηρούν όσο αυτό είναι δυνατόν , τα ευρήματα αναλλοίωτα, από φυσική ή άλλη ενέργεια από τρίτους.
Αν και σε κάθε περίπτωση παραβίασης ασφαλείας, υπάρχουν συνεχώς μεταβαλλόμενα δεδομένα και παράγοντες που μπορεί να αλλάξουν την ροή ή την ιεραρχία των διαδικασιών , καλό θα είναι να ακολουθεί ο ερευνητής μια τυποποιημένη διαδικασία ανίχνευσης και εξακρίβωσης στοιχείων που θα διασφαλίζει την ακεραιότητα των στοιχείων στον υπολογιστή αλλά και στον φυσικό τόπο των ευρημάτων.

Προϋποθέσεις.


Η διατήρηση στοιχείων δεν είναι το μόνο κρίσιμο σημείο σχεδιασμού μιας έρευνας. Πριν φτάσει η όποια διαδικασία στο σημείο που θα αναλύσει και θα εντοπίσει τα όποια ευρήματα στον χώρο , υπάρχουν κάποιες προϋποθέσεις που θα διαφυλάξουν τόσο τον ερευνητή όσο και τον αναθέτη της έρευνας, από νομικά προβλήματα που μπορεί να προκύψουν όσο η διαδικασία προχωρά. Σε μια διαδικασία ως άνω , μπορεί για παράδειγμα να κληθεί ερευνητής για μια τυπική έρευνα στοιχείων από κάποιο ιδιώτη/εταιρία/οργανισμό , αλλά στην πορεία να διαπιστωθεί πως πλέον η υπόθεση αφορά και το ποινικό δίκαιο , όπου θα πρέπει να αποφανθεί δικαστήριο για την συνέχεια της. Αν τώρα η υπόθεση έχει ξεκινήσει με λάθος προϋποθέσεις και ενέργειες, είναι πολύ πιθανό , ο ερευνητής αλλά και ο εργοδότης του,  να βρεθούν  χωρίς νομική κάλυψη , αφού αρκετά πράγματα δεν θα έχουν τηρηθεί σύμφωνα με το γράμμα του νόμου.

Ένα πάρα πολύ απλό παράδειγμα είναι μια έρευνα σε εταιρικό δίκτυο , χαρακτηρισμένη ως «ιδιωτική»,  που αφορούσε κάποια μόλυνση σε υπολογιστή με Trojan και στην συνέχεια της έρευνας, να έχει διαπιστωθεί ότι ο χρήστης μετείχε σε κύκλωμα trafficking όπου διαπιστώθηκε αυτό σε ευρήματα εντός των αρχείων του. Εκεί όμως χωρίς το απαραίτητο ένταλμα , δεν θα μπορεί να στηριχθεί κατηγορία σε νομικό επίπεδο, αν  δεν υπάρχει ήδη κάποιο άλλο έγγραφο που να δηλώνει πως τα αρχεία,  είναι ιδιοκτησία της εταιρίας που εργάζεται και όχι δικά του. Στην παραπάνω περίπτωση λοιπόν , μπορεί ο χρήστης να διωχθεί ποινικά, αλλά η εταιρία θα παραμείνει χωρίς νομική κάλυψη απέναντι στον χρήστη – εγκληματία που θα μπορεί να κάνει αγωγή για παραβίαση ιδιωτικότητας προς αυτήν!!!!

Ένα από τα σημαντικότερα κομμάτια λοιπόν σε μια υπόθεση forensics, είναι πως κάθε φορά που θα ξεκινάει ο ερευνητής μια διαδικασία εντοπισμού ιχνών και στοιχείων , να λειτουργεί ακριβώς όπως θα έκανε και σε μια «δημόσια» υπόθεση που θα φτάσει σε δικαστήριο , ανεξάρτητα αν αυτό δεν γίνει ποτέ.
                                                         
                                                                 Πρώτες ενέργειες.

-          Σε κάθε υπόθεση στο στάδιο του σχεδιασμού της, είναι απαραίτητο να υπάρχει ένα πλαίσιο προκαθορισμένου χρόνου για τις ενέργειες που χρήζουν έρευνας, κατά εκτίμηση , δίνοντας κατά επέκταση μια επόμενη εκτίμηση για τον χρόνο που θα χρειαστεί να βγει το αποτέλεσμα αλλά και να κοστολογηθεί η όποια διαδικασία διεκπεραιωθεί.
-       Εξακρίβωση των εγγράφων και των αδειών που μπορεί να έχει ο ερευνητής (και έκδοση αν και εφόσον χρειάζονται κάποιων άλλων) , για να αναλύσει και να ανιχνεύσει το σύστημα/ δίκτυο  σε όποιο επίπεδο χρειαστεί, από τον αναθέτη της έρευνας  ή ακόμα και από τις Αρχές. Τα έγγραφα αυτά θα πρέπει να τοποθετηθούν στον φάκελο της τελικής αναφοράς ως αντίγραφα.

-       Τα εργαλεία που θα χρησιμοποιηθούν στην διαδικασία της υπόθεσης , θα πρέπει να είναι πιστοποιημένα για την γνησιότητα τους και αποδεκτά ως τέτοια από τις τοπικές Αρχές. Θα πρέπει  να αποδίδουν αποδεκτά αποτελέσματα και αρκετά ευκρινή, έτσι ώστε αν χρειαστεί να μπορούν να χρησιμοποιηθούν και σε νομική υπόθεση , αν η έρευνα καταλήξει εκεί.
-       Εκτίμηση των ικανοτήτων του ερευνητή σε σχέση με την δυσκολία της υπόθεσης. Αν διαπιστωθεί ότι ο ερευνητής δεν είναι ικανός, να αναλάβει μόνος του την έρευνα, τότε θα πρέπει να ζητηθεί βοήθεια από άλλο συνεργάτη , διαπιστευμένο και ικανό , έτσι ώστε να έρθει εις πέρας η έρευνα , στο επιθυμητό  επίπεδο ανάλυσης και ανίχνευσης.

                                                     Αρχική αναφορά.

-          Στον φάκελο της αρχικής αναφοράς θα πρέπει να περιέχεται ένα έγγραφο που να περιγράφει τα στοιχεία της υπόθεσης όπως εδόθησαν από τον αναθέτη της έρευνας (συνεντεύξεις, άδειες χρήσης, πολιτικές οργανισμού, υπεύθυνες δηλώσεις, νομικά έγγραφα, κτλ).

  Συνοδευτικά θα πρέπει να υπάρχει αρχικό έγγραφο που να αναφέρει τους υπεύθυνους ερευνητές όπως και όποιο άλλο νομικό έγγραφο μπορεί να έχει ανατεθεί σε αυτούς, για την τήρηση νομικών όρων στην έρευνα αυτή. Σε περίπτωση που υπάρχουν σχετικά συνοδευτικά έγγραφα, θα πρέπει να υπάρχουν και τα στοιχεία του νομικού εκπρόσωπου , υπευθύνου για το σχετικό κομμάτι της έρευνας.
-          Θα πρέπει να τοποθετηθεί και σχετική αναφορά που θα δηλώνει τα αρχικά στοιχεία του εξοπλισμού/αντικειμένου,  που θα τεθεί προς έρευνα, όπως και τα διαστήματα που θα γίνεται ενημέρωση όσον αφορά την πρόοδο της υπόθεσης. Στην αναφορά αυτή θα πρέπει να περιέχονται τα στοιχεία του εξοπλισμού όπως τα:
·         Ημερομηνιακή σφραγίδα του επεξεργαστή (CPU Timestamp) κατά την περίοδο της αναφοράς και της ενημέρωσης.
·         Μοναδικά χαρακτηριστικά εξοπλισμού (π.χ. κατασκευαστής, σειριακά νούμερα, μοντέλο κτλ.)
·         Πραγματική ημερομηνία , σύμφωνα με την χρονική ζώνη που διενεργείται η έρευνα.
·         Περιγραφή και φωτογραφίες από εξοπλισμό κατεστραμμένο ή αλλοιωμένο σε τέτοιο βαθμό που να μην μπορεί να αναλυθεί/ερευνηθεί.
·         Στοιχεία σχετικά με την έρευνα αλλά όχι σε ψηφιακό επίπεδο. Π.χ. φωτογραφίες του χώρου, στοιχεία του χρήστη που ανήκει το μηχάνημα, κτλ.

-          Μέσα στον αρχικό φάκελο αναφοράς , θα πρέπει να εσωκλείονται και τα απαραίτητα βιογραφικά και αντίγραφα πιστοποίησης ικανοτήτων της ομάδας έρευνας που θα συμμετέχει στην υπόθεση.
Ενέργειες στον χώρο έρευνας 
-        Αποκλεισμός του χώρου και της πρόσβασης σε αυτόν από οποιονδήποτε πλην των ερευνητών και των προσώπων που συμμετέχουν στην υπόθεση ως ερευνητές ή και βοηθοί αυτών.

-          Λήψη φωτογραφιών του χώρου, για να υπάρχει όσο το δυνατόν καλύτερη εικόνα του εξοπλισμού που θα ερευνηθεί. Ιδιαίτερη προσοχή σε κατεστραμμένο εξοπλισμό ανεξαρτήτως της σοβαρότητος της φθοράς που μπορεί να έχει. Οι φωτογραφίες διατηρούν την εικόνα του εξοπλισμού την χρονική περίοδο που λήφθηκαν. Να σημειωθεί εδώ ότι οι φωτογραφίες θα πρέπει να διατηρούν τον πραγματικό χρόνο λήψης αν είναι ψηφιακής μορφής και στην ονομασία τους να ονοματίζουν σχετικά αναφορά και να περιέχουν και την σχετική ημερομηνία.

-          Αν ο υπολογιστής είναι ενεργός, τότε η διακοπή σύνδεσης του με το δίκτυο αρχικά και τελικά η αποσύνδεση του από την παροχή ενέργειας θα πρέπει να γίνει σύμφωνα με τις σωστές διαδικασίες, για να αποφευχθεί απώλεια δεδομένων. Δεδομένου ότι αρκετές φορές, η αποσύνδεση δεν είναι δυνατή από την πηγή ενέργειας για την καλύτερη πρόοδο της έρευνας, μια τέτοια απόφαση μπορεί να ληφθεί αποκλειστικά και μόνο με την ευθύνη του ερευνητή και κανενός άλλου.
-       Καταγραφή όλου του εξοπλισμού που θα αναλυθεί με λεπτομέρειες (π.χ. σειριακό νούμερο, μοντέλο, κατασκευαστής κτλ.)
-       Αποθήκευση των υπαρχόντων μαγνητικών μέσων εγγραφής (στον ελεύθερο χώρο) σε ειδικές συσκευασίες που προστατεύουν από ηλεκτροστατικά πεδία, και στην συνέχεια τοποθέτηση ετικετών σε όλα τα ευρήματα , όπου οι αριθμοί αυτοί θα είναι και σχετικά αναφερόμενοι σε όλα τα έγγραφα και στο Ακριβές εικονικό/ψηφιακό αρχείο εικόνας που θα δημιουργηθεί.

-          Διερεύνηση για εξοπλισμό που μπορεί να σχετίζεται με ενέργειες σχετικές ή και άσχετες με την υπόθεση. Για παράδειγμα η ύπαρξη μιας web camera και αντίστοιχου capturing software, μπορεί να μην δείχνει κάποιο σημαντικό στοιχείο αρχικά, αλλά στην συνέχεια να αποδειχτεί οτι οδηγεί σε ποινικώς κολάσιμη πράξη (π.χ. παιδική πορνογραφία κτλ.)

-          Καταγραφή φυσικών συνδέσεων του συστήματος , τόσο εσωτερικά όσον αφορά τον εξοπλισμό του, όσο και εξωτερικά όσον αφορά περιφερειακά και στο δίκτυο.

-          Η συσκευασία των αντικειμένων εξοπλισμού και λοιπών στοιχείων αν αυτά σταλούν σε εργαστήριο , θα πρέπει να γίνει παρουσία του αναλυτή και στην συνέχεια να σφραγιστούν με ειδικό αυτοκόλλητο – σφραγίδα που θα δηλώνει την διατήρηση της ακεραιότητας των στοιχείων αυτών κατά την μεταφορά τους. Επίσης η κάθε συσκευασία θα πρέπει να φέρει ειδικά προστατευτικά αντικείμενα εντός της (afrolex, κτλ. )για να προστατευθεί ο εξοπλισμός από ατυχείς πτώσεις ή άλλες καταπονήσεις, μέχρι και την άφιξη του στο εργαστήριο έρευνας.

-          Συγκέντρωση αρχείων καταγραφής (log) από δικτυακό εξοπλισμό που συνδεόταν το τερματικό , π.χ. IDS, Firewalls, κτλ.

-          Συγκέντρωση στοιχείων από δευτερεύοντα εξοπλισμό που μπορεί να παρακολουθεί τον χώρο όπως CCTV, καταγραφές εισόδου σε αρχείο κτλ και αποθήκευση σε ειδικές θήκες ή σακούλες με αντίστοιχες ετικέτες και ενδείξεις, που προφυλάσσουν από ηλεκτροστατικά πεδία.

-          Αν είναι δυνατόν, και καλύπτεται ως ενέργεια,  από την αδειοδότηση για την συγκεκριμένη υπόθεση θα μπορεί να ληφθεί και ένα ακριβές αντίγραφο των διαμορφώσεων και των ρυθμίσεων , που αφορούν την σύνδεση του τερματικού με τον έξω κόσμο (π.χ. routers, switches, mail service κτλ. )

                                                                          Στο εργαστήριο.

-         
Η αποθήκευση των ευρημάτων και των στοιχείων θα πρέπει να γίνει σε ειδικά φυλασσόμενο και διαμορφωμένο  χώρο , όπου πρόσβαση θα έχει μόνο ο ερευνητής με ειδικό κλειδί πρόσβασης ή/και κωδικό ασφαλείας(π.χ. ντουλάπι , χρηματοκιβώτιο). Στα ράφια και θήκες εντός του χώρου, θα πρέπει να υπάρχει ειδική ένδειξη αντιστοιχίας με τις ταμπέλες που αναφέρονται τα ευρήματα.


-          Αν αφαιρεθεί εξοπλισμός μέσα από το τερματικό της υπόθεσης , θα πρέπει να δημιουργηθεί ειδική αναφορά με όλα τα στοιχεία του (π.χ. σειριακό νούμερο, μοντέλο κτλ) μαζί με τις όποιες ενέργειες σχετίσουν με την αφαίρεση αυτή με το όνομα του υπεύθυνου ερευνητή για αυτό. Διατήρηση του chain of custody για τον εξοπλισμό αυτό , ακόμα και αν επανέρθει στην πρότερη του κατάσταση εντός του τερματικού. Η σχετική φόρμα θα πρέπει να μπει και στον τελικό φάκελο αναφοράς. Αν δεν τοποθετηθεί πίσω, θα πρέπει να γίνει ειδική φόρμα που να περιγράφει το chain of custody , όπως και τα ονόματα των ατόμων που μετείχαν σε αυτές τις ενέργειες πάνω στο συγκεκριμένο κομμάτι του εξοπλισμού.

-          Κάθε ενέργεια θα πρέπει να καταγράφεται , μαζί με την χρονική σφραγίδα, το συγκεκριμένο κομμάτι του εξοπλισμού που εξετάζει, τα “raw” αρχεία που προέκυψαν όπως και μια τελική αναφορά με την τελική ανάλυση σε απλή εξήγηση. Φυσικά θα πρέπει να συνοδεύεται από το όνομα του ερευνητή που διενέργησε το συγκεκριμένο κομμάτι της εξέτασης.

-          Τα όποια αρχεία ερευνηθούν, θα πρέπει να καταγραφούν σε αντίγραφα και να καταχωρηθούν/αποθηκευτούν αντίστοιχα , μέχρι και το οριστικό πέρας της υπόθεσης. Μόλις τελειώσει η υπόθεση , μόνο τότε θα μπορεί να διαγραφεί το σύνολο των ευρημάτων , με ασφαλείς διαδικασίες καταστροφής τους (sanitization).

-          Τα εργαλεία που θα χρησιμοποιηθούν, όπως και τα αποτελέσματα που θα προκύψουν θα πρέπει να καταγραφούν σε ειδική φόρμα που θα περιέχει την σχετική ημερομηνία, το κομμάτι του εξοπλισμού, το directory των αρχείων στο σύστημα, τις ενέργειες που έγιναν , όπως και το όνομα του ερευνητή/ων.

-          Η έρευνα των συστημάτων δεν θα πρέπει να γίνονται απευθείας πάνω στο τερματικό που αποτελεί το στοιχείο της υπόθεσης. Θα πρέπει να γίνονται πάνω σε ακριβή εικονικά αντίγραφα των αρχείων , έτσι ώστε να είναι δυνατή η διατήρηση της ακεραιότητας των ευρημάτων , της υπόθεσης , σαν πειστήρια αποδείξεις , αναλλοίωτα από όποια ενέργεια.

-          Ειδική καταγραφή ενεργειών που σχετίζονται με ειδικές διαδικασίες στην σχετική έρευνα. Για παράδειγμα , διαδικασία brute-force σε κρυπτογραφημένα αρχεία και κωδικούς συστήματος. Το παραπάνω αποσκοπεί στην καλύτερη περιγραφή των επιπέδων ανάλυσης που γίνεται για την ανάνηψη στοιχείων και ευρημάτων.

-          Δδημιουργία ειδικού ψηφιακού χώρου (directory),για την αποθήκευση των  ευρημάτων και καταγραφών σχετικά με την υπόθεση ,που θα αποτελούν  την βάση για τον τελικό φάκελο αναφοράς.

Ο ψηφιακός χώρος θα πρέπει να είναι σε ειδικό τερματικό, σε φυλασσόμενο χώρο,  που δεν θα έχει σύνδεση με δίκτυο και αποκλειστική πρόσβαση σε αυτό θα έχει μόνο ο επικεφαλής ερευνητής και το προσωπικό που συμμετέχει στην έρευνα (βοηθοί). Κάθε είσοδο στο τερματικό για επεξεργασία δεδομένων ή άλλο σκοπό θα πρέπει να καταγράφεται με ειδικό λογισμικό που θα αποθηκεύει την χρονική σφραγίδα εισόδου(τοπική ώρα και ημερομηνία), τις ενέργειες που έγιναν (action monitoring) και θα τις εκτυπώνει άμεσα σε τοπικό εκτυπωτή παράλληλα (σειριακή σύνδεση). Εναλλακτικά θα μπορεί να  σταλεί εκτύπωση , σε εκτυπωτή που θα έχει πρόσβαση ο υπεύθυνος της συνολικής έρευνας για την παρακολούθηση 24/7 όλης της διαδικασίας.

-          Δημιουργία ειδικού ψηφιακού αρχείου που θα περιέχει τις λέξεις κλειδιά (keyword list) για την χρήση τους , κατά την διάρκεια της ψηφιακής έρευνας.

-          Με το πέρας της έρευνας θα πρέπει να δημιουργηθεί ένα οπτικό μέσο αποθήκευσης (cd/dvd rom) που θα περιέχει όλα τα παραπάνω ψηφιακά ευρήματα και στοιχεία, μαζί με τα απαραίτητα εργαλεία που θα βοηθήσουν τον νομικό αντιπρόσωπο να αναπαραστήσει τις όποιες ενέργειες και διαδικασίες έγιναν.

ΕΓΓΡΑΦΑ – ΦΟΡΜΕΣ – ΑΝΑΦΟΡΕΣ

Η όλη διαδικασία της έρευνας από την πρώτη στιγμή της εισόδου στον χώρο από τον ερευνητή, μέχρι και το πέρας της ανάλυσης των ευρημάτων θα πρέπει να καταγραφεί τόσο σε ψηφιακό αρχείο , όσο και σε έγγραφα/φόρμες. Μια ενδεικτική ονομασία θα μπορεί να είναι η «Τελικός φάκελος αναφοράς - Ανάλυσης Ψηφιακής Έρευνας Η/Υ και εξοπλισμού». Στην συγκεκριμένη αναφορά θα πρέπει να υπάρχουν οι παρακάτω φόρμες και αντικείμενα.
-  
     
Όλες οι σχετικές φόρμες και έγγραφα που περιέχουν στοιχεία , για τον ηλεκτρονικό εξοπλισμό και τα ευρήματα. Τα παραπάνω θα περιέχουν όλες τις ενέργειες και ενδείξεις από την είσοδο του ερευνητή στον χώρο, μέχρι και το τέλος της εργασίας του. Όλες οι παραπάνω ενδείξεις θα πρέπει να είναι σε αναφορά τοπικής σφραγίδας χρόνου σε σχέση με την ώρα Greenwich και τα στοιχεία του υπεύθυνου ερευνητή – βοηθού.

Παράδειγμα:
Υπεύθυνος Αναλυτής/Ερευνητής: Γιώργος Παπαδόπουλος.
Χρόνος/Τόπος: 25.01.2008 GMT +2/ Αθήνα – Εργαστήριο Ψηφιακής έρευνας
Στοιχείο έρευνας/κωδικός: Σκληρός δίσκος (οπτικό μέσο αποθήκευσης) / Code 222 (εττικέτα στοιχείου Α12).
Ανάλυση Ενεργειών :

-     Αναλυτικές σημειώσεις που θα συνοδεύουν τα παραπάνω στοιχεία , εφόσον αυτό κρίνεται απαραίτητο για την διευκόλυνση της κατανόησης της έρευνας.

-          Αναλυτική αναφορά που θα συνοδεύει κάθε αποτέλεσμα της ανάλυσης ανά στοιχείο της έρευνας. Π.χ. εκτυπώσεις, CD/DVD που δημιουργήθηκαν καθώς και τα “raw” αποτελέσματα των εργαλείων μέσα σε ψηφιακά συμπιεσμένο αρχείο ( .zip, .rar)

-          Αντίγραφο των εγγράφων που δόθηκαν από τον αναθέτη της έρευνας ως άδειες για την διεξαγωγή των απαραίτητων ενεργειών. Παράδειγμα είναι κάποιο  υπογεγραμμένο NDA (Non Disclosure Agreement) αν είναι «ιδιωτική υπόθεση έρευνας» ή αν πρόκειται για «Δημόσια υπόθεση» , τα απαραίτητα αντίγραφα ενταλμάτων από εισαγγελική αρχή.

-          Αναλυτική λίστα του εξοπλισμού που ερευνήθηκε και αναλύθηκε. Θα εσωκλείονται και οι σχετικές φόρμες που συμπληρώθηκαν με το κάθε στοιχείο του εξοπλισμού κατά την πρώτη φάση συλλογής τους.

-          Αντίγραφα των αιτήσεων  για βοήθεια από τρίτους τομείς, αν ζητήθηκε από το τμήμα ψηφιακής έρευνας.

-          Αναφορά των λιστών με τις λέξεις – κλειδιά που χρησιμοποιήθηκαν κατά την διάρκεια της έρευνας.

-          Εκτυπώσεις εγγράφων σχετικών με την υπόθεση αν αυτό κριθεί απαραίτητο για την καλύτερη ανάλυση και κατανόηση ενεργειών του ερευνητή. ( π.χ. εκτύπωση κειμένου ιστοσελίδας από έγκυρη πηγή που αναφέρει κάποιο πρόβλημα σε συγκεκριμένο εξοπλισμό ή λογισμικό).

-          Σε περίπτωση που το έντυπο υλικό , θεωρηθεί ότι είναι υπερβολικού όγκου, θα πρέπει να γίνει συνεννόηση με τον νομικό υπεύθυνο της ομάδος, πριν την αφαίρεση οποιουδήποτε στοιχείου από τον τελικό φάκελο. Αν η αφαίρεση δεν είναι δυνατή , τότε η καλύτερη πρόταση είναι να χρησιμοποιηθεί ικανό οπτικό μέσο αποθήκευσης που να μπορεί να αποδώσει τον όγκο εγγράφων και στοιχείων. Π.χ. κάποιο DVD dual layer (8GB) ή ακόμα και εξωτερικός σκληρός δίσκος που θα είναι όμως κλειδωμένος προς όποια αλλαγή από τρίτο πρόσωπο. Ενδεικτικά να αναφέρω πως 1GB οδηγεί σε 150.000 σελίδες εκτύπωσης.

                                                       Σημεία – κλειδιά
-          Ο ερευνητής θα πρέπει να μην προχωρεί σε υποθέσεις αλλά να προχωρεί σε εξακρίβωση των όσων αντιμετωπίζει. Αρκετές φορές , ικανοί εισβολείς ή εγκληματίες, χρησιμοποιούν ανεπτυγμένες τεχνικές κάλυψης των ιχνών τους , είτε μέσω στεγανογραφίας, είτε μέσω ψηφιακών μεθόδων. Θα πρέπει κάθε φορά που εξακριβώνεται κάποιο εύρημα , ο ερευνητής να προχωρεί σε περαιτέρω ενέργειες για την επαλήθευση της προέλευσης τους.

-          Ο ερευνητής δεν θα πρέπει να προχωρά σε συμπεράσματα. Αυτό είναι δουλειά του επικεφαλής  στην έρευνα και από εκεί είναι αρμοδιότητα ,εφόσον χρειάζεται του όποιου δικαστηρίου. Αν κατά την διάρκεια της ανάλυσης της υπόθεσης, προκύψει κάποιο σημαντικό εύρημα, θα πρέπει να αναφερθεί με ενδεικτικό τρόπο στην τελική φόρμα, έτσι ώστε να είναι άμεσα εμφανές στο πρόσωπο που θα δώσει το τελικό συμπέρασμα.

-          Κάθε αναφορά θα πρέπει να είναι σωστά και λιτά διατυπωμένη για να μην υπάρξει πρόβλημα κατανόησης ή ακόμα και λάθος ανάγνωσης από τον υπεύθυνο της έρευνας. Πριν η τελική αναφορά , φύγει από το τερματικό , θα πρέπει να ελεγχθεί για διατύπωση , συντακτικό και γραμματικά λάθη. Ακόμα και ένα λάθος σε ορθογραφία , μπορεί να οδηγήσει σε κατάρρευση της υπόθεσης. Π.χ. αν σε κάποιο στοιχείο το ενδεικτικό ταμπελάκι αναφέρει το Α12 ως κωδικό , ενώ στην τελική αναφορά ορίζεται πως τα ευρήματα βρίσκονται στο στοιχείο Α2 λόγω παράλειψης, τότε θα υπάρξει πρόβλημα στην εύρεση τους. Οι όποιοι αναγνώστες της τελικής αναφοράς, μπορεί να μην διαθέτουν τεχνική κατάρτιση, ούτε φυσικά να είναι ικανοί να διαχωρίσουν τα ευρήματα έτσι ώστε δια πιθανής μερικής γνώσης τους,  να βρουν το σωστό κομμάτι του εξοπλισμού.

-          Καμία έρευνα δεν μπορεί να διαρκεί για πάντα. Ο αναλυτής θα πρέπει να είναι σε θέση , να δηλώσει το τέλος της όποιας ανάλυσης, από την στιγμή που θεωρεί πως έχει εξετάσει τα στοιχεία που θεωρεί σχετικά με την υπόθεση. Αυτό είναι όρος που θα πρέπει να ληφθεί σοβαρά υπόψη στο αρχικό σχεδιάγραμμα που θα διαθέτει τις ανθρωπο-ώρες για την συγκεκριμένη έρευνα.

Η ομάδα των ερευνητών , είναι πολύ πιθανό σε μια «δημόσια υπόθεση» να κληθούν , σε δικαστική αίθουσα, ως μάρτυρες. Η προετοιμασία των ερευνητών ως μάρτυρες, θα πρέπει να γίνεται  λίγο πριν την κάθε υπόθεση έτσι ώστε  να είναι πλήρως ενήμεροι  και να μπορούν να συνεννοηθούν με τον νομικό εκπρόσωπο για το τι θα κληθούν να καταθέσουν (την φύση της μαρτυρίας τους) και κατά την διάρκεια της εξέτασης τους, να παραμείνουν ως ερμηνεία στον χώρο των δεδομένων και των ενεργειών τους. Να μην προχωρήσουν ούτε σε υποθέσεις , ούτε σε συμπεράσματα, που θα βασίζονται στην προσωπική τους κρίση .  Η κλήση τους και η μαρτυρία τους θα είναι βασισμένη αποκλειστικά πάνω στο επιστημονικό τους πεδίο.

Η διαδικασία της έρευνας ουσιαστικά τελειώνει με την απόφαση/συμπέρασμα που θα ανακοινωθεί από τον επικεφαλής της έρευνας ή από το δικαστήριο. Κατόπιν αυτού, με σχετική αίτηση προς αυτούς , θα πρέπει να ζητηθεί αν θα μπορούν τα ευρήματα να καταστραφούν με ασφαλή τρόπο , ή να παραμείνουν σε φύλαξη για παραπάνω χρονικό διάστημα. Η δεύτερη περίπτωση είναι πολύ πιθανή αν πρόκειται για «δημόσια υπόθεση» που πέρασε από αίθουσα δικαστηρίου και υπάρχει πιθανότητα έφεσης ή άλλης όμοιας φύσης, νομικής πράξης.



Αλέξανδρος Νίκλαν
Σύμβουλος Θεμάτων Ασφαλείας




-------------------------------------------------------------------------------

Ιδιοκτησία πνευματικών δικαιωμάτων του Geopolitics & Daily News - © 2014.

Το περιεχόμενο του site αποτελεί πνευματική ιδιοκτησία του 
Geopolitics & Daily News. Οποιαδήποτε πληροφορία (κείμενο, εικόνες, γραφικά) περιέχεται στο site μπορεί να χρησιμοποιηθεί μόνο για προσωπική, μη εμπορική χρήση. Είναι παράνομη η αντιγραφή, αναπαραγωγή, τροποποίηση με οποιονδήποτε τρόπο, μέρους ή του συνόλου των περιεχομένων του site χωρίς προηγούμενη έγγραφη συγκατάθεση ή αναφορά της σελίδας.








geopolitics