Forensic Software Maker wird hart auf Computerkriminalität

Warum kommerzielle forensische Software verwenden? Es gibt Open-Source-Tools, die Ihnen bei der forensischen Analyse helfen. Zwei der bekannteren CDs sind Knoppix-STD und das Penguin Sleuth Kit. Warum sollte jemand EnCase benutzen, die ein paar tausend Dollar kostet, wenn sie frei verfügbare Software benutzen können?

Warum kommerzielle forensische Software verwenden?

Es gibt Open-Source-Tools, die Ihnen bei der forensischen Analyse helfen. Zwei der bekannteren CDs sind Knoppix-STD und das Penguin Sleuth Kit. Warum sollte jemand EnCase benutzen, die ein paar tausend Dollar kostet, wenn sie frei verfügbare Software benutzen können? Bei einigen der bekannteren Fälle wie Enron stehen Millionen oder möglicherweise Milliarden von Dollar auf dem Spiel. Anwälte verlangen normalerweise, dass eine standardisierte und unabhängig anerkannte Software-Suite in allen Phasen der Beweisaufnahme, Analyse und Berichterstattung verwendet wird.

Jeder ist daran interessiert, Geld zu sparen, was den Kauf von EnCase zu einer umgekehrten Entscheidung machen könnte. Dies ist eigentlich die richtige Entscheidung, wenn Sie bedenken, dass eine vereinheitlichte, grafisch basierte Software den Ermittlern Zeit bei der Klärung von Fällen einsparen kann. Die Gerichte und Ermittler sind mit Fällen überlastet und mit den richtigen Werkzeugen können sie den Rückstand beseitigen.

Gibt es Gegenmaßnahmen?

Gibt es Möglichkeiten, dass Kriminelle forensische Software täuschen können? Abgesehen davon, dass alle Festplatten, CDs und Disketten physisch zerstört werden, scheint es sehr wenig zu geben. Beachten Sie, dass wir "zerstören" gesagt haben, weil es einfach nicht ausreicht, Ihre Festplatte mit einem Hammer zu schlagen oder in ein Feuer zu werfen. In vielen Fällen müssen Sie den Gegenstand wahrscheinlich in Asche brennen.

Eine Möglichkeit, wie Kriminelle eine Untersuchung erschweren können, besteht darin, die Dateiendungen zu ändern. Word-Dokumente enden in .DOC und vielleicht wird der Verbrecher die Erweiterung auf etwas anderes ändern, in der Hoffnung, dass es der Entdeckung entgeht. Uns wurde gezeigt, wie die EnCase-Software diese Täuschung leicht unterbindet, indem Erweiterungen umgangen und Dateisignaturen verwendet werden, um die wahre Natur der Datei zu sehen. Selbst wenn die .JPG-Datei in .ABC umbenannt wurde, wird EnCase sie dennoch anzeigen.

Macht die Verschlüsselung forensischer Software Schwierigkeiten? Es hängt von dem Schema ab, das zum Verschlüsseln der Dateien verwendet wird. Das Windows EFS (Encrypted File System) wird von EnCase leicht beschädigt. Steganographisches Verbergen von Daten (Verbergen von Daten in Bildern oder Musik) wird auch durch verwendete MD5-Hash-Sätze vereitelt und mit bekannten Datei-Hashes verglichen.

"Scrubber" sind Software, die vorgibt, Dateien von der Festplatte vollständig zu löschen. Funktionieren sie tatsächlich gegen EnCase? In einem kommenden Artikel werden wir es herausfinden. Ironischerweise macht die Tatsache, dass Sie versuchen, Ihre Dateien zu löschen, um den Ermittler zu täuschen, die Untersuchung tatsächlich einfacher. Je mehr Sie versuchen, Ihre Daten zu verbergen, desto leichter kann der Ermittler sie finden. In Mr. Colberts Worten: "Es ist der Traum der Ermittler, wenn jemand versucht, ihre Spuren zu verstecken."

Top