IT-forensisk analys | Datatapp | Ibas Ontrack Blogg

Digitala bevis allt viktigare

Digitala bevis får en allt större roll som bevisning i civilrättsliga tvister.  I det flesta fall handlar det om att avgöra vad som hänt, när det skedde och vem som gjort vad. Men det är sällan där det börjar. Det börjar med en misstanke och ibland kanske inte ens det, i vissa fall är upprinnelsen till en utredning från början ingen utredning alls utan en enskild medarbetare som hittar något som inte verkar stämma, som ger den där magkänslan att det kan vara något som är fel?

En välgrundad misstanke

Ibland kan det låta lite förmätet när man argumenterar i egen sak och säger att det är bäst att lämna den IT-forensiska analysen åt experter och inte undersöka saker och ting själv. Det finns dock goda skäl att överlåta en utredning till en expert så snart som möjligt. Men vi förstår samtidigt att det finns en avvägning mellan ett naturligt behov av att bekräfta sina misstankar och behovet att samla bevis på ett korrekt vis. En förutsättning för att starta en utredning och börja samla bevis är att behovet överskrider arbetsinsatsen, om det inte finns uppenbara skäl att genomföra en IT-forensisk undersökning som grund för en i vissa fall kostsam och uppslitande rättsprocess kommer många självfallet avstå från detta. Det är få utredningar som börjar med en välgrundad misstanke, i många fall är det en smygande känsla av osäkerhet och oro som ligger till grund för de initiala utredningsåtgärderna. Att kosta på en fullödig IT-forensisk utredning vid varje misstanke om oegentlighet kan uppfattas som kostnadsdrivande och rent av onödigt, det är därför förståeligt att många organisationer väljer att vidta de första utredningsåtgärderna på egen hand trots riskerna, och även i vissa fall väl medvetna om vilka problem det kan medföra.

Det viktiga är att veta att den egna interna analysen riskerar att förstöra viktiga bevis om den inte avbryts i tid så att extern expertis kan kallas in. Det är till synes lätt att ha en policy som säger att när de initiala misstankarna bekräftats skall extern expertis kallas in för att bevissäkra och genomföra en fullständig och fördjupad analys, men av erfarenhet vet vi att det är mycket svårt att avbryta. Det är förmodligen en kombination av nyfikenhet och ett behov av omedelbara svar som gör att många går för långt och på så vis ödelägger bevis.

Varför är det viktigt att inte starta datorn själv?

För att öka förståelsen för varför det är viktigt att överlåta analysen till en erfaren expert har vi nedan tagit fram några exempel på vad det är som kan komma att påverkas av att IT-avdelningen eller ambitiösa medarbetare själv undersöker datorns hårddisk och filer.

1. Åtkomstdatum för filer

För de flesta filer och dokument sparas tiden när filen eller ett dokumentet öppnas. Det som sparas är dock endast senaste gången filen öppnades, det innebär att när en medarbetare startar datorn och på måfå öppnar filer och dokument i hopp om att hitta bevis så uppdateras tiden för när dessa dokument öppnades sista gången. Det innebär också att all tidigare information om när dokumenten öppnades skrivs över och inte längre är tillgänglig vid en IT-forensisk analys.

Av naturliga skäl blir det ofta så att de dokument som är av störst intresse vid en utredning också är just de dokument som öppnas först och därmed de dokument som kommer sakna relevant datum-information.

2. Överskrivning av raderad information

 När en dator startas på vanligt vis och operativsystemet används kommer filer och potentiellt bevismaterial automatiskt att skrivas över. Desto mer och desto längre datorn används desto mer information skrivs över och försvinner. Detta gäller framförallt om stora mängder information skrivs till datorns hårddisk, som exempelvis när program Iinstalleras eller av-installeras. I vissa extrema fall har programvaror för att återskapa raderade filer använts och samtliga de återskapade filerna har sparats på den interna hårddisken, detta har i sin tur skrivit över stora mängder med information som inte längre finns tillgänglig för återskapning och analys.

Men även vanlig daglig använding påverkar informationen som finns i datorn, viss typ av information sparas en begränsad tid och annan typ av information sparas endast i begränsad mängd. Exempel på detta är webcache och internet-historik, om datorn används fortsättningsvis av en annan användare kommer den  information som är tillgänglig för IT-forensisk analys att minska med varje klick.

Även om datorn inte används utan endast lämnas igång kommer den med tiden att skriva över allt mer information på grund av automatiserade uppdateringar av operativsystem och antivirus.

3. Swap-fil och hybernate-fil

När datorn arbetar normalt="" sparas delar av innehållet i arbetsminnet till swap-filen och när datorn går ner i sov-läge sparas det en fullständig kopia av arbetsminnet till den så kallade hybernate-filen. Dessa två filer kan innehålla stora mängder information som kan vara avgörande för en utredning, tyvärr är båda dessa informationskällor relativt flyktiga. Ju mer datorn används efter det att intressanta avtryck avsatts i dessa filer ju mindre är chansen att kunna identifiera och återskapa materialet.

Det kan röra sig om besökta hemsidor och utkast till word-dokument som aldrig sparats till hårddisken någon annanstans än i just swap eller hybernate-filer. Dessa informationskällor går oåterkalligen förlorade när datorn används av en annan användare.

4. Volume shadow copies

Många datorer skapar automatiskt säkerhetskopior av hårddiskens innehåll. Dessa säkerhetskopior raderas dock med automatik och detta medför att även om systemet inte används någon längre stund kan det innebära att säkerhetskopior raderas.

Ett relativt nyligt exempel var en dator som varit i sov-läge ca 2 veckor för att sedan startas och undersökas av bolagets egen personal. Från system-loggen kan vi se att systemet startar klockan 09:38 och systemet därefter automatiskt börjar installera uppdateringen på hårddisken samt att systemet raderar gamla säkerhetskopior. Detta sker på mindre än 20 minuter och innebär att data raderats samt att programuppdateringar har laddats ner och installerats utan att användaren egentligen är medveten om att något sker.

Logged: 2016-03-02 09:38:08

The system has returned from a low power state.

Sleep Time: ‎2016‎-‎02‎-‎19T17:59:46.729205700Z

Wake Time: ‎2016‎-‎03‎-‎02T09:38:06.278403100Z

Logged: 2016-03-02 10:00:05

Installation Successful: Windows successfully installed the following update: Definitionsuppdatering för Microsoft Endpoint Protection - KB2461484 (Definition 1.213.7712.0)

Logged: 2016-03-02 09:59:16

The oldest shadow copy of volume C: was deleted to keep disk space usage for shadow copies of volume C: below the user defined limit.

5. Event-loggar

Windows-event log kan vara en viktig källa till information om vid vilka tidpunkten en användare har loggat in på en dator eller vilka program som installerats eller av-installerats. Loggen fylls dock snabbt med automatiserade meddelanden och loggen har en maximal storlek som medför att äldre händelser raderas ur loggen för att ge plats för nyare.

Om datorn lämnas igång fylls loggen snabbt av ointressanta systemmeddelanden.

Skicka in disken på analys

Ibas erbjuder att som oberoende part genomföra IT-forensiska undersökningar för att säkra digitala bevis i enskilda datorer, hela IT-system och även mobiltelefoner vid misstanke om illojalitet inom företag, informationsstöld eller annan form av kriminaliserat beteende. Det som gör Ibas tjänsteutbud unikt är vår förmåga att återskapa och ta fram raderat material. Våra IT-forensiska tjänster utnyttjar och bygger vidare på den tekniska utveckling som bedrivs inom ramen för vår dataräddningsverksamhet vilket ger oss verktyg och processor som ligger i framkant av teknikutvecklingen.

Men för att vi ska få en möjlighet att göra ett så bra arbete som möjligt är det viktigt att vi får in utrustningen så fort som möjligt. För att sänka insteget erbjuder Ibas den initiala analysen till fast pris, utan förpliktelser att genomföra en fullödig utredning.