WARIANT 1 - ROZWIĄZANIE: Zabezpieczanie materiału dowodowego

WARIANT 1 - ROZWIĄZANIE: Zabezpieczanie materiału dowodowego Proces zabezpieczenia materiału dowodowego - czynności, które powinny zostać podjęte w momencie zabezpieczenia sprzętu komputerowego w pokoju pracownika. Działania obejmują wykonanie kopii binarnych z zabezpieczonych nośników. Podjęto decyzję o zabezpieczeniu dowodu elektronicznego, przez zabezpieczenie tylko zawartości nośników bez zatrzymywania sprzętu komputerowego. OSOBY ZABEZPIECZAJĄCE: - 1 specjalista informatyki śledczej (Komputer Forensic) - 1 biegły lub specjalista z daktyloskopii - 4 policjantów SPRZĘT DO WYKONANIA ZABEZPIECZENIA - ZESTAW: 1. Aparat cyfrowy, do sporządzenia zdjęć z miejsca zabezpieczenia, zdjęcia monitora włączonego laptopa, oraz zabezpieczenie oznaczeń modelu, nr seryjnego itp., których nie wpisano do formularza 2. Protokoły oględzin (kilka nadmiarowych formularzy dokumentacyjnych) 3. Blokery z interfejsami dla dysków: SATA/IDE/SAS/USB/FireWire. Uniemożliwia ingerencję w badany nośnik w postaci dysku. Pendriva, kart SD, oraz pozwala na

odczyt informacji oraz wykonanie kopii binarnej nie wprowadzając żadnych zmian, co pozwoli wykluczyć zarzut manipulacji dowodu. 4. Adaptery do WriteBlocker ów (różne końcówki do różnych typów dysków np. IDE (standardowy oraz wersja laptop), SATA, mini SATA, USB, ZIF itp.) 5. Laptop śledczy wraz ze specjalistycznym oprogramowaniem do wykonania kopii binarnych badanych dysków oraz nośników jak pendrive 6. Nadmiarowe dyski twarde (docelowe) do wykonania i przechowywania na nich kopii binarnych pochodzących z materiału źródłowego, wielkość 1-2 TB 7. Obudowy na dyski i stacje dokujące, umożliwiające podłączenie dysków do naszego Laptopa 8. Duplikator Image MASSter Solo 9. Duplikator Forensic Dossier 10. Duplikator Forensic TD2 Tableau (SATA/ATA) 11. Forensic Duplicator Tableau Model TD3 12. Oprogramowanie EnCase Forensic, 13. Oprogramowanie EnCase Decryption System (EDS), 14. Oprogramowanie EnCase Physical Disk Emulator (PDE), 15. Oprogramowanie EnCase Virtual File System (VFS) 16. Oprogramowanie WinHEXSpecialist 17. Oprogramowanie Ultimate Toolkit 18. Oprogramowanie do wykonania kopii binarnych, FTK Imager 19. Oprogramowanie do wykonania kopii binarnych, X-WaysForensic 20. Oprogramowanie Forensic Toolkit 5 (FTK) produkcji AccessData 21. Oprogramowanie dodatkowe: Virtual Forensic Computing 2, Mount Image Pro, Gargoyle Investigator Forensic Pro, StegAlyzerSS, Registry Analyzer 22. Oprogramowanie do listingu plików: Directory Lister 23. Narzędzia do akwizycji pamięci RAM : (EnCase) Guidance Software, EnCase FIM, (FastDumpComunity) HBGary, Belkasoft Live RAM Capturer. Zastosowanie metody Live Forensic. Oprogramowanie służy do wykonania kopii danych ulotnych włączonego laptopa (akwizycji), czyli przechwycenie danych pojawiających się np. w pamięci RAM, czy pliku wymiany

24. Oprogramowanie PasswareForensic Kit, umożliwiające dotarcie do danych chronionych szyfrowaniem TrueCrypt i BitLocker 25. Oprogramowanie Adroit Photo Forensics, do badania zdjęć z aparatu 26. Skrypty do modyfikacji wpisów w rejestrze pozwalające tym samym dodatkowo zabezpieczyć podłączane urządzenie (dyski) przed zapisem 27. Dystrybucje Linux na płytach CD: Caine, Helix 28. Dystrybucje Linux na pendrivach USB 29. Bloker Tableau T35689iu Forensic Combo Bridge (SATA/IDE/SAS/USB/FireWire) 30. Bloker Tableau SCSI TK4 (SCSI) 31. Bloker Tableau Forensic USB Bridge TK8 (USB) 32. Bloker Tableau Forensic FireWire Bridge TK9 (FireWire) 33. Bloker Tableau TK6es (SAS) 34. Bloker Tableau TK35u (SATA/IDE) 35. Bloker Tableu SATA TK3u (SATA), TK35es (ATA/SATA), FastBloc 3 36. Super Drive Lock (SATA/IDE/SCSI/USB) 37. Bloker MicroSystemation Write Protect Card Reader -czytnik dla różnych kart flash z technologią readonly, umożliwiający zbieranie danych w bezpieczny sposób, gwarantujący nienaruszalność źródłowego nośnika, z karty pamięci pracującej w cyfrowym aparacie 38. Stacja chłodząca dyski Tableau TDC1 Drive Cooler oraz bloker TDW1 Drive Wiper (SATA) 39. Zestaw RoadMASSter-3 (posiada możliwości wszystkich urządzeń do akwizycji i analizy materiału dowodowego) 40. Image MASSter Solo-4 RUGGEDIZED 41. Adapter Tableau TDA5 ZIF wraz z blokerem Tableau TK14 42. Adapter Tableau TDA5-25 43. Adapter TDA3-LIF do SATA z taśmą LIF 44. Zestaw adapterów Tableau TKA5-AD Kit 45. Pudełka specjalnie profilowane (kartonowe), opakowania, służące do transportu i przechowywania, zabezpieczające materiał dowodowy w postaci dysków twardych

(docelowych), na których będzie wykonana kopia binarna, przed uszkodzeniem mechanicznym, elektrostatycznym 46. Antystatyczne torby, worki 47. Jednorazowe plomby zaciskowe z niepowtarzalnym numerem, pozwalająca zabezpieczyć dowód na wypadek nieautoryzowanego dostępu 48. Metryczki z rubrykami pozwalającymi na dokładne opisanie dowodu, opakowań 49. Zewnętrzny napęd CD/DVD, jeżeli będzie potrzeba skorzystania z dystrybucji Linuxa na płycie CD, a zabezpieczany komputer nie będzie posiadał napędu 50. Nadmiarowe zasilanie do każdego urządzenia 51. Nadmiarowe kable (zasilające, sygnałowe, komputerowe) 52. Kable zasilające do dysków 53. Obudowy na dyski, Stacje dokujące 54. Zestaw śrubokrętów do demontażu obudowy urządzeń, demontażu dysków z komputerów i laptopów 55. Zestaw nadmiarowych taśm, kabli SATA/IDE/SAS/USB/FireWire/eSATA/SCSI 56. Szczypce do rozpięcia zszytych kabli 57. Latarki, 2 sztuki 58. Lateksowe rękawiczki, aby nie zostawić odcisków palców (jeżeli ważne dla sprawy) 59. Zasilacz uniwersalny 60. Monitor LCD 14" 61. Klawiatura 62. Myszka z przejściówkami z USB na PS2 63. Mała przenośna drukarka do druku raportów, jeżeli tworzone w formie elektronicznej, oraz wszelkich raportów dołączanych do protokołu 64. Przedłużacze 10m z 4 gniazdami, 2-3 sztuki 65. Rozgałęźniki 66. Przejściówki 67. Materiały biurowe do wypełnienia protokołu, opisania metryczek

68. Naklejki wraz z markerem do oznaczenia i opisu kabli podłączonych do badanych komputerów, jeżeli zajdzie taka potrzeba 69. Dostęp do Internetu mobilnego, w celu uzyskania wiedzy na temat technicznych specyfikacji urządzeń, porad na temat rozwiązania nietypowych sytuacji sprzętowych, informacji odnośnie modelu dysku, parametrów, zabezpieczeń itd. 70. Alternatywnie: Faraday Mobile Holdall (MJRJ/1) Faraday'sBag, dla zabezpieczenia telefonów komórkowych, jeżeli zajdzie taka potrzeba 71. Alternatywnie: 15inch Laptop Faraday'sBag, dla zabezpieczenia laptopa, jeżeli zajdzie taka potrzeba ROZPOZNANIE OPERACYJNE: Wykonanie rozpoznania operacyjnego przez funkcjonariusza bądź funkcjonariuszy policji, celem zaplanowania i lepszego przygotowania przeprowadzenia późniejszego zabezpieczania danych elektronicznych. Przeszukanie o ile jest to możliwe, powinno być poprzedzone wcześniejszym rozpoznaniem potencjalnych możliwości dowodowych w celu określenia środowiska sieciowego, rodzaju urządzeń, ilości możliwych komputerów do zbadania - materiału dowodowego do zbadania. MATERIAŁ DOWODOWY DO ZBADANIA: - 1 laptop (włączony) - 1 komputer stacjonarny - 1 pendrive 8 GB - 1 dysk zewnętrzny 160 GB - 1 aparat fotograficzny

PROCES CZYNNOŚCI OGÓLNE PODEJŚCIE: Proces zabezpieczenia dowolnych dowodów elektronicznych sprowadza się przede wszystkim do zadbania o dwie bardzo istotne cechy - autentyczność i wierność danych, w oparciu o zastosowanie najlepszych znanych praktyk informatyki śledczej oraz zgodnie z obowiązującymi przepisami prawa. Jedną z koniecznych do uzyskania cech i wymaganych podczas zabezpieczenia materiału jest autentyczność. Zapewnia ona bezwzględną bezsporność pochodzenia materiału, natomiast wierność gwarantuje możliwość stwierdzenia czy dany materiał dowodowy nie został zmieniony celowo bądź omyłkowo podczas wykonywania późniejszych czynności analizy danych pod kątem popełnionego przestępstwa. Podczas zabezpieczania dowodu elektronicznego musi być zachowana autentyczność i wierność, poprzez zachowanie poniższych zasad: - Zabezpieczony dowód elektroniczny powinien być zachowany w stanie (zamrożony) z chwili prowadzonego zabezpieczenia oraz powinien zawierać szczegółowy i dokładny opis prowadzonych czynności podczas zabezpieczenia oraz danych w postaci daty i czasu a zamieszczonych w protokole zabezpieczenia - Zabezpieczony materiał dowodowy należy prawidłowo w sposób jednoznaczny, wyróżniając indywidualne cechy, oznaczyć, oplombować i opisać w protokole zabezpieczenia - Stworzyć kopię binarną tzw. Klon, utworzony na zasadzie równości z oryginałem - Wyliczyć programowo podczas zabezpieczania materiału dowodowego, sumę kontrolną nośnika, co jednoznacznie umożliwi autentykację materiału - Prowadzenie wszelkich dalszych badań analitycznych, powinny być wykonywane tylko i wyłącznie na kopii oryginału (kopii binarnej), nie naruszając tym samym w żaden sposób wartość dowodową oryginału. Takie działanie umożliwia wykonanie innych badań na tym samym materiale dowodowym - Przeprowadzając konieczne badania na oryginale, należy bezwzględnie wykonać z użyciem dostępnych technik programowych bądź sprzętowych, uniemożliwiających dokonanie jakichkolwiek zmian, ingerencję w zapisy zawarte na badanym, zabezpieczonym, oryginalnym nośniku danych np. poprzez blokery

ZABEZPIECZENIE DOWODÓW SZCZEGÓŁÓWE PROCEDURY: A. Przeszukać pomieszczenia, w którym znajduje się potencjalny sprzęt komputerowy, który ma zostać zabezpieczony celem identyfikacji B. Zabezpieczyć miejsce przeszukania, uniemożliwiając tym samym zatarcie śladów oraz dowodów przez osoby podejrzane oraz spoza osób będących na miejscu przeszukania. Przed wykonaniem oględzin zabezpieczonego sprzętu komputerowego należy zabezpieczyć miejsce przed niepowołanymi osobami, mogącymi usunąć lub zmienić wszelkie ślady i dowody świadczące o procederze przestępczym. Wszelkie badania czy wykonanie kopii binarnej urządzeń należy poprzedzić zabezpieczeniem miejsca zdarzenia przed niepowołanymi osobami, które mogą spowodować utratę śladów i dowodów lub ich zniekształcenie np. poprzez uruchomienie programu formatowania nośników danych, przez fizyczne uszkodzenie, wynoszenie przedmiotów itp., lub skutecznie utrudniać wykonanie oględzin. W pomieszczeniu, gdzie przeprowadzane są czynności, nie mogą przebywać osoby posiadające umiejętności i motywację do zniszczenia elektronicznych dowodów C. Należy sporządzić dokładny i szczegółowy protokół z prowadzonego przeszukania, zabezpieczenia, w którym należy ująć wszystkie wykonane kroki oraz zabezpieczone rzeczy D. Zabronić osobom korzystać z jakichkolwiek urządzeń komputerowych będących w pomieszczeniach i dowolnych mobilnych środków łączności. Odizolować i uniemożliwić dostęp osobom będącym w przeszukiwanym pomieszczeniu na dokonanie jakiejkolwiek komunikacji z osobami z zewnątrz, poprzez Internet (komunikator, email, bramkę sms) bądź telefon komórkowy GSM (rozmowa, sms) bądź inne urządzenie umożliwiające zdalną komunikację, mającym na celu ostrzeżenie przestępcy, bądź przekazanie informacji o trwającym przeszukaniu i zabezpieczeniu materiału dowodowego E. Odizolować i uniemożliwić dostęp osobom będącym w przeszukiwanym pomieszczeniu do Komputerów, Laptopa, dysku zewnętrznego do urządzeń, aby uniemożliwić dokonanie usunięcia danych i dokonania jakiejkolwiek konfiguracji oraz zmian w zabezpieczanym elektronicznym sprzęcie komputerowym. Osoby mogłyby celowo zmienić bądź usunąć wszelkie zapisy informacji (dowolnych danych) dotyczące przestępstwa. Zabezpieczenie danych powinno być bez informatycznej pomocy podejrzanych, czy informatyków firmy, w której dokonywane jest zabezpieczenie. Odizolować od osób postronnych, właściciela i przejąć całkowitą kontrole nad pomieszczeniem i sprzętem F. Przed dokonaniem zabezpieczania dowodów elektronicznych na znalezionym sprzęcie komputerowym i sieciowym należy wykonać badanie daktyloskopijne, jeżeli jest to konieczne z przyczyn procesowych (zbadać klawiaturę, myszkę) odciski palców potwierdzające i wskazujące jednoznacznie ostatniego użytkownika

G. Odłączyć od sieci internetowej (kabel, Wifi, telefon), lub od sieci lokalnej komputerowej włączonego Laptopa, co uniemożliwi zdalną ingerencję i podłączenie się osoby trzeciej do uruchomionego Laptopa i usuwanie istotnych danych bądź wywołanie procesu formatowania dysków (przez osobę z zewnątrz). Dane przechowywane na np. dyskach twardych mogą być łatwo zdalnie niszczone i uszkodzone. Informacyjna właściwość nośnika może zostać zmieniona poprzez modyfikacje lub usunięcie danych, w tym również poprzez celową manipulacje z zewnątrz, zastosowanie Anti Forencis Tools H. Zabezpieczyć wszystkie klucze sprzętowe fizycznego dostępu i innych urządzeń związanych z kontrolą dostępu I. Dokumentacja fotograficzna sporządzić zdjęcia z miejsca zabezpieczenia (zdjęcia operacyjne), pomieszczenia, komputerów, laptopa, dysku zewnętrznego, pendriv a, aparatu fotograficznego, infrastruktury sieciowej, rozmieszczenia urządzeń itd. Sfotografować monitory komputera i laptopa oraz wszystkie pozostałe elementy stanowiska J. Zabezpieczyć wszystkie zapisywalne nośniki danych: płyty CD i DVD, pamięci flash, Taśmy ZIP, dyskietki K. Zabezpieczyć i pakować zbiorczo grupy nośników masowych jak płyty CD/DVD itp., jeżeli jest to wymagane i związane ze sprawą L. Zabezpieczyć Komputer (1 sztuka) 1. Jeżeli komputer jest wyłączony - nie uruchamiać go (nie włączać go), gdyż spowoduje to nadpisanie danych w systemie i na dysku. Komputera nie należy w żadnym wypadku uruchamiać. Włączenie komputera spowoduje zmianę zapisanych w nim informacji i wykluczy jako dowód w sprawie. Należy wymontować dyski z obudowy komputera. Wykonać kopię binarną dysków (klon nośnika) z zabezpieczonego komputera po wcześniejszym podłączeniu badanego dysku do odpowiedniego blokera zapisu, aby uniemożliwić nadpisanie i modyfikacje zabezpieczonych danych, a po wykonaniu kopii binarnej danych cyfrowych wykonać autentyfikacje sumami kontrolnymi. Wykonana kopia (klon) zawartości dysków umożliwia późniejsze przeprowadzenie analizy danych w laboratorium, zwielokrotnianie z zachowaniem wierności i autentyczności zabezpieczonych danych w pełnym zakresie gdyż zawiera identyczne informacje jak oryginalne dyski 2. Jeżeli komputera jest włączony - nie wyłączać urządzenia. Niektóre systemy operacyjne wymagają zamknięcia przed wyłączeniem zasilania komputera. Nie zamknięcie w prawidłowy sposób takiego systemu operacyjnego przed odłączeniem od zasilania może spowodować bezpowrotną utratę niektórych danych. Do systemów tych nalezą m.in. Windows 9x, NT, 2000, XP, Nowell NetWare, Unix. Wykonać

zabezpieczenie w postaci kopii binarnej z pamięci RAM Live Forensic oraz dysków. W takim przypadku należy bezwzględnie używając odpowiednich poleceń systemowych, wykonać systemowe operacje zamykające 3. Należy upewnić się, że komputer jest wyłączony 4. W celu zmniejszenia potencjału ładunków elektrycznych przed zabezpieczeniem komputera należy dotknąć dłonią jego obudowy 5. Nie przestawiać i nie przenosić komputera, jeżeli jest włączony 6. Zrobić zdjęcie komputera 7. Zrobić zdjęcie działającego monitora jeżeli komputer uruchomiony. Zanotować dodatkowo dokładnie wszystkie wiadomości, jakie pojawiają się na ekranie monitora 8. Zrobić zdjęcie otoczenia, urządzeń peryferyjnych, systemu portów komputera, oznaczeń. Sfotografowanie schematu połączeń urządzeń. Opisać w protokole, w jaki sposób poszczególne części stanowiska komputerowego są ze sobą połączone 9. Jeżeli trwa proces drukowania nie należy wyłanczać drukarki aż do dokończenia druku - nie przerywać drukowania. 10. Wyciągnąć wtyczkę kabla zasilającego z tyłu obudowy komputera a nie z gniazdka ściennego. Odłączyć kabel zasilający, aby uniknąć przypadkowego uruchomienia 11. Zrobić zdjęcie podłączonych kabli albo oznaczyć poszczególne porty i kable, jakie są do nich podłączone celem ponownego późniejszego podłączenia kabli po przeprowadzeniu badania - Oznaczyć wszystkie przewody i połączenia 12. Wyciągnąć wszystkie inne kable zewnętrznych urządzeń podłączonych do komputera 13. Jeżeli komputer połączony jest z modemem, linią telefoniczną, zanotować numer telefonu i czas odłączenia 14. Wyciągnąć pozostawione urządzenia zewnętrzne podłączone do gniazd tj. pendriv lub dysk zewnętrzny 15. Zakleić taśmą zabezpieczającą otworów każdego napędu 16. Upewnić się, że wszystkie elementy zostały spisane i zostały dołączone właściwe metryczki wraz z opisem

17. Formatować dysk docelowy na, którym będzie zgrana kopia binarna w celu przygotowania pod kopię materiału dowodowego (np. czyszczenie przez nadpisanie metodą ATA Security Erase lub zgodnie z DOD 5220-22M) 18. Wyjąc dysk z komputera (badany dysk źródłowy) 19. Podłączyć bloker do badanego dysku źródłowego z technologią writeprotect, gwarantującą nienaruszalność dowodową dysku 20. Wykonać kopie binarną ( bit po bicie ) dysku źródłowego, przeznaczonej do późniejszej analizy (kopiowanie dysk do dysku lub dysk do pliku) na czysty dysk docelowy 21. Wygenerować sumę kontrolną dysku źródłowego 22. Wygenerować sumę kontrolną podczas kopiowania, MD5, SHA1, SHA2 lub CRC32 - autentykacja, będąca cyfrowym podpisem kopiowanych danych, gwarantująca ich wierność niezbędna w postępowaniu dowodowym 23. Zabezpieczyć i zapakować dysk kopii binarnej (docelowy) w folie ochronną - antystatyczną oraz w karton ochronny 24. Zaplombować torby antystatyczne oraz dołączyć w trwały sposób metryczki przedmiotu, zawierające numery urządzeń, rodzaje, typy, cechy indywidualne oraz pozostałe dane. Zalakować i odcisnąć referentkę na metryczkach. Antystatyczne torby włożyć do kartonowych pudełek zabezpieczających przed fizycznym uszkodzeniem 25. Przechowywać zapakowane dyski z dala od magnesów, jakichkolwiek nadajników radiowych mogących wpłynąć na urządzenie. Przechowywać dyski w temperaturze pokojowej w nie zawilgoconym pomieszczeniu 26. Przeszukać najbliższe otoczenie komputera celem odnalezienia zeszytów, karteczek, notatek, zapisów, dokumentacji na których mogą znajdować się hasła dostępowe - Zabezpieczyć dokumentację i notatki mogące zawierać hasła 27. Wykonać pełną dokumentację, protokół opisujący wszystkie wykonane czynności krok po kroku w trakcie procesu zabezpieczania komputera. Poprawnie zabezpieczyć materiału dowodowy poprzez prawidłowe zapakowanie i zaplombowanie (np.portów), potwierdzenie zabezpieczonych dowodów sumą kontrolną, opisu marki, numerów seryjnych. Należy wypełnić protokół oględzin lub przeszukania w zależności od tego, jaka czynność jest wykonywana w celu zabezpieczenia procesowego przedmiotów

28. Zażądać od podejrzanego użytkownika pokazania licencji do programów i oryginalnych nośników. Wpisać te informacje do protokołu lub zabezpieczyć jako materiał porównawczy 29. Zażądać od podejrzanego użytkownika przekazania wszelkich instrukcji do programów napisanych na zamówienie lub do nietypowych programów. Zabezpieczyć jako materiał porównawczy 30. Zażądać od podejrzanego użytkownika, administratora podania wszystkich parametrów dostępu do programów w postaci wszelkich kont, haseł, identyfikatorów itp. Wpisać wszystkie te informacje do protokołu oględzin lub przeszukania 31. Wykonać szkic planu połączeń z opisem wyposażenia i dołączyć do Protokołu i Raportów M. Zabezpieczyć Laptop (uruchomiony, 1 sztuka) 1. Przejąć całkowitą kontrolę nad miejscem przeszukania 2. Odizolować od osób postronnych, właściciela 3. Jeżeli laptop jest wyłączony nie należy go włączać 4. Jeżeli laptop jest włączony nie należy go wyłączać 5. Dokonać oględzin uruchomionego laptopa 6. Jeżeli trwa proces drukowania nie należy wyłanczać drukarki aż do zakończenia druku - nie przerywać drukowania. 7. Nie przestawiać i nie przenosić laptopa, jeżeli jest włączony 8. Zrobić zdjęcie laptopa wraz z nr, seryjnym. Opisać w protokole, w jaki sposób poszczególne części stanowiska laptopa są ze sobą połączone 9. Zrobić zdjęcie działającego monitora jeżeli laptop uruchomiony. Zanotować dodatkowo dokładnie wszystkie wiadomości, jakie pojawiają się na ekranie monitora 10. Ustalić, kto posiada prawa administracyjne do systemu operacyjnego laptopa oraz prawa użytkownika 11. Uzyskać i poprosić użytkownika laptopa o udostępnienie informacji o systemie, wszelkich haseł i zapisanie ich w protokole 12. Nie odłanczać laptopa od zasilania

13. Wykonać szczegółową adnotację oraz zdjęcia fotograficzne (do późniejszej analizy) z poszczególnych widoków kolejnych ekranów pulpitu uruchomionego systemu wraz z programami. Sfotografować ekran monitora włączonego laptopa 14. Jeżeli laptop połączony jest z modemem, linią telefoniczną, zanotować numer telefonu i czas odłączenia 15. Wykonać zdjęcia uruchomionych procesów na laptopie oraz uruchomionych programów. Ocenić, jakie zasoby sieciowe są podłączone, sprawdzić czy nie jest zainstalowane oprogramowanie szyfrujące 16. Jeżeli uaktywnił się wygaszasz ekranu należy poruszyć myszką celem przywrócenia widoku ekranu, jeżeli wygaszasz ekranu chroniony jest hasłem dostęp należy uzyskać od właściciela laptopa, przez podanie hasła 17. Uzyskać pełny dostęp do systemu 18. Nie zamykać żadnych okien, uruchomionych programów czy dokumentów 19. Wykonać zdjęcia operacyjne z uruchomionego systemu 20. Jeżeli Laptop jest uruchomiony - nie należy go wyłanczać. Jeżeli jest dostęp do sytemu wykonać kopię danych przed jego wyłączeniem. Sprawdzić ustawienia sieciowe systemu czy laptop nie łączy się z siecią zdalną WiFi, w której mogą znajdować się dodatkowe dane związane ze sprawą. Jeżeli tak to należy ustalić źródło sygnału np. router, jeżeli nie ma połączenia z dodatkową siecią należy przeprowadzić procedurę wyłączenia podczas kopiowania zawartości dysku i pamięci ulotnej RAM w momencie pracy laptopa 21. Wykonać akwizycje pamięci przygotowanym wcześniej narzędziem z jak najmniejszą ilością kroków. Przeprowadzić akwizycję pamięci RAM (Live Forensic)- wykonanie kopii binarnej na uruchomionym laptopie. Wykonany dzięki temu zostanie zrzut pamięci podobny do kopii binarnej dysku, będący niejako stanem systemu z danej chwili. Dane mogą zawierać bardzo istotne informacje tj. uruchomione procesy, połączenia sieciowe i otwarte porty, otwarte pliki, wszelkie informacje związane z uruchomionymi aplikacjami, buforami klawiatury,dysku, monitora, otwarte klucze rejestru, informacje systemowe, hasła zapisane jawnie, informacje związane z BIOS-em, itd. 22. Wykonać kopię binarną (klon) z zabezpieczonego i uruchomionego laptopa oprogramowaniem do wykonania kopii danych ulotnych - tzw. akwizycji, czyli przechwycenie danych pojawiających się w pamięci RAM. Uzyskane dane mogą być cenne a wyłączenie laptopa może trwale uniemożliwić odnalezienie dowodów. Dane na laptopie mogą być szyfrowane, dlatego

wyłączenie może spowodować, że jakakolwiek deszyfracja danych nie będzie w ogóle możliwa do wykonania bez znajomości hasła 23. Zrzut pamięci wykonać na nośnik większy od zainstalowanej pamięci laptopa 24. Zastosować odrębny nośnik na wykonanie pliku kopii 25. Nośnik wcześniej przygotować przed użyciem przez wyzerowanie całkowite przygotowanej na nim partycji 26. Wyłączenie laptopa należy przeprowadzić po wykonaniu kopii danych ulotnych na działającym systemie oraz w zależności od ustalonych dodatkowych informacji na temat zainstalowanego szkodliwego oprogramowania. Wyłączenie laptopa uzależnić od zastosowanych zabezpieczeń bądź jego braku. Dane na laptopie - dyski mogą być szyfrowane. Jeżeli system nie zawiera dodatkowych destrukcyjnych zabezpieczeń pozostawionych przez przestępcę celem zatarcia danych w momencie zamykania systemu należy wiec wyłączyć laptop zgodnie z procedura właściwego zamykania systemu. Jeżeli stwierdzono zainstalowane oprogramowanie szyfrujące bądź inne programy destrukcyjne np. formatujące dysk, należy odciąć zasilanie poprzez wyjęcie wtyczki zasilającej laptop oraz wyjęcie baterii celem natychmiastowego odcięcia zasilania. Po wykonaniu kopii danych ulotnych RAM i sprawdzeniu działających programów, procesów i upewnieniu się że wyłączenie laptopa nie spowoduje usunięcia danych za pomocą aplikacji działającej w tle lub za pomocą programu lub skryptu do formatowania dysku, bądź nie spowoduje zaszyfrowanie danych. Po wykonaniu czynności sprawdzających zamykamy systemu operacyjny z poziomu użytkownika. Niektóre systemy operacyjne wymagają zamknięcia przed wyłączeniem zasilania laptopa. Nie zamknięcie w prawidłowy sposób takiego systemu operacyjnego przed odłączeniem od zasilania może spowodować bezpowrotną utratę niektórych danych. Do systemów tych nalezą m.in. Windows 9x, NT, 2000, XP, Nowell NetWare, Unix. W takim przypadku należy bezwzględnie używając odpowiednich poleceń systemowych, wykonać systemowe operacje zamykające 27. Zrobić zdjęcie otoczenia, podłączonych kabli, urządzeń peryferyjnych, systemu portów komputera, oznaczeń. Sfotografować schemat połączeń urządzeń - oznaczyć wszystkie przewody i połączenia 28. Odłączyć kabel zasilający z tyłu laptopa oraz wyciągnąć baterie zasilającą ze spodu laptopa 29. Odłączyć inne kable od urządzeń peryferyjnych, sieciowych

30. Wyciągnąć pozostałe urządzenia zewnętrzne podłączone go gniazd tj. pendrive lub dysk zewnętrzny, o ile takie są podłączone 31. Oznaczyć porty i kable tak, aby można było je tak samo podłączyć po wykonaniu badania 32. Należy się upewnić czy zostały spisane wszystkie widoczne elementy urządzenia i dołączono do nich metryczki wraz z opisem 33. Wymontować dysk z laptopa i 34. Podłączyć wyjęty dysk do blokera zapisu oraz wykonać kopię binarną zawartości dysku laptopa jako źródło danych 35. Wygenerować sumę kontrolną MD5, SHA1, SHA 2 dla całego dysku 36. Wszystkie kroki należy zanotować w protokole - szczegółowo krok po kroku. Dokumentować wykonanie każdego kroku i spisać sumę kontrolną 37. Zapakować dysk kopii binarnej w folie ochronną - antystatyczną oraz w karton ochronny 38. Zaplombować torby antystatyczne oraz dołączyć w trwały sposób metryczki przedmiotu, zawierające numery urządzeń, rodzaje, typy, cechy indywidualne oraz pozostałe dane. Zalakować i odcisnąć referentkę na metryczkach. Antystatyczne torby włożyć do kartonowych pudełek zabezpieczających przed fizycznym uszkodzeniem materiał dowodowy 39. Przechowywać zapakowane dyski z dala od magnesów, jakichkolwiek nadajników radiowych mogących wpłynąć na urządzenie. Przechowywać dyski w temperaturze pokojowej w niezawilgoconym pomieszczeniu 40. Przeszukać najbliższe otoczenie laptopa celem odnalezienia zeszytów, karteczek, notatek, zapisów, dokumentacji, na których mogą znajdować się hasła dostępowe 41. Sporządzić protokół wraz z pełną dokumentacją opisującą wszystkie wykonane czynności w trakcie procesu zabezpieczania laptopa krok po kroku. Należy wypełnić protokół oględzin lub przeszukania w zależności od tego, jaka czynność jest wykonywana w celu zabezpieczenia procesowego przedmiotów dowodowych 42. Zażądać od podejrzanego użytkownika pokazania licencji do programów i oryginalnych nośników. Wpisać te informacje do protokołu lub zabezpieczyć jako materiał porównawczy 43. Zażądać od podejrzanego użytkownika przekazania wszelkich instrukcji do programów napisanych na zamówienie lub do nietypowych programów. Zabezpieczyć jako materiał porównawczy

44. Zażądać od podejrzanego użytkownika, administratora podania wszystkich parametrów dostępu do programów (w postaci kont, haseł, identyfikatorów itp.). Wpisać wszystkie te informacje do protokołu oględzin lub przeszukania 45. Wykonać szkic planu połączeń z opisem wyposażenia i dołączyć do Protokołu i Raportów N. Zabezpieczyć Dysk zewnętrzny (1 sztuka) 1. Jeżeli dysk jest podłączony do działającego laptopa to należy wykonać kopie po odmontowaniu w systemie urządzenia. Wykonać kopię binarną dysku (klon nośnika) po wcześniejszym podłączeniu go do odpowiedniego blokera zapisu, aby uniemożliwić nadpisanie i modyfikacje zabezpieczonych danych. Po wykonaniu kopii binarnej danych cyfrowych wykonać autentyfikacje sumami kontrolnymi 2. Jeżeli dysk zewnętrzny nie jest podłączony to nie podłanczać go do działającego laptopa, aby nie napisać danych 3. Zapisać wszystkie czynności w protokole dotyczące procedury zabezpieczania dowodu, celem uzyskania kopii binarnej nośnika źródłowego 4. Zrobić zdjęcie wraz z metka producenta, specyfikacją, numerem seryjnym 5. Podłączyć dysk do blokera - Bloker Tableau Forensic USB Bridge TK8, celem zablokowania zapisu na nim i modyfikacji danych 6. Wykonać kopię binarną dysku źródłowego na dysk docelowy 7. Zapakować dysk kopii binarnej w folie ochronną - antystatyczną oraz w karton ochronny 8. Zaplombować torby antystatyczne oraz dołączyć w trwały sposób metryczki przedmiotu, zawierające numery urządzeń, rodzaj, typ, cechy indywidualne oraz pozostałe dane. Zalakować i odcisnąć referentkę na metryczkach. Antystatyczne torby włożyć do kartonowych pudełek zabezpieczających przed fizycznym uszkodzeniem 9. Przechowywać zapakowane dyski (docelowe) kopii binarnej z dala od magnesów, jakichkolwiek nadajników radiowych mogących wpłynąć na urządzenie. Przechowywać dyski w temperaturze pokojowej w niezawilgoconym pomieszczeniu 10. Wypełnić szczegółowo protokół oględzin lub przeszukania w zależności od tego, jaka czynność jest wykonywana w celu zabezpieczenia procesowego przedmiotów

O. Zabezpieczyć Pendriv e (1 sztuka) 1. Jeżeli pendrive jest podłączony do działającego laptopa to należy wykonać kopie dopiero po odmontowaniu w systemie urządzenia. Wykonać kopię binarną z pendriva USB (klon nośnika przenośnej pamięci) po wcześniejszym podłączeniu do odpowiedniego blokera zapisu, aby uniemożliwić nadpisanie i modyfikacje zabezpieczonych danych, a po wykonaniu kopii binarnej danych cyfrowych wykonać autentyfikacje sumami kontrolnymi 2. Jeżeli pendriv e nie jest podłączony to nie podłanczać go do działającego laptopa, aby nie napisać danych 3. Zapisać wszystkie czynności w protokole dotyczące procedury podłączenia celem uzyskania kopii binarnej nośnika. 4. Wykonać zdjęcie pendriva wraz z oznaczeniami producenta 5. Jeżeli jest to potrzebne dla śledztwa wykonać badanie daktyloskopijne celem znalezienia odcisków palców na pendrive świadczącym o ostatniej osobie która go posiadała używała 6. Podłączyć do blokera - Bloker Tableau Forensic USB Bridge TK8, celem zablokowania zapisu na nim i modyfikacji danych 7. Wykonać kopię binarną pendriva źródłowego na dysk docelowy 8. Zapakować dysk kopii binarnej w folie ochronną antystatyczną oraz w karton ochronny 9. Przechowywać zapakowane dyski kopii binarnej z dala od magnesów, jakichkolwiek nadajników radiowych mogących wpłynąć na urządzenie. Przechowywać dyski w temperaturze pokojowej w niezawilgoconym pomieszczeniu 10. Wypełnić szczegółowo protokół oględzin lub przeszukania w zależności od tego, jaka czynność jest wykonywana w celu zabezpieczenia procesowego przedmiotów 11. Oryginalny pendrive zwrócić właścicielowi

P. Zabezpieczyć Aparat fotograficzny (1 sztuka) 1. Zabezpieczyć aparat fotograficznego do przeprowadzenia analizy w laboratorium kryminalistyki informatyki śledczej. Ze względu na fakt. iż aparat może zawierać oprócz wykonanych zdjęć, obrazów także inne materiały jak dokumenty archiwa zamieszczone na kartach pamięci umieszczonych w aparacie. Współczesne aparaty cyfrowe są zaawansowane technologicznie i elektronicznie, dlatego mogą posiadać dodatkowe istotne informacje np. geolokalizacyjne, które można uzyskać z wbudowanego w aparat modułu GPS, dającego możliwość odtworzenia przebytej drogi i czasu użytkowania 2. Wykonać zdjęcia aparatu wraz z informacja w postaci metki informacyjnej producenta, marki, modelu, numeru seryjnego 3. Jeżeli jest to konieczne procesowo aparat poddać badaniu daktyloskopijnemu celem uzyskania odcisków palców osoby ostatnio krzystającej z aparatu 4. Jeżeli aparat jest wyłączony - nie należy go włączać 5. Zidentyfikować karty pamięci w aparacie i wyjąć z gniazda 6. Zabezpieczyć plombą, taśmą ochronną gniazda do instalowania kart pamięci w aparacie 7. Zabezpieczyć karty pamięci z aparatu (nośniki pamięci) np. SD, przez przełączenie w pozycję "locked" przełącznika uniemożliwiającego w ten sposób dokonanie zapisu i modyfikacji zawartości karty 8. Podłączyć kartę pamięci do blokera poprzez port USB- Bloker Tableau Forensic USB Bridge TK8 9. Przygotować nośnik docelowy wyczyścić. Nośnik, na którym będzie wykonana kopia binarna 10. Wykonać kopie binarną zawartości karty pamięci np. SD poprzez zastosowanie Blokera i oprogramowania wykonującego kopie 11. Zabezpieczyć nośnik z kopią binarną pochodzącą z karty aparatu w folie ochronną antystatyczną oraz w opakowanie ochronne kartonowe 12. Zabezpieczyć aparat przez zapakowanie w folię ochronną, karton ochronny, gdyż jest to urządzenie wrażliwe - jeżeli jest do aparatu oryginalne opakowanie to należy aparat umieścić w tym opakowaniu, torbie fotograficznej do przenoszenia tego typu urządzeń celem ochrony przed uszkodzeniem

13. Zaplombować torbę, do której został włożony aparat tak, aby osoby postronne nie mogły mieć do niego dostęp 14. Zabezpieczyć zasilacze do aparatu, jeżeli takowy posiada, lub innej formy zasilania 15. Zabezpieczyć wszelkie dodatkowe urządzenia powiązane z aparatem 16. Zabezpieczyć wszelką dostępną dokumentację producenta 17. Zabezpieczyć oprogramowanie aparatu producenta 18. Zabezpieczyć kable umożliwiające podłączenie do komputera 19. Zabezpieczyć zasilacze, jeżeli takowe występują 20. Należy wypełnić szczegółowo protokół oględzin lub przeszukania w zależności od tego, jaka czynność jest wykonywana w celu zabezpieczenia procesowego przedmiotów 21. Zabezpieczony aparat przechowywać z dala od urządzeń emitujących pole elektromagnetyczne, w miejscach suchych i chłodnych 22. Zażądać od podejrzanego użytkownika pokazania licencji do programów i oryginalnych nośników. Wpisać te informacje do protokołu lub zabezpieczyć jako materiał porównawczy 23. Zażądać od podejrzanego użytkownika przekazania wszelkich instrukcji do programów napisanych na zamówienie lub do nietypowych programów. Zabezpieczyć jako materiał porównawczy. 24. Zażądać od podejrzanego użytkownika, administratora podania wszystkich parametrów dostępu do programów (w postaci haseł, identyfikatorów itp.). Wpisać wszystkie te informacje do protokołu oględzin lub przeszukania Q. Sporządzić Protokoły i Raporty - Dokumentacje 1. Należy wypełnić protokół oględzin lub przeszukania w zależności od tego, jaka czynność jest wykonywana w celu zabezpieczenia procesowego przedmiotów. Sporządzić Protokół oględzin rzeczy, raport z wykonanej każdej kopii binarnej, podczas zabezpieczenia zawartości każdego urządzenia w postaci dysków z komputera, dysku laptopa, dysku zewnętrznego, pendriva, aparatu fotograficznego. Wskazać zastosowaną metodologie, i podać wszystkie użyte narzędzia.w protokole należy umieścić informacje: opisanie podłączenia sprzętu, data i czas systemowy wykonania kopii binarnej, spisanie wykonania każdej czynności, spisanie świadków w obecności, których przeprowadzono czynności, dokładne opisanie nośników

jak nazwa model, marka, parametry techniczne, następnie należy po dokonaniu kopii binarnej wygenerować do każdego badanego urządzenia sumę kontrolną i wpisać do każdego z raportów - uwierzytelnianie informacji za pomocą sum kontrolnych MD5 i SHA1. Weryfikacja danych za pomocą sum kontrolnych MD5 i SHA1 2. Sporządzić protokół miejsca ich znalezienia, utrwalenie czynności dowodowych 3. Sporządzić dokumentację fotograficzna 4. Spisać wszystkich uczestników zabezpieczenia 5. Na uruchomionym laptopie opisanie uruchomionych programów, opisanie uruchomionych procesów 6. Dyski powinny być oznaczone metryczką z kolejnym numerem, opisane w protokole 7. Opisać ułożenie sprzętu i dodatkowych urządzeń, jak płyty CD sieci komputerowej 8. Zabezpieczyć i załączyć do protokołu wydrukowane dane z drukarki, jeżeli jest to związane ze sprawą 9. Zapisanie z urządzeń badanych i przepisanie do protokołu następujących właściwości: - spisać model - spisać numer seryjny - spisać pojemność - spisać producenta - spisać numer firmware'a - spisać całkowitą liczbę sektorów - spisać liczba sektorów HPA - spisać liczba sektorów DCO - spisać czy dysk jest zabezpieczony, czy posiada HPA, DCO - spisać wartości DMA - spisać wartość PIO

R. Wszelkie zabezpieczone przedmioty przechowywać z dala od urządzeń emitujących pole elektromagnetyczne, w miejscach suchych i chłodnych S. Przesłuchać właściciela komputera, laptopa, dysku, pendriva bądź osoby przebywającej w pomieszczeniu pod względem zainstalowanego rodzaju aplikacji i oprogramowania, które były używane oraz jak były zabezpieczone. Uzyskanie wszelkich haseł zabezpieczających komputer, haseł dostępowych, kluczy szyfrujących, kont, haseł zabezpieczających dane np. na dysku zewnętrznym bądź pendrive, haseł do kont administracyjnych oraz kont użytkowników, haseł szyfrujących ukryte obszary dyskowe T. Zabezpieczyć dokumentację w postaci posiadanych licencji wszystkich zainstalowanych na komputerze programów, atrybutów legalności, systemu operacyjnego i sporządzenie stosownego raportu. Zażądać od podejrzanego użytkownika pokazania licencji do programów i oryginalnych nośników. Wpisać te informacje do protokołu lub zabezpieczyć jako materiał porównawczy U. Zażądać od podejrzanego użytkownika przekazania wszelkich instrukcji do programów napisanych na zamówienie lub do nietypowych programów. Zabezpieczyć jako materiał porównawczy. V. Zażądać od podejrzanego użytkownika i administratora podania wszystkich parametrów dostępu do programów, nietypowych ustawień konfiguracyjnych. Wpisać wszystkie te informacje do protokołu oględzin lub przeszukania W. Jeżeli zajdzie potrzeba zabezpieczenia sprzętu (oryginału) i przewiezienia do laboratorium, to należy ostrożnie odłączać, zabezpieczyć i pakować okablowanie oraz pozostały sprzęt (monitory, drukarki, skanery, napędy zewnętrzne, czytniki kart pamięci, klawiatury itp.) X. Przedmioty jakie należy zabezpieczyć: - zapiski, karteczki zawierające spisane hasła - dokumentacje, instrukcje obsługi, przewodniki dla sprzętu komputerowego oraz oprogramowania - klucze sprzętowe służące do zabezpieczenia i szyfrowania - klucze do fizycznego dostępu do obudowy sprzętu komputerowego oraz do kieszeni na dyski, jeżeli takowe posiada