Computação Forense - Não deixe a Evidência fita escapar de você

Portanto, muito do trabalho de Computação Forense é associado com recuperação de dados de discos rígidos, canetas USB e outros comuns de mídia de armazenamento de dados. Mesmo na televisão de dados é geralmente visto apenas para ser armazenada em uma gama limitada de meios de comunicação. Assim que sobre fita? Provavelmente, o maior volume de dados armazenados no mundo está na fita, de modo que é de qualquer valor em investigações forenses e de trabalho litígio?

A unidade de disco rígido em um sistema de computador contém o mais up-to-data juntamente com informação valiosa forense, tais como histórico de internet e arquivos temporários locais.

Então por que se preocupar olhando as fitas de backup?

Facilidade de Acesso

O acesso aos dados a partir de um arquivo de fita é muitas vezes conseguida com interrupção muito menos como as fitas pode ser entregue sem sistemas que estão sendo apreendidos e fotografada. Em alguns casos, é vital que não há conhecimento generalizado de que uma auditoria investigação ou sistema está em andamento para fazer um backup de uma loja fora do local pode ser preferível a bloquear os sistemas activos para investigação.

A perturbação causada por uma auditoria muitas vezes se espalha além do que é ideal. As pessoas que não estão sob qualquer suspeita até final sentindo suspeita, de modo a ser capaz de fazer uma avaliação da situação, sem perda generalizada de moral do pessoal pode ser um movimento muito bom. É claro que o cuidado deve ser tomado para que nenhuma ação na navegação através de dados viola sobre outras regras e que não resulta em generalizadas joelho-jerk ações. Com a exceção de atividades claramente ilegais muitas vezes é melhor usar qualquer auditoria do sistema semi-secreta para desenvolver políticas e para desenhar uma linha após o qual contravenção resultará em ação.

Dados históricos

Backups são um instantâneo de um sistema ou sistemas, e isso pode ser inestimável. Os dados podem ir e vir de sistemas locais e, em alguns casos, um grau de perda de dados pode ser feito para cobrir as faixas, mas se um pedaço de dados estava em um lugar, e fica apoiado, então o que são feitas tentativas de se livrar de provas que serão armazenados de forma segura dentro do arquivo de backup.

Trabalhando de volta através do final do mês backups podem dar uma maior chance de detectar irregularidades e abusos do sistema, a menos que um grande cuidado foi tomado, em algum momento alguma informação terá sido na estrada da infra-estrutura de backup e será encontrado.

Olhe antes de pular

Entendimento da infra-estrutura de backup é necessária antes de embarcar em uma rede de arrasto através de um arquivo de fitas como poderia haver um monte de dados para Vasculhe. Descobrir se é remotamente provável que os dados que são depois será em algum lugar entre as fitas é um bom começo, depois priorizar as fitas é o próximo passo essencial. Que o arquivo de fita fornece o benefício de um passo para trás, através instantâneos do sistema é um grande benefício, mas pode significar que há uma grande quantidade de dados para o planejamento de reduzir o tempo e custos é essencial.

Baseado em um caso recente onde havia potencialmente a necessidade de analisar dados de entre três e quatro mil cartuchos AIT contendo dados gravados usando o utilitário de arquivamento NetBackup, a importância de uma abordagem graduada torna-se claro.

3000 fitas que requerem 3 horas cada para ler, utilizando 10 sistemas e com um tempo de operação de 80%, seriam necessários cerca de 50 dias. Isso é apenas o tempo para a leitura de fitas, o fator tempo para lidar com os dados recuperados e organizá-lo de volta e você pode acabar dobrando o tempo.

O desenvolvimento de um sistema de pré-varrimento para este tipo de fita adesiva reduzida do tempo por fita para identificar os dados sobre cada fita até cerca de 15 minutos, pelo que todas as fitas podem ser verificados em cerca de 4 dias. Isso permitiu a identificação de 500 fitas a partir do qual os dados foram necessários, e eliminou o restante. O tempo total para ler todos os dados reduzida para menos de 10 dias, sendo o resultado um serviço mais rápido com custos mais baixos. Então, um pouco de preparação pode pagar dividendos.

Recuperação da fita uma boa idéia?

Não há nenhuma regra dura e rápida, a compreensão dos sistemas e onde os dados poderiam ser é o primeiro passo. O arquivo em fita pode ser uma grande fonte de dados, mas se os dados que deseja nunca foi feito o backup, então você pode acabar jogando fora tempo e dinheiro. Mas, ignorando essas "coisas de fita de terror", você pode estar perdendo dados que poderiam formar uma parte vital de qualquer investigação ou auditoria....