זיהוי פלילי מחשבים, שחזור נתונים ו-E-Discovery שונים

מה ההבדל בין שחזור נתונים, זיהוי פלילי במחשב וגילוי אלקטרוני?

כל שלושת התחומים עוסקים בנתונים, ובמיוחד בנתונים דיגיטליים. זה הכל על אלקטרונים בצורה של אפסים ואחדים. וזה הכל על לקיחת מידע שעשוי להיות קשה למצוא והצגתו בצורה קריא. אבל למרות שיש חפיפה, מערכי הכישורים דורשים כלים שונים, התמחויות שונות, סביבות עבודה שונות ודרכי הסתכלות שונות על דברים.

שחזור נתונים כולל בדרך כלל דברים שבורים – בין אם חומרה או תוכנה. כאשר מחשב קורס ולא מופעל גיבוי, כאשר דיסק קשיח חיצוני, כונן אצבע או כרטיס זיכרון הופך לבלתי קריא, ייתכן שיידרש שחזור נתונים. לעתים קרובות, למכשיר דיגיטלי שזקוק לשחזור הנתונים שלו יהיה נזק אלקטרוני, נזק פיזי או שילוב של השניים. אם זה המקרה, תיקון החומרה יהיה חלק גדול מתהליך שחזור הנתונים. זה עשוי לכלול תיקון האלקטרוניקה של הכונן, או אפילו החלפת ערימת ראשי הקריאה/כתיבה בתוך החלק האטום של כונן הדיסקים.

אם החומרה שלמה, סביר להניח שהקובץ או המחיצה ייפגעו. כלים מסוימים לשחזור נתונים ינסו לתקן מחיצה או מבנה קבצים, בעוד שאחרים בוחנים את מבנה הקובץ הפגום ומנסים לשלוף קבצים. מחיצות וספריות עשויות להיבנות מחדש באופן ידני גם עם עורך hex, אך בהתחשב בגודלם של כונני דיסקים מודרניים וכמות הנתונים עליהם, זה נוטה להיות לא מעשי.

בגדול, שחזור נתונים הוא סוג של תהליך "מאקרו". התוצאה הסופית נוטה להיות אוכלוסייה גדולה של נתונים שנשמרו ללא כל כך הרבה תשומת לב לקבצים הבודדים. עבודות שחזור נתונים הן לרוב כונני דיסקים בודדים או מדיה דיגיטלית אחרת שניזוקו בחומרה או בתוכנה. אין סטנדרטים מקובלים במיוחד בתחום שחזור נתונים.

גילוי אלקטרוני עוסק בדרך כלל בחומרה ובתוכנה ללא פגע. אתגרים ב-e-discovery כוללים "דה-דופינג". חיפוש עשוי להתבצע באמצעות נפח גדול מאוד של מיילים ומסמכים קיימים או מגובים.

בשל אופי המחשבים ושל הדואר האלקטרוני, סביר להניח שיהיו הרבה מאוד כפילויות זהות ("דיפיות") של מסמכים ומיילים שונים. כלים לגילוי אלקטרוני נועדו לגרש את מה שעלול להיות זרימת נתונים בלתי ניתנת לניהול לגודל ניתן לניהול על ידי אינדקס והסרה של כפילויות, הידוע גם בשם מניעת כפילות.

E-discovery עוסק לעתים קרובות בכמויות גדולות של נתונים מחומרה לא פגומה, והנהלים נופלים תחת הכללים הפדרליים של סדר הדין האזרחי ("FRCP").

לזיהוי פלילי מחשבים יש היבטים הן של גילוי אלקטרוני והן של שחזור נתונים.

בזיהוי פלילי ממוחשב, הבוחן המשפטי (CFE) מחפש ודרך נתונים קיימים קודמים, או שנמחקו. כשהוא עושה גילוי אלקטרוני כזה, מומחה לזיהוי פלילי עוסק לפעמים בחומרה פגומה, אם כי זה נדיר יחסית. הליכי שחזור נתונים עשויים להיות מופעלים כדי לשחזר קבצים שנמחקו ללא פגע. אך לעתים קרובות, ה-CFE חייב להתמודד עם ניסיונות מכוונים להסתיר או להרוס נתונים הדורשים מיומנויות מחוץ לאלה המצויים בתעשיית שחזור הנתונים.

כאשר עוסקים באימייל, ה-CFE מחפש לעתים קרובות שטח לא מוקצה אחר נתוני סביבה – נתונים שאינם קיימים עוד כקובץ קריא למשתמש. זה יכול לכלול חיפוש אחר מילים או ביטויים ספציפיים ("חיפושי מילות מפתח") או כתובות דוא"ל בשטח לא מוקצה. זה יכול לכלול פריצת קבצי Outlook כדי למצוא דואר אלקטרוני שנמחק. זה יכול לכלול התבוננות במטמון או בקובצי יומן, או אפילו בקבצי היסטוריית אינטרנט לאיתור שאריות של נתונים. וכמובן, זה כולל לעתים קרובות חיפוש דרך קבצים פעילים עבור אותם נתונים.

שיטות העבודה דומות כאשר מחפשים מסמכים ספציפיים התומכים בתיק או באישום. חיפושי מילות מפתח מתבצעים הן על מסמכים פעילים או גלויים, והן על נתוני סביבה. חיפושי מילות מפתח חייבים להיות מתוכננים בקפידה. במקרה אחד כזה, קרן שלינגר נגד בלייר סמית' המחבר חשף יותר ממיליון מילות מפתח "כניסות" בשני כונני דיסקים.

לבסוף, המומחה לזיהוי פלילי מחשבים נקרא לעתים קרובות גם להעיד כעד מומחה בהצהרה או בבית המשפט. כתוצאה מכך, ניתן להכניס את השיטות והנהלים של ה-CFE תחת מיקרוסקופ וניתן לקרוא למומחה להסביר ולהגן על תוצאותיו ופעולותיו. CFE שהוא גם עד מומחה עשוי להגן על דברים שנאמרו בבית המשפט או בכתבים שפורסמו במקום אחר.

לרוב, שחזור נתונים עוסק בכונן דיסק אחד, או בנתונים ממערכת אחת. לבית שחזור הנתונים יהיו סטנדרטים ונהלים משלו והוא יעבוד על מוניטין, לא על הסמכה. גילוי אלקטרוני עוסק לעתים קרובות בנתונים ממספר גדול של מערכות, או משרתים שבהם עשויים להכיל חשבונות משתמש רבים. שיטות גילוי אלקטרוני מבוססות על שילובי תוכנה וחומרה מוכחים ומומלץ לתכנן הרבה מראש (אם כי חוסר תכנון מוקדם הוא נפוץ מאוד). זיהוי פלילי ממוחשב עשוי לעסוק במערכות או מכשירים אחדים או רבים, עשוי להיות נזיל למדי בהיקף הדרישות והבקשות המוגשות, עוסק לעיתים קרובות בנתונים חסרים, וחייב להיות ניתן להגנה – ולהגן עליהן – בבית המשפט.

זֶה



Source by Steve Burgess

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר.