Computer Forensics - Lassen Sie nicht die Tape Evidence Entfliehen Sie

So viel von Computer Forensik Arbeit mit Datenrettung von Festplatten, USB Stifte und andere gemeinsame Datenträger verbunden. Auch im Fernsehen Daten ist allgemein gesehen, nur auf eine begrenzte Anzahl von Medien gespeichert werden. Also, was über Band? Wahrscheinlich das größte Datenmenge in der Welt gespeichert ist auf dem Band, so ist es von Wert in der forensischen Untersuchungen und Rechtsstreitigkeiten Arbeit?

Die Festplatte in einem Computer-System enthält die meisten up-to-Informationen zusammen mit anderen forensisch wertvolle Informationen wie Internet-Geschichte und lokale temporäre Dateien Datum.

Warum also die Mühe Blick auf die Backup-Bänder?

Ease of Access

Der Zugriff auf die Daten von einem Band-Archiv wird oft mit weit weniger Störungen als die Bänder über ohne Systeme, die beschlagnahmt übergeben und abgebildet erreicht. In einigen Fällen ist es wichtig, dass es nicht sehr weit verbreitet Wissen, dass eine Ermittlung oder ein System-Audit ist im Gange, so nehmen die Backups von einem Off-Site-Geschäft vorzuziehen wäre, wenn Sperren die aktiven Systeme für die Untersuchung.

Die Störung durch ein Audit verursacht breitet sich oft weiter als ideal. Menschen nicht unter Verdacht am Ende das Gefühl Verdacht, so in der Lage, eine Einschätzung der Situation ohne weit verbreitete Verlust der Arbeitsmoral machen kann ein sehr guter Schachzug sein. Natürlich ist darauf zu achten, dass keine Maßnahmen beim Surfen durch die Daten verstößt gegen über andere Regeln und dass sie nicht weit verbreitet reflexartige Handlungen führen kann. Mit Ausnahme von klar illegalen Aktivitäten ist es oft besser, eine semi-geheimen System Audit verwenden, um Politik zu entwickeln und eine Zeile, nach der Verletzung in Aktion führt zu zeichnen.

Historische Daten

Backups sind eine Momentaufnahme eines Systems oder Systeme, und dies kann von unschätzbarem Wert sein. Die Daten können kommen und gehen von lokalen Systemen, und in einigen Fällen ein gewisses Maß an Daten Abwischen könnte getan werden, um Spuren zu verwischen, aber wenn ein Teil der Daten war in einem Ort, und gesichert wird, dann was auch immer Versuche unternommen werden, um loszuwerden, Beweise es wird sicher in das Backup-Archiv gespeichert werden.

Arbeiten zurück durch Monatsende-Backups geben kann eine größere Chance auf Fehlverhalten und System Missbräuche zu erkennen, es sei denn, großer Sorgfalt zu einem bestimmten Zeitpunkt getroffen wurde einige Informationen in der Straße der Backup-Infrastruktur gewesen und gefunden werden.

Schauen Sie, bevor springen

Verständnis der Backup-Infrastruktur wird vor dem Einschiffen auf einem Schleppnetz durch einen Tape-Archiv, da es eine Menge von Daten, die durch Schleppnetz sein könnte erforderlich. Herausfinden, ob sie aus der Ferne ist wahrscheinlich, dass die Daten die Sie nach wird irgendwo in zwischen den Bändern ist ein guter Anfang, dann die Priorisierung der Bänder ist der nächste wesentliche Schritt. Dass das Band Archiv bietet den Vorteil einer Step-back durch Momentaufnahmen des Systems ist ein großer Vorteil, aber es kann bedeuten, gibt es eine große Menge von Daten so planen, die Zeit zu verkürzen und Kosten ist unerlässlich.

Basierend auf einem aktuellen Fall, wo es möglicherweise die Notwendigkeit, Daten zwischen drei und viertausend AIT-Kassetten mit Daten geschrieben mit dem NetBackup Archivierung Dienstprogramm zu untersuchen, wird die Bedeutung eines abgestufte Vorgehen deutlich.

3000 Bänder, die jeweils 3 Stunden zum Lesen benötigen, mit 10 Systemen und mit einer 80% Betriebszeit, würde fast 50 Tage. Das ist nur die Zeit zum Lesen Bänder, Faktor Zeit für den Umgang mit den wiederhergestellten Daten und zum Verwalten dieser für die Rückkehr und man konnte am Ende eine Verdoppelung der Zeit.

Entwickeln einer Pre-Scan-System für diese Art von Band verringert die Zeit pro Band, um die Daten auf jedem Band zu identifizieren hinunter bis etwa 15 Minuten, so dass alle Bänder könnten in etwa 4 Tagen gescannt werden. Dies erlaubte die Identifizierung von 500 Bändern, von der Daten benötigt werden, und eliminiert den Rest aus. Die Gesamtzeit, um alle Daten zu lesen reduziert auf weniger als 10 Tagen, wobei das Resultat ein schnellerer Dienst mit geringeren Kosten. So ein bisschen Vorbereitung kann auszahlen.

Wiederherstellung vom Band eine gute Idee?

Es gibt keine feste Regel, das Verständnis der Systeme und wo die Daten sein könnte, ist der erste Schritt. Die Tape-Archiv kann eine große Quelle von Daten sein, aber wenn die Daten, die Sie noch nie gesichert wurde, dann können Sie am Ende wegzuwerfen Geld und Zeit. Aber ignoriert diese "scary tape Dinge", könnten Sie fehlende Daten, die ein wichtiger Teil der Ermittlungen oder der Prüfung bilden könnten.