Roya

الطب الشرعي للكمبيوتر – لا تدع دليل الشريط يفلت منك

يرتبط الكثير من أعمال الطب الشرعي للكمبيوتر باستعادة البيانات من محركات الأقراص الثابتة وأقلام USB ووسائط تخزين البيانات الشائعة الأخرى. حتى على البيانات التليفزيونية ، يُرى بشكل عام فقط ليتم تخزينها على نطاق محدود من الوسائط. إذن ماذا عن الشريط؟ من المحتمل أن يكون أكبر حجم من البيانات المخزنة في العالم على شريط ، فهل لها أي قيمة في تحقيقات الطب الشرعي وأعمال التقاضي؟

يحتوي محرك القرص الثابت في نظام الكمبيوتر على أحدث المعلومات جنبًا إلى جنب مع معلومات أخرى قيّمة من الناحية الجنائية مثل سجل الإنترنت والملفات المؤقتة المحلية.

فلماذا تهتم بالنظر إلى الأشرطة الاحتياطية؟

سهولة الوصول

غالبًا ما يتم الوصول إلى البيانات من أرشيف الشريط مع قدر أقل من التعطيل حيث يمكن تسليم الأشرطة دون مصادرة الأنظمة وتصويرها. في بعض الحالات ، من الأهمية بمكان عدم وجود معرفة واسعة النطاق بإجراء تحقيق أو تدقيق للنظام ، لذا قد يكون أخذ النسخ الاحتياطية من متجر خارج الموقع أفضل من تأمين الأنظمة النشطة للتحقيق.

غالبًا ما ينتشر الاضطراب الناجم عن التدقيق إلى أبعد مما هو مثالي. ينتهي الأمر بالأشخاص الذين ليس لديهم أي شك بالشعور بالشك ، لذا فإن القدرة على إجراء تقييم للوضع دون فقدان معنويات الموظفين على نطاق واسع يمكن أن تكون خطوة جيدة للغاية. بالطبع يجب الحرص على عدم وجود أي إجراء في تصفح البيانات يتعارض مع القواعد الأخرى ولا يؤدي إلى اتخاذ إجراءات غير متوقعة على نطاق واسع. باستثناء الأنشطة غير القانونية الواضحة ، من الأفضل في كثير من الأحيان استخدام أي تدقيق شبه سري للنظام لوضع سياسة ورسم خط يؤدي بعده الانتهاك إلى اتخاذ إجراء.

بيانات تاريخية

النسخ الاحتياطية هي لقطة سريعة لنظام أو أنظمة ، ويمكن أن يكون هذا أمرًا لا يقدر بثمن. يمكن أن تأتي البيانات وتذهب من الأنظمة المحلية ، وفي بعض الحالات يمكن إجراء درجة من مسح البيانات لتغطية المسارات ، ولكن إذا كان هناك جزء من البيانات في مكان ما وتم نسخه احتياطيًا ، فعندئذٍ مهما كانت المحاولات التي تُبذل للتخلص منها دليل على أنه سيتم تخزينه بشكل آمن داخل أرشيف النسخ الاحتياطي.

يمكن أن يوفر العمل مرة أخرى خلال النسخ الاحتياطية في نهاية الشهر فرصة أكبر لاكتشاف المخالفات وانتهاكات النظام ، ما لم يتم توخي الحذر الشديد في مرحلة ما ستكون بعض المعلومات في طريق البنية التحتية الاحتياطية وسيتم العثور عليها.

انظر قبل القفز

فهم البنية التحتية للنسخ الاحتياطي مطلوب قبل الشروع في عملية شباك الجر من خلال أرشيف شريطي حيث يمكن أن يكون هناك الكثير من البيانات للبحث فيها. يعد اكتشاف ما إذا كان من المحتمل عن بُعد أن تكون البيانات التي تبحث عنها في مكان ما بين الأشرطة بداية جيدة ، ثم يعد تحديد أولويات الأشرطة الخطوة الأساسية التالية. يُعد أرشيف الشريط الذي يوفر ميزة الرجوع إلى الوراء من خلال اللقطات السريعة للنظام ميزة كبيرة ، ولكن يمكن أن يعني ذلك وجود كمية هائلة من البيانات ، لذلك يعد التخطيط لتقليل الوقت والتكاليف أمرًا ضروريًا.

استنادًا إلى حالة حديثة حيث كان من المحتمل أن تكون هناك حاجة لفحص البيانات من بين ثلاثة إلى أربعة آلاف خرطوشة AIT تحتوي على بيانات مكتوبة باستخدام أداة أرشفة NetBackup ، أصبحت أهمية النهج المتدرج واضحة تمامًا.

3000 شريط يتطلب كل منها 3 ساعات للقراءة ، باستخدام 10 أنظمة وبوقت تشغيل 80٪ ، سيستغرق ما يقرب من 50 يومًا. هذا هو الوقت المناسب لقراءة الأشرطة ، عامل الوقت للتعامل مع البيانات المستردة وتنظيمها للعودة ، وقد ينتهي بك الأمر بمضاعفة الوقت.

أدى تطوير نظام المسح المسبق لهذا النوع من الشريط إلى تقليل الوقت لكل شريط لتحديد البيانات الموجودة على كل شريط إلى حوالي 15 دقيقة ، بحيث يمكن مسح جميع الأشرطة في حوالي 4 أيام. وقد سمح ذلك بتحديد 500 شريط كانت هناك حاجة للبيانات منها ، وألغى الباقي. تم تقليل الوقت الإجمالي لقراءة جميع البيانات إلى أقل من 10 أيام ، والنتيجة هي خدمة أسرع بتكاليف أقل. لذا فإن القليل من التحضير يمكن أن يؤتي ثماره.

الشفاء من الشريط فكرة جيدة؟

لا توجد قاعدة صارمة وسريعة ، وفهم الأنظمة وأين يمكن أن تكون البيانات هي الخطوة الأولى. قد يكون أرشيف الشريط مصدرًا رائعًا للبيانات ، ولكن إذا لم يتم نسخ البيانات التي تريدها احتياطيًا ، فقد ينتهي بك الأمر إلى إهدار المال والوقت. ولكن ، من خلال تجاهل تلك “الأشياء المخيفة على الأشرطة” ، قد تفقد البيانات التي يمكن أن تشكل جزءًا حيويًا من أي تحقيق أو تدقيق.