Computer Forensics.DK Sidste opdatering: 10.september 2009
hjem | computer forensics | incident response | electronic discovery | programmer | knowledge base | links | rootkits | mig | sitemap | kontakt

                                               Velkommen til ComputerForensics.DK
Hvad er Computer Forensics?
Helt grundlæggende er "Computer Forensics" indsamling, analyse og dokumentation af elektronisk bevismateriale. Almindelig brug af navnet dækker dog over to meget forskellige ting, nemlig det man på engelsk kalder henholdsvis "Computer Forensics" og "Incident Response".

Computer Forensics
Forensic betyder "kriminalteknisk", og er en betegnelse for den systematiske metode der bruges til at indsamle beviser fra et gerningssted. Hvis man ønsker at retsforfølge en indtrænger er det nødvendigt at indsamle beviser såsom logfiler og programmer efterladt på systemet i en sådan stand, at der ikke kan være tvivl om rigtigheden af de oplysninger man kommer frem til. Det er her teknikkerne fra computer forensics bliver nødvendige.

Incident Response
I de fleste virksomheder er der ikke tid til at bruge dagevis på at indsamle og analyserer data fra et system der muligvis er blevet hacket, og i mange tilfælde er ledelsen tilfreds, hvis bare systemerne hurtigt er tilbage online. I mange tilfælde er det derfor overladt til en almindelig bruger, eller i bedste fald en erfaren administrator, at finde ud af hvad der er sket.

"Incident Response" ("håndtering af sikkerhedsbrud") dækker således over en helt anden måde at undersøge om noget er sket med et computer system. Hovedformålet er her at få systemerne i gang igen så hurtigt som muligt, hvis det samtidigt er muligt at finde ud af hvad der er sket, og evt. finde beviser, så er det en bonus, men det er ikke hovedformålet med undersøgelsen.
Hvis der er den mindste chance for en undersøgelse skal munde ud i et retsligt efterspil, er det dog meget vigtigt at incident response undersøgelsen udføres korrekt, i det mindste indtil det er helt sikkert sagen ikke skal forfølges yderligere.

Forsigtig!
En administrator der ikke er trænet i incident response eller computer forensics vil ofte ødelægge beviser inden for de første par minutter vedkommende kommer i nærheden af et gerningssted. Det er derfor vigtigt, at kun trænet personel tager sig af maskiner der er blevet brudt ind i eller af anden grund er blevet årsag til en sikkerhedshændelse.
Enhver organisation, der på en eller på anden måde er kritisk afhængig af deres it-systemer, bør således have adgang til et trænet incident response team, enten som fastansatte eller som konsulenter ved et firma der kan indkaldes 24 timer i døgnet. Det bør også overvejes på forhånd hvornår og i hvilke situationer politiet evt. skal inddrages.

ComputerForensics.DK
Formålet med Computerforensics.DK er, at give en introduktion til henholdsvis computer forensics og incident response og samtidig give nogle redskaber man kan benytte, hvis man kommer i en situation hvor man selv skal undersøge et system under mistanke. På sigt er det planen at udbygge siderne med information om alle områder indenfor computer forensics, fra relevant lovgivning til specialiserede underområder indenfor tekniske undersøgelser, fra undersøgelser af arbejdsstationer til e-mail forensics.

(Note: et par af definitionerne her på velkomst siden er taget frit fra den meget anbefalelsesværdige faq i Usenet gruppen dk.edb.sikkerhed).


Computerforensics.DK oppe
22. marts 2004
Første version af Computerforensics.DK hjemmesiden er oppe.
Fokus ligger i første omgang på forensics på Windows platformene, men der vil selvfølgelig også være masser af info om forensics for bl.a. Linux, Solaris, *BSD, Mac og Cisco routere.

Organisering af siderne
22.marts 2004
Computerforensics.DK er opdelt i en række hovedpunkter. De vigtigste er indtil videre et par indledende tekster på dansk om computer forensics, incident response og electronic discovery, kommenterede links til en lang række gratis programmer og links til sider med mere information.
Herudover er der planlagt en lang række tekniske sider med information om en række af de vigtigste elementer af computer forensics, fra dansk og international lovgivning til undersøgelser af arbejdsstationer ("insider forensics"), email- og netværksforensics. Denne del af siden er under kraftig udbygning i øjeblikket. Herudover er der planlagt et par sider med information om generel sikkerhed.
 
Copyright © 2004-2009 Computerforensics.DK