Phases de l'analyse médico-légale
L'analyse forensique est effectuée après l'examen du cybercrime, car ce processus vise spécifiquement à savoir comment il a été possible et quelle est la faiblesse de l'ordinateur grâce à laquelle il a été possible d'exécuter cette attaque.
Son principal objectif est de reconstituer les faits et de déterminer ainsi les questions les plus pertinentes pour l'enquête, pour cela il est essentiel de savoir où se trouvent les informations les plus pertinentes, actuellement nous pouvons dire que les sources d'information les plus connues sont les correros électroniques, les connexions internet, les fichiers et les systèmes etc.
Avant de procéder à une analyse, il est toujours nécessaire de préparer le champ d'étude et de préserver chaque élément, c'est-à-dire que le plus important est de protéger les preuves centrales, pour cela il faut analyser et classer les preuves afin de les identifier, et ensuite chercher les méthodes possibles d'analyse.
Il est essentiel de préparer l'espace de travail, il est conseillé d'utiliser des fichiers ou des fichiers images qui sont des copies pour éviter que le système ne soit affecté.
Le support de stockage doit être entièrement prêt à recevoir les informations ; il est recommandé de disposer d'au moins deux supports de stockage pour l'analyse.
Dans le traitement des preuves basées sur un système d'exploitation ou un logiciel particulier pour mener l'enquête, l'un des supports de stockage contiendra le système, ainsi que de préparer l'espace en utilisant un autre système d'exploitation identique à l'appareil affecté pour éviter les incidents et d'abord utiliser comme preuve et ensuite appliquer au système et faire de même avec le support de stockage, cela permettra d'éviter d'obtenir des résultats inattendus.
Cependant, il est également nécessaire de préparer l'espace en utilisant un autre système d'exploitation identique à celui de l'appareil affecté afin d'éviter les incidents, cela permettra d'éviter des résultats inattendus.
À cette fin, il est nécessaire d'utiliser des logiciels ou des programmes qui permettent de mener une enquête sur un terrain sûr, étant une analyse directe ou en direct communément appelée.
C'est-à-dire utiliser le matériel stocké sans le modifier ou l'altérer par le biais d'une prévisualisation et poursuivre l'analyse, dans ce cas ce serait chaud, mais cela ne sera possible que lorsqu'il s'agit de systèmes UNIX ou Linux, car avec des systèmes comme Windows ce ne sera pas possible.
Une fois cette première étape réalisée, l'analyse sera plus orientée, car on connaîtra les faiblesses et les vulnérabilités où les auteurs de l'infraction attaqueront à nouveau.
La deuxième phase consiste à vérifier l'incident, c'est-à-dire à vérifier l'état et les caractéristiques de chacun des systèmes et à identifier dans quelle zone l'incident s'est produit.
Par exemple, il identifiera l'intrusion de courriers électroniques, l'accès par des personnes inconnues et la présence de virus, de codes nuisibles, l'interruption du fonctionnement des systèmes et des services ou le vol d'informations.
Pour commencer l'analyse, des informations telles que le jour de l'attaque, la date et l'heure de la notification, la personne qui l'a signalée, le type d'incident, si les parties touchées sont du matériel ou des logiciels.
Il est également nécessaire d'obtenir des informations sur le parcours suivi par l'incident et les caractéristiques des fichiers qui ont été le moyen d'exécution, tant en termes d'octets que de type, ainsi que de vérifier les comptes d'utilisateurs connectés.
Dans des circonstances identiques, il est nécessaire d'organiser chacun des fichiers avec des dates et avec la date spécifique du système installé, l'objectif est de trouver les fichiers d'origine douteuse, qu'il s'agisse de fichiers dans la corbeille, cachés ou modifiés, ils utiliseront généralement des logiciels ou des programmes qui permettent de les attaquer et ensuite de les supprimer.
Tout d'abord, il est important de connaître le fichier, son emplacement et le chemin d'attaque, la recherche est complexe car il y a plusieurs fichiers et ils se trouvent partout dans le système. Il est ensuite nécessaire d'analyser en détail chacun des dossiers identifiés et de trouver la relation entre eux.
L'objectif principal est d'arriver à l'origine de l'attaque et d'identifier tous les éléments qui ont été utilisés pour appliquer l'attaque. En tenant compte du fait que chaque fichier est composé de fragments et contient des informations pertinentes telles que la date, le lieu et l'heure, ce qui nous permet de connaître l'heure de création, ou d'identifier les fichiers qui ont été supprimés et qui se trouvent dans la liste des fichiers récupérés.
3. Exécution des faits.
Connaître la route par laquelle le crime ou l'incident a été dirigé sera utile pour identifier son objectif et ses fonctions, grâce à cette analyse il sera possible de connaître son point d'entrée et de sortie ainsi que la faiblesse du système par lequel ils ont pénétré ses structures ou toute autre possibilité de vulnérabilité.
Tous ces processus d'analyse aboutiront au même point, c'est-à-dire que pour poursuivre individuellement l'objectif proposé, il faudra tenir compte des fichiers, des mots de passe, des clés et d'autres informations.
Dans un autre aspect, les incidents peuvent être détectés par le biais d'alarmes et d'avertissements provenant de systèmes, d'antivirus ou de la vérification manuelle d'un incident. Souvent, les incidents n'ont pas été détectés rapidement et des informations précieuses sont perdues pour connaître les auteurs éventuels.
Ensuite, il faut élaborer une réponse initiale immédiate, c'est-à-dire analyser l'incident et commencer à élaborer des techniques de récupération, qui seront obtenues à partir des déclarations de l'équipe responsable, des examens du système et des entretiens.
Dans ce processus, chacune des structures des preuves volatiles sera vérifiée en analysant les connexions qui sont restées connectées pendant le fonctionnement du système.
De même, toutes les activités suspectes liées à l'infraction sont analysées, à cette fin, les navigateurs seront examinés et le point central de la violation sera trouvé par des recherches.
Dans le cas où la faiblesse est connue et comment la vulnérabilité s'est produite, il est nécessaire de continuer à analyser toutes les sphères les plus proches pour obtenir la réalité de l'incident, de sorte que les navigations et les exécutions des jours précédents seront recherchées.
L'ensemble de l'enquête médico-légale est orientée pour obtenir une hypothèse et celle-ci doit être remplie avec plusieurs analyses pour pouvoir connaître la motivation et le modus operandi de l'auteur, pour cela il est essentiel d'avoir un dispositif alternatif qui a été mentionné auparavant pour faire plusieurs tests et ensuite les appliquer.
Dès que plusieurs pièces du puzzle que l'auteur a organisé pour réaliser le crime sont découvertes, il sera possible de l'identifier ainsi que les autres participants, comme exprimé précédemment, les preuves temporaires ou volatiles et toutes les connexions initiales, les fichiers, les images, les données stockées dans des fichiers effacés, il sera possible d'obtenir des indications qui mènent à l'auteur.
Une fois que nous disposons de suffisamment d'informations, nous procédons à une enquête sur la localisation de l'auteur éventuel, dans ce cas la connexion internet ou le réseau IP précisera le lieu d'exécution, ainsi que les connexions et toutes les preuves présentes dans les mémoires temporaires et fixes, c'est-à-dire les disques de stockage et la mémoire interne de l'appareil.
Ainsi, lorsqu'une connexion IP suspecte est obtenue, il est vérifié, par le biais des coordinations de la structure Internet, à qui appartient cette adresse. Toutefois, l'analyse et l'enquête se poursuivront malgré la connaissance du nom du suspect, car plusieurs auteurs utilisent d'autres adresses pour se dissimuler et éviter d'être découverts.
Grâce à divers outils utiles pour l'analyse, l'outil NMAP permet de tracer les connexions et les éventuelles faiblesses par lesquelles l'attaque a été initiée. Il permet d'identifier le nom, le type d'application utilisée, le statut, ainsi que les mises à jour, les versions et les connexions des appareils.
Il existe plusieurs types d'auteurs dans ce type de crime, dont les plus importants sont :
- Personnes qualifiées : il s'agit de personnes qui ont des connaissances professionnelles en informatique et tout ce qui concerne les réseaux, les connexions, la programmation et qui savent utiliser les outils et les équipements nécessaires à la réalisation de ce type de délit. Il s'agit généralement d'étudiants qui s'entraînent en permanence et effectuent des tests pour tenter de ne laisser aucune trace.
- Hackers : Ce sont également des personnes ayant de grandes connaissances dans ce domaine, augmentant leur combat pour une idéologie ou une croyance, de sorte qu'ils réalisent divers événements axés sur l'amélioration et l'intégration de leurs arguments dans la société.
- ScriptKiddies ou criminels informatiques : Ce sont des jeunes qui ont des connaissances dans ce domaine et les utilisent pour perpétrer des crimes sur Internet, ils n'ont pas de connaissances similaires aux autres profils, mais cela n'est pas un obstacle car il existe des mentors ou les pages de navigation elles-mêmes qui leur permettent de connaître et de réaliser tout acte criminel.
L'analyse forensique permet d'identifier le plan d'action de l'auteur à travers les altérations et l'impact sur le système en fonction du type d'attaque. Il existe deux types d'attaques.
Tout d'abord, les attaques actives affectent gravement le service et le système ; dans le cas des attaques passives, la fonctionnalité du système et les informations ne sont pas altérées.
Toutefois, pour vérifier les dommages causés, il faut tenir compte d'autres facteurs techniques ou structurels qui ont affecté le système de façon interne.
Karol Hernández, Sec2crime