iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 15
0
Security

CISSP 快速入門系列 第 15

[Day15]證據 5 原則

證據 5 原則(5 Rules OF Evidence Computer Forensics Weve Incident Investigate)
(Domain 7 - P652)

  1. 可接受性(Admissible):收集的證據要法院可以接受
    可被採納接受的的,這個證據和案件的事實是相關的,具證據力。

    案件現場採集到的電腦,上面有犯罪人的使用記錄,採集證據的方法要正確且法庭能夠接受
    反例:掃黃警察偽裝嫖客或未經同意看對方手機,只要方法不正確,所以法官會不接受。

  2. 真實性(Authentic)
    可靠可信賴真實存在這個案件中的證據

    案件現場採集到的電腦,上面有犯罪人的使用記錄(人事時地物),且採集證據的過程中有拍照之類的方式,確保這真的是犯罪當時環境遺留下的證據即可。
    反例:被放微波爐破壞的硬碟。

  3. 完整性(Complete)
    針對全範圍的內容做統一的規範,而非有針對性。

    反例:Firewall Log 每日產出,只針對某人,只鎖定 IP 去加強監控,這就不能被採用
    如果是收集的是全面的,因事件需針對某 IP 篩選出來的,可以被接受

  4. 真實性(Reliable)
    可靠、可信賴、精確用正確的方式抓出證據,不修改原始證物,不能被竄改。
    使用法庭能接受的工具,沒有限制哪一種,只要有足夠的專業性認可即可。

    只單向的寫出,並沒有修改原始證物,抓出Raw Data 並且 Hash驗證這個資料和案件中採集到的證據是同一個,
    可反覆驗證經得起考驗。
    反例:偷改記錄內容或Hash

  5. 證據證明性(Believable)
    具有證據證明力,為專業公認的手法

    能夠說服法官,或是陪審團,使用的手法流程是眾人能理解,並且可以接受的,不是自己發明的方法。
    可疑人員把要傳遞的訊息藏資料在圖片裡,用眾人知道的工具把藏在圖片中的資訊找出來,並解讀出來
    法庭上我可能會說這個手法是Steganography 我用了什麼工具解讀出來怎樣的內容,證明這段文字跟案件有關。


上一篇
[Day14]OSI
下一篇
[Day16]番外篇-感謝文
系列文
CISSP 快速入門32

尚未有邦友留言

立即登入留言