Evidence
- 증거품들은 적절한 환경에서 잘 보존되어야 할 것이다.
Write-protected storage devices
- imaging 작업을 하기 전에 write protected를 해주는 장치이다.
- native device: 같은 interface를 쓸 때 사용.(SATA to SATA)
- tailgate device: 다른 intrave를 쓸 때 사용.(USB to SATA)
- 포랜식 lab은 Faraday Tent와 같이 외부 통신 신호가 차단된 곳에서 작업을 한다.
- 또한 remote wiping같은 것을 할 수 없도록 막아둬야 한다.
- static(정전기) 같은 것을 막기 위해 special evidence bag과 같은 곳에 증거품을 보관해야 된다. 왜냐하면 정전기로 인해서 데이터가 손상을 입거나 지워질 수 있기 때문이다.
- 증거품들은 2중 3중 잠금 장치에 보관하면 좋고 항상 증거품 주위에 책임자가 있어야한다.
Evidence Tracking
- 언제 어디서 누가 어떻게 증거품들을 옮기거나 접근했거나 하는 로그들이 항상 기록되어야 한다.
- Software, Barcode, RFID등으로 관리 할 수 있다.
Evidence Storage
- 절절한 장소에 증거품을 보관하는 것은 매우 중요한 일이다.
- 위험한 환경에 있어서는 안 된다.
- 허가 받지 않은 접근은 통제되어야 한다. - 사방이 벽으로 막혀야 하고 천장도 일반 drop ceiling구조보다는 그냥 막혀 있는 것이 낫다.
- 문은 밖에서 함부러 열 수 없을 만큼 단단해야 한다.
- 주변에 감시카메라가 있어야 한다.
- 전자기장으로부터 보호되어야 한다.
U.S. Army Digital Evidence Storage
- 증거품 실에는 먼지가 없어야 하고 온도와 습도가 적절하게 조절될 수 있어야 한다.
- 주변에 건전지나 자석이나 전자기 유도체같은 것들이 있어서는 안 된다.
- 위험할 수 있는 전자 기기들도 있으면 안 된다.
- 배터리 방식의 물품들은 항상 충전이 될 수 있어야 한다.
- 열로부터 보호 되어야 한다.
- 침수나 화재로부터 견딜 수 있는 시스템이어야 한다.
화학 작용을 일으켜셔는 안 된다.
- 증거 보관 장소에 가기 위해서 access control은 필수이다.
- 대다수의 조직들이 증거품들을 파기할 최종 날짜를 설정해 둔다.
This post is licensed under CC BY 4.0 by the author.