Przede wszystkim należy zacząć od opracowania strategii przeglądu. Niezbędne jest ustalenie celów, które musimy osiągnąć oraz sposobu w jakie je osiągniemy. Istotne są warunki zewnętrzne, które w dużej mierze wpłyną na nasze możliwości. Mam tu na myśli krótko- i długoterminowe cele przeglądu, termin, w jakim musimy przedstawić częściowe lub całościowe wyniki, wymagany sposób prezentacji wyników itp. Istotna jest również kwestia, czy sprawa jest dobrze znana i zrozumiana i naszym celem jest jedynie znalezienie konkretnych dowodów, czy musimy początkowo poruszać się trochę po omacku i zrozumieć najpierw sprawę nim będziemy wiedzieć czego tak naprawdę szukamy.

W zależności od tych uwarunkowań będziemy musieli podjąć decyzję odnośnie ewentualnego przeprowadzenia wstępnego rozeznania sprawy (Early Case Assessment – ECA) przed rozpoczęciem przeglądu na pełną skalę jak również potencjalnie ustalić priorytety, jeżeli niezbędne jest przekazanie jakichkolwiek wyników w krótkim czasie.

Następnie, w zależności od dostępnego czasu na realizację prac oraz osób do przeglądu możemy zdecydować ile osób będzie brało udział w przeglądzie oraz jaka będzie organizacja zespołu (np. podczas naszych projektów korzystamy z podziału na przeglądających 1go poziomu – którzy dokonują wstępnego przeglądu wszystkich dokumentów spełniających ustalone wcześniej kryteria oraz przeglądających 2go poziomu – którzy weryfikują wszystkie dokumenty oznaczone przez pierwszą grupę jako istotne lub bardzo istotne dla sprawy oraz wyrywkowo sprawdzają dokumenty oznaczone jako nieistotne)

Przed rozpoczęciem przeglądu musimy również zapewnić odpowiednie zrozumienie sprawy wśród naszego zespołu i w związku z tym organizujemy:

• szkolenie z zakresu obsługi systemu dla nowych osób (oraz klientów zewnętrznych, którzy będą brali udział w przeglądzie), które nie korzystały wcześniej z systemu Relativity i/lub innego systemu eDiscovery
• spotkanie wprowadzające do tematu projektu, wyjaśniające wstępne założenia i ograniczenia (między innymi pod kątem sposobu przeglądu i oznaczania jak oraz czasu dostępnego na przeprowadzenie przeglądu)

Po rozpoczęciu przeglądu powinniśmy stale monitorować przebieg przeglądu i to pod wieloma kątami. Przede wszystkim konieczne jest ustalenie, czy nowe osoby nie mają problemów z przeprowadzaniem przeglądu w ustalony sposób i czy oznaczenia są zgodne z wstępnymi uzgodnieniami. Możemy dodatkowo weryfikować efektywność przeglądu, sprawdzając czy część przeglądających nie przegląda dokumentów zdecydowanie wolniej niż pozostali (co może być uzasadnione lub nieJ). Wreszcie jesteśmy w stanie raportować do klienta status przeglądu, nasze postępy oraz jeśli jest taka potrzeba częściowe wyniki.

Możliwe jest również zidentyfikowanie nowych kwestii podczas przeglądu i w rezultacie zakres może zostać rozszerzony. Wtedy trzeba, w porozumieniu z klientem, ustalić czy jest on zainteresowany dodatkowymi pracami pod tym kątem, utworzyć nowe słowa kluczowe i zidentyfikować kolejne dokumenty do przeglądu.

Następnie przeprowadzana jest analiza, o której więcej w naszych kolejnych postach.

Oferowanym przez nas środowiskiem do przeglądu jest Relativity. Jest to jedna z najbardziej zaawansowanych platform służących do przeglądu dokumentów, dostępnych na rynku. Stwierdzenie to poparte jest badaniami przeprowadzonymi przez niezależną, międzynarodową firmę Gartner przeprowadzającą liczne badania w różnych obszarach IT. Według ich ostatniego raportu poświęconego eDiscovery – eDiscovery Magic Quadrant, Relativity uznawana jest obecnie za lidera w tym obszarze – zarówno w kontekście wizji i rozwoju nowych funkcjonalności, jak i reakcji na potrzeby klienta , zdolności ich realizacji oraz efektywności działania systemu. Z naszej strony możemy również dodać do tego rewelacyjne wsparcie techniczne – żadna z firm nie reaguje na zgłaszane przez nas problemy i nie proponuje rozwiązań w równie szybki i skuteczny sposób.

eDiscovery Magic Quadrant

W ramach wsparcia przeglądu dokumentów, w kontekście modelu EDRM, Relativity oferuje liczne funkcjonalności usprawniające proces:

1. Indeksowanie dokumentów – korzystając z silnika dtSearch, wszystkie (lub wybrane) dokumenty zostają zaindeksowane, co znacząco przyśpiesza dalsze wyszukiwanie dokumentów z wykorzystaniem słów kluczowych. Możemy dodatkowo tak zdefiniować indeks, aby ze słownika wykluczone zostały najbardziej popularne słowa w danym języku (językach) oraz ewentualnie skróty, typowe dla danego klienta – w ten sposób możemy później uniknąć identyfikacji wielu dokumentów, które w rzeczywistości nie zawierają słów kluczowych, które szukamy.
2. Wybieranie dokumentów do przeglądu:
   • Słowa kluczowe – w większości przypadków, podstawą do ograniczenia zbioru dokumentów, które muszą zostać poddane przeglądowi jest wspomniany wyżej indeks oraz użyte na nim słowa kluczowe. Słowa kluczowe są tworzone w oparciu o znajomość sprawy (informacje uzyskane podczas inicjacji projektu, wstępnych rozmów przeprowadzonych w początkowej fazie projektu lub wstępnego przeglądu dokumentów), którą się w danej chwili zajmujemy oraz nasze bardzo bogate doświadczenie z projektów dochodzeniowych (i nie tylko) przeprowadzanych w wielu branżach, na rynku zarówno lokalnym jak i międzynarodowym. Bez doświadczenia oraz znajomości sprawy, nasze słowa kluczowe są zwykle zbyt ogólne, co będzie prowadzić do nieefektywnego przeglądu dużej ilości dokumentów.  Tematem słów kluczowych zajmę się jeszcze bardziej szczegółowo w jednej z kolejnych notek.
   • Ograniczenia czasowe – bardzo często do przeglądu wybierane są jedynie dokumenty ze wskazanego okresu, który jest szczególnie istotny dla prowadzonej sprawy.
   • Inne ograniczenia – możemy również ograniczyć przegląd do np.:
     • Korespondencji jedynie z określoną osobą lub firmą (parsowanie domen, z których pochodzą wiadomości)
     • Plików określonego typu (np. dokumenty MS Office, PDFy, emaile)
   • Relativity umożliwia w przystępny sposób na odcięcie jak największej ilości dokumentów, tak żeby przegląd został przeprowadzony na jak najmniejszym zbiorze.
3. Utworzenie „batchy” (zestawów dokumentów) – po ustaleniu zbioru dokumentów do przejrzenia, w systemie Relativity tworzymy tzw. batche (zwykle są to zestawy 200 dokumentów, w podziale np. na poszczególnych właścicieli dokumentów lub źródła danych, z których one pochodzą). Następnie każdy batch przypisany zostaje do jednej osoby przeglądające, tak aby uniknąć wielokrotnego przeglądania tych samych dokumentów przez różne osoby. Pozwala to na przeprowadzenie przeglądu w efektywny sposób, jak również na lepszą kontrolę postępu prac oraz poszczególnych osób biorących udział w projekcie.
4. Konfiguracja środowiska – każdy projekt jest na swój sposób unikalny i wymaga specyficznej konfiguracji. Dotyczy ona między innymi następujących aspektów:
   • Ograniczenie dostępu – nadanie odpowiednich praw dostępu do dokumentów / zaawansowanych funkcjonalności w zależności od roli pełnionej na projekcie. Osiągnięte to zostaje przy wykorzystaniu grup, którym po dodaniu do odpowiedniego projektu nadajemy odpowiednie uprawnienia.
   • Widoki – podstawowe widoki na projekcie to „Wszystkie Dokumenty” oraz „Dokumenty Przypisane do Mnie”. Możliwe jest utworzenie wielu dodatkowych widoków, które pozwolą na filtrowanie dokumentów według interesujących nas kryteriów – np. dokumenty z 2008 roku, należące do Pana X, uznane przez przeglądających za Istotne dla sprawy.
   • Panel kodowania dokumentów – każdy dokument, który trafia do przeglądu musi zostać odpowiednio oznaczony przez przeglądającego. Służy do tego panel kodujący. W zależności od złożoności projektu, może on być bardzo prosty (jedynie oznaczenie Istotności: Bardzo Istotny, Istotny lub Nieistotny), lub bardziej skomplikowany (poza Istotnością, również inne oznaczenia, np.: Sektor: Telecom, Bankowość, Energetyka, Kwestia: ZmowaCenowa, SpotkaniaZPrzedstawicielamiPaństwa, Sponsoring itp.)
   • Dodatkowe funkcjonalności – wyszukiwanie ad-hoc, zaawansowane wyszukiwanie, zbiorcza edycja dokumentów itp.

Wiedząc, czego szukamy (rodzaj informacji, typ danych, rodzaj plików itp.), podczas wcześniejszego etapu dokonujemy wstępnego wyboru źródeł danych, które potencjalnie będą zawierały poszukiwane przez nas dane i informacje. Podczas bieżącego etapu wykonujemy wcześniej zaplanowane czynności zwracając szczególną uwagę na:

1. Zachowanie poufności podczas ewentualnych rozmów z osobami przekazującymi nam dane
2. Komunikację związaną z naszymi pracami wyłącznie z upoważnionymi osobami wskazanymi przez zleceniodawcę
3. Szczegółową dokumentację całego procesu, a w szczególności:
   • Zachowanie łańcucha dowodowego, który musi być podpisany przez osoby przekazujące nam oraz odbierające od nas dane/źródła danych.
   • Opis przekazanych urządzeń/nośników oraz wykonanych przez nas kopii.
   • Informację odnośnie wykorzystanych narzędzi i oprogramowania.
   • Dokumentację potwierdzającą poprawne przeprowadzenie weryfikacji zabezpieczonych danych

Przed rozpoczęciem zabezpieczenia danych, niezbędne jest często wyjaśnienie z klientem aspektów prawnych i ustalenie naszego podejścia w przypadku osób, które nie będą chciały dobrowolnie przekazać wszystkich nośników. W większości naszych projektów współpracujemy z firmami prawniczymi, które w oparciu o prawo polskie, prawo i dyrektywy unijne (w przypadku projektów międzynarodowych) oraz umowy zawarte pomiędzy pracownikiem a Spółką, stwierdzają czy dany nośnik/urządzenie może zostać przez nas zabezpieczony i na jakich zasadach. Zwykle komputery firmowe uznawane są za wyłączną własność firmy i ponieważ powinny być wykorzystywane jedynie w celach służbowych, wszelkie pretensje zostają oddalone.

Jeżeli, w związku ze specyfiką projektu istnieje ryzyko kasowania danych przez użytkowników przed przekazaniem nam danych, staramy się pozyskać wszystkie źródła danych, do których pracownicy mają dostęp, w jak najkrótszym czasie – najlepiej podczas jednego „spotkania”. To dotyczy w szczególności komputerów i pamięci przenośnych wykorzystywanych na co dzień, ale również udziałów sieciowych oraz kont pocztowych. Jeżeli nie jest możliwe wykonanie kopii danych serwerowych w tym samym czasie, co komputerów służbowych, dążymy do tymczasowego zablokowania dostępu pracownika do wskazanych udziałów.  Jest to szczególnie istotne, jeżeli nie funkcjonuje u klienta dobrze rozwinięty system tworzenia i przechowywania kopii zapasowych danych serwerowych (np. dzienne, tygodniowe albo miesięczne backupy).

Zabezpieczając dane znajdujące się na komputerach użytkowników, wykonujemy kopię całego dysku (obraz fizyczny), dlatego zawsze mamy możliwość przeprowadzenia szczegółowych analiz aktywności użytkownika (wliczając w to ewentualne próby kasowania danych) i, jeśli zaistnieje taka potrzeba, spróbować odzyskać usunięte dane. W przypadku danych serwerowych, ponieważ bardzo często osoby objęte naszymi pracami są jedynie częścią firmy, nie mamy możliwości wykonania kopii fizycznej całych dysków serwerowych, lecz jedynie kopii logicznej jasno określonych danych, należących do podejrzanych osób. Taka kopia nie pozwoli nam niestety na przeprowadzenie analiz aktywności w systemie oraz potencjalnych prób kasowania danych.

A zatem – czym jest Prefetch?
To mechanizm systemów Windows, który pozwala na zapamiętanie pewnych informacji o danej aplikacji i w efekcie szybszym jej uruchamianiu.  Zwykli użytkownicy o tym fakcie nie wiedzą, więc też nie manipulują plikami Prefetch. Dzięki temu otrzymujemy dużo danych co do tego jakich aplikacji używano na danym komputerze.

Gdzie znajdują się pliki .pf?
Foldery C:\Windows\Prefetch lub C:\WINNT\Prefetch

Format nagłówka pliku Prefetch
a) dla WindowsXP
0×64 – Offset to Block containing Filepaths (DWORD)
0×68 – Length of Block containing Filepaths (DWORD)
0x6C – Offset to Volume Information Block (DWORD)
0×78 – Program Last Execution Time (FILETIME)
0×90 – Number of Executions (DWORD)
b) dla Vista/Win7
0×64 – Offset to Block containing Filepaths (DWORD)
0×68 – Length of Block containing Filepaths (DWORD)
0x6C – Offset to Volume Information Blocks (DWORD)
0×80 – Program Last Execution Time (FILETIME)
0×98 – Number of Executions (DWORD)

Liczba plików Prefetch, które mogą się znaleźć w folderze – od 0 do 128.

Dane, które można otrzymać po sparsowaniu plików .pf

• Nazwę pliku docelowego (na ogół .exe)
• Datę ostatniego zapisu do pliku
• Liczbę uruchomień
• Listę plików powiązanych z plikiem docelowym (na ogół biblioteki .dll, pliki .sys) – źródło dodatkowej informacji.

Narzędzia do czytania plików Prefetch

• Windows File Analyzer – http://www.mitec.cz/wfa.html
• EnScript
• skrypty pisane w PERLu
• pakiet ProDiscover

Model EDRM - źródło

Odpowiednie zaprojektowanie infrastruktury w firmie w kontekście umożliwienia stałego monitorowania danych pod kątem prac eDiscovery oraz identyfikacji, na bieżąco, istotnych dokumentów i przypadków, które mogą narazić firmę na duże straty, to jedna z naszych usług, dlatego nie będziemy zdradzać szczegółów naszego know-how Skupimy się jednak na tym, co możemy zastać podczas naszych projektów.

Naszym punktem wyjścia w każdym projekcie powinno być stwierdzenie, czego szukamy i w jakiego typu dokumentach potencjalnie możemy te informacje znaleźć. Możemy szukać przykładowo dyskusji mailowej lub SMSów wysłanych między pracownikami, dokumentu Excel, który zawiera np. listę interesujących nas osób/kontrahentów, zdjęć z istotnego spotkania itp. W projektach eDiscovery nasze zainteresowanie skupia się głównie na typach przedstawionych na poniższym rysunku.

Typy danych wybierane podczas projektów eDiscovery - źródło

W zależności od typów, będą nas interesowały różne źródła danych. Musimy dlatego zrozumieć infrastrukturę klienta i zidentyfikować te miejsca, gdzie określone dane mogą być lub były przechowywane. Na poniższym rysunku pokazany jest uproszczony schemat infrastruktury informatycznej spotykany w organizacjach.

Uproszczone schemat infrastruktury - źródło własne

Poza wskazanymi na rysunku źródłami danych trzeba jeszcze wziąć pod uwagę potencjalne specyficzne ustawienia środowiska lub nietypowe sytuacje jak np.:

• Różne mechanizmy archiwizacji i wykonywania kopii zapasowych np. w przypadku serwera pocztowego, poszczególne skrzynki pracowników mogą być archiwizowane, jak również może być wykonywana kopia zapasowa całego systemu, z której również można odzyskać każdą skrzynkę (np. z plików EDB znajdujących się na serwerze MS Exchange)
• Kopie systemu pocztowego sprzed migracji np. MS Exchange do Lotus Notes
• Kopie danych zapisane przez pracownika działu IT lub konkretnego użytkownika na płytach CD/DVD, które powinny zostać zniszczone bezpośrednio po migracji, ale które „przypadkiem znalazły się ostatnio w szafie, na dnie jakiegoś pudła”
• Wirtualizacja środowiska wykorzystywanego przez pracownika, która prowadzi do tego, że wszystkie dane użytkownika przechowywane są wyłącznie na serwerze, natomiast komputer użytkownika służy jedynie jako terminal dostępowy
• Odtwarzacze MP3, palmtopy, tablety, aparaty fotograficzne, przenośne konsole do gier itp.
• Wiele innych

Oczywiście specyfika naszej pracy powoduje, że nie zawsze możemy na spokojnie omówić wszystkie sprawy z pracownikiem działu IT w firmie, jednak kiedy to tylko możliwe, powinniśmy skorzystać z tej możliwości. Pozwoli to nam uzyskać informacje odnośnie np. wszelkich dodatkowych urządzeniach, które posiadają interesujący nas pracownicy, sposobu przechowywania danych w firmie, wykorzystywanych systemów, ich konfiguracji/ustawień, uprawnień użytkowników w zakresie zmiany ustawień aplikacji oraz dostępu do danych itd.

• Jump – czyli inaczej ‘thumb drives’, ‘usb stick’, ‘pendrive’ a w Polsce po prostu ‘pamięć USB’ czyli urządzenia oparte o pamięć typu flash,
• Enclosure – czyli dyski zewnętrzne (typu IDE lub SATA) w obudowach pozwalających na ich podłączenie przez USB (także write-blockery, czy tak zwane ‘usb cradle’, czyli urządzenia pozwalające na podłączenie dysku IDE lub SATA).

Dla trzech pierwszych elementów układanki, tj:

1. ID dostawcy i ID produktu dla każdego urządzenia USB wpiętego do komputera – na podstawie danych z firmware zapisanych w urządzeniu
2. Numeru seryjnego urządzenia
3. Nazwy dostawcy i urządzenia

nie ma znaczących zmian pomiędzy systemami XP, Vista i 7, w związku z czym aktualne pozostają informacje z jednego z poprzednich wpisów.

Dla pozostałych informacji, jest to odrobinę bardziej skomplikowane (w dzisiejszym odcinku – czasy podłączeń). Do rzeczy:

4. Data i czas pierwszego podłączenia urządzenia do systemu (tylko w Windows Vista)

   LastWriteTime kluczy

   HKLM\SYSTEM\{CurrentControlSet}\Enum\USBSTOR\

   Disk&Ven_{nazwa dostawcy}&Prod_{nazwa produktu}&Rev_{numer rewizji sprzętu}\

   Device Parameters\Partmgr

   lub

   HKLM\SYSTEM\{CurrentControlSet}\Enum\USBSTOR\

   Disk&Ven_{nazwa dostawcy}&Prod_{nazwa produktu}&Rev_{numer rewizji sprzętu}\

   Device Parameters\MediaChangeNotification

   Uwagi:

   1. W podkluczach klucza

      HKLM\SYSTEM\{CurrentControlSet}\Enum\USB

      zawarta jest informacja o czasie pierwszego podłączenia urządzenia po ostatnim restarcie systemu

   2. MediaChangeNotification

      nie występuje dla urządzeń typu enclosure

4. Data i czas pierwszego podłączenia urządzenia do systemu (tylko w Windows 7 – tylko dla urządzeń typu Jump)

   LastWriteTime kluczy

   HKLM\SYSTEM\{CurrentControlSet}\Enum\USBSTOR\

   Disk&Ven_{nazwa dostawcy}&Prod_{nazwa produktu}&Rev_{numer rewizji sprzętu}\

   Device Parameters (LogConf, Properties)

   lub

   HKLM\SYSTEM\{CurrentControlSet}\Enum\USBSTOR\

   Disk&Ven_{nazwa dostawcy}&Prod_{nazwa produktu}&Rev_{numer rewizji sprzętu}\

   Device Parameters (LogConf, Properties)

4. Data i czas pierwszego podłączenia urządzenia do systemu (tylko w Windows 7 – tylko dla urządzeń typu enclosure)

   LastWriteTime klucza

   HKLM\SYSTEM\{CurrentControlSet}\Enum\USBSTOR\

   Disk&Ven_{nazwa dostawcy}&Prod_{nazwa produktu}&Rev_{numer rewizji sprzętu}\

   Device Parameters\PartMgr

   Uwagi:

   1. MediaChangeNotification

      nie jest używany

   2. Większość pozostałych kluczy związanych z urządzeniem w USB i USBSTOR zawiera informację o czasie pierwszego podłączenia urządzenia po restarcie systemu

5. Data i czas ostatniego podłączenia urządzenia do systemu (tylko w Windows Vista i 7 – urządzenia typu Jump)

   LastWriteTime klucza

   HKEY_CURRENT_USER\Software\Microsoft\Windows\

   CurrentVersion\Explorer\MountPoints2\{GUID}

   gdzie GUID bierzemy z

   HKLM\System\MountedDevices

   na podstawie identyfikatora urządzenia z

   HKLM\System\{CurrentControlSet}\Enum\USBSTOR

   Uwagi:

   1. Mimo zmiany z ParentIdPrefix na identyfikator urządzenia metoda ta działa tylko dla urządzeń typu Jump, w związku z czym jesteśmy w stanie ustalić w powyższy sposób czas ostatniego połączenia.

5. Data i czas ostatniego podłączenia urządzenia do systemu (enclosures)

   LastWriteTime klucza

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{GUID}

   gdzie GUID bierzemy z

   HKLM\System\MountedDevices

   na podstawie 12-bajtowej sygnatury dysku

   Uwagi:

   1. Dla enclosures nie ma możliwości bezpośredniego połączenia zawartości kluczy USB i USBSTOR z MountedDevices i MountPoints2
   2. Ustalenie 12-bajtowej sygnatury dysku możliwe jest jedynie w przypadku posiadania fizycznego dostępu do tego dysku
   3. W przypadku Windows 7 LastWriteTime to data ostatniego odłączenia urządzenia USB od systemu (o ile urządzenie zostało odłączone)

5. Data i czas ostatniego podłączenia urządzenia do systemu (Windows 7)

   LastWriteTime klucza

   HKLM\SYSTEM\{CurrentControlSet}\Enum\USB\

   Vid_{ID dostawcy}&Pid_{ID produktu}\{identyfikator urządzania}

eDiscovery odnosi się do jakiegokolwiek procesu, w którym dane są identyfikowane, lokalizowane, zabezpieczone, przetworzone, a następnie przeglądane z celem wykorzystania ich (znalezionych dokumentów) jako dowodu w postępowaniach wewnętrznych lub sądowych sprawach karnych lub cywilnych (źródło). W celu zapewnienia najwyższej jakości podczas prac związanych z projektami eDiscovery korzystamy z międzynarodowego standardu Electronic Discovery Reference Model (EDRM), który systematyzuje podejście i wskazuje czynności niezbędne do wykonania podczas poszczególnych etapów procesu.

Model EDRM

Powyższy schemat doskonale obrazuje poszczególne fazy procesu wraz ze zmniejszeniem ilości danych (spadek warości VOLUME) oraz jednoczesnym wzrostem ich istotności w miarę realizowania kolejnych etapów (wzrost wartości RELEVANCE). Poniżej krótka charakterystyka etapów:

1. Zarządzanie informacją (Information Management) – ten etap w przypadku naszych projektów dotyczy zrozumienia całej infrastruktury oraz wymiany/obiegu informacji elektronicznej (Electronically Stored Information – ESI) u klienta. W ogólnym rozumieniu, odnosi się on również do odpowiedniego zaprojektowania infrastruktury w Spółce w taki sposób, aby późniejsze pozyskanie niezbędnych danych w formie elektronicznej było jak najprostsze i ułatwiało zapewnienie kompletność.
2. Identyfikacja (Identification) – w zależności od informacji, których szukamy na tym etapie identyfikujemy i wybieramy wszystkie źródła danych, na których może coś znaleźć.
3. Pozyskanie i Zabezpieczenie (Collection and Preservation) – uzgadniamy procedurę przekazania i pozyskania nośników danych do zabezpieczenia i zabezpieczamy dane, zgodnie z wymogami śledczymi, prowadząc szczegółowy łańcuch dowodowy.
4. Przetworzenie (Processing) – w naszej metodologii ten etap jest bardzo złożony. Składa się na niego przygotowanie danych, ekstrakcja, przetworzenie, import danych do środowiska do przeglądu i szczegółowe monitorowanie jakości.
5. Przegląd (Review) – ten etap zaczynamy od odpowiedniego przygotowania środowiska do przeglądu. Definiujemy grupy użytkowników i przydzielamy im odpowiednie uprawnienia, przygotowujemy niezbędne widoki oraz panele, wykorzystywane podczas przeglądu do oznaczania dokumentów. Następnie dane przygotowane we wcześniejszym etapie zostają zaimportowane do środowiska. Przed rozpoczęciem właściwego przeglądu ustalamy/uzgadniamy słowa kluczowe i kryteria przeglądu/oznaczania dokumentów.
6. Analiza (Analysis) – przeglądu dokonujemy (w naszym przypadku) w Relativity (jedno z najbardziej zaawansowanych środowisk do przeglądu eDiscovery). Mamy w nim możliwość szczegółowego monitorowania postępów przeglądu, weryfikacji jego poprawności oraz przeprowadzania dodatkowych analiz, mających na celu usprawnienie/wsparcie przeglądu oraz identyfikację i przygotowanie kolejnych tematów do przeglądu.
7. Przygotowania dokumentów/Produkcja (Production) – gdy przegląd zostaje zakończony i wszystkie znalezione dokumenty są już zweryfikowane, niezbędne jest ich odpowiednie przygotowanie, tak aby (w zależności od konkretnych potrzeb danego projektu) mogły one być wykorzystane w dalszych działaniach.
8. Prezentacja wyników (Presentation) – w zależności od ilości dokumentów wybranych do przygotowania/prezentacji oraz od celów całego projektu eDiscovery, wyprodukowane dokumenty zostają przygotowane w formie najbardziej odpowiedniej do efektywnego zaprezentowania i wykorzystania. Dodatkowo przygotowujemy często analizy całego procesu, a w szczególności statystyki z przeglądu, które również mogą zostać wykorzystane podczas dalszych kroków (już poza procesem eDiscovery). Musimy również być w stanie (jeżeli sytuacja tego wymaga) dowieść niepodważalności przygotowanego przez nas materiału poprzez pokazanie przejścia danych od momentu pozyskania danych do prezentacji oraz potwierdzić, że dane te są w oryginalnej formie, a ich modyfikacja na jakimkolwiek etapie nie miała miejsca/nie była możliwa.

Szczegóły odnośnie poszczególnych etapów procesu będą sukcesywnie prezentowane na łamach naszego blogu w najbliższych tygodniach.

Zainteresowanych zapraszamy do dyskusji oraz ewentualnych pytań – zarówno na forum jak i na adres mailowy – mateusz.hajnysz@pl.ey.com.

Dla osób nowych w temacie. Volatility to środowisko, które pozwala na analizę obrazów pamięci komputerowej. Całość jest stworzona w języku Python i ma charakter open-source. Volatility jest oparta o pluginy, które potrafią wydobyć i przeanalizować wybrane struktury danych znajdujące sie w pamięci komputerowej, np. wylistować procesy czy wątki, ale też znaleźć moduły związane z procesami czy ‘zrzucić’ dany fragment pamięci na dysk w celu umożliwienia analizy innymi narzędziami. Każdy, przy odpowiedniej wiedzy może stworzyć w tej platformie własne pluginy.

A zatem, co nowego w Volatility 2.0?

• przede wszystkim więcej zaawansowanych pluginów przydatnych przy analizie złośliwego oprogramowania
• zmiany w kierunku łatwiejszego korzystania z platformy, m.in. wersja stand-alone działają w cmd w Windowsie
• możliwość analizy obrazów pamięci z Windows Vista, 7, Server 2003 i 2008
• wiele zmian i udogodnień deweloperskich

Jeśli chodzi o darmowe narzędzia, Volatility nie ma właściwie rywali. Natomiast sami twórcy twierdzą, ze bez problemu jest w stanie rywalizować z komercyjnym oprogramowaniem (np. HBGary) czy wręcz że komercyjna konkurencja kopiuje ich rozwiązania.

Volatility można ściągnąć z tego miejsca:  http://code.google.com/p/volatility/downloads/list

A oficjalny blog prowadzony przez twórców jest tutaj: http://volatility.tumblr.com/

Projekty eDiscovery zaczynają się od zabezpieczenia dużej ilości danych i często w wyniku przeglądu dokumentów, lub podczas szybkiej wstępnej analizy wybranych obrazów, wielokrotnie zidentyfikowaliśmy cele dalszych prac z zakresu CF, głównie w kontekście analizy potencjalnych prób celowego kasowania danych przez użytkownika, tuż przed przekazaniem nam swojego komputera do zabezpieczenia.

Z kolei FDA wykorzystywane jest przez nas jako wsparcie podczas prac CF. Wszelkie analizy list wszystkich plików znajdujących się na danym obrazie, jak również wyników parsowania plików skrótów oraz innych artefaktów systemów operacyjnych przeprowadzamy w bazie danych. Wykorzystujemy wtedy zestaw skryptów, wypracowany na podstawie wielu zrealizowanych przez nas projektów. Dodatkowo, podczas naszych analiz korzystamy również z zaawansowanego narzędzia do wizualzacji danych, które pozwala nam w bardziej efektywny sposób wyciągnąć wnioski oraz prezentować ostateczne wyniki klientowi w przystępny sposób.

W związku z powyższym postanowiliśmy wzbogacić tematykę naszego blogu o te dwa wskazane powyżej obszary. W najbliższych tygodniach będą pojawiały się pierwsze posty dotyczące nowych kategorii – zapraszamy do lektury i poszerzania swojej wiedzy.