以下這一篇文章是轉貼自 CNET.COM網站
# ~* J2 Y% }$ @' c! O該文章內容充分敘訴有關國際間對數位犯罪的偵防蒐證法則,值得給大家參考
j) \. `2 [8 Y, k, X7 Z5 y ~尤其現階段網路犯罪偵防已成為不可忽視的一門顯學
4 o) O2 }) W* x3 a% W$ S7 j# D0 n5 y$ e8 i8 }
------------------------------------------< 分隔線 >--------------------------------------------------------------! [$ E) b' l( ]6 v5 d2 C
IT鑑識:數位犯罪現場調查 # }+ Y# z7 \9 g: ~* W
Cath Everett•陳智文譯 2006/05/125 m+ v4 `6 ~) `# r# ?
( k, E* ]. @7 p' e
數位鑑識已問世至少十年,但在商業領域,這仍是一種相對陌生和未被利用的項目。
`7 s' A$ ^( k; K0 G, I- x- |9 q2 p) x8 o- M* H% R& L( w$ }
數位鑑識的概念,源自執法部門發現傳統以實體證據(如指紋、彈道等)為主的鑑識方法,已不足以對抗日益數位化的犯罪行為。因此,警方開始發展各種方法取得電腦存放的資訊,並設法將這類資訊轉為呈堂證據。
5 d5 U& W1 Y% Z5 m8 a. F5 d8 o
% T1 l( Z' [5 Z# [% c1 X; J; O然而到1990年代末,大型商業組織開始瞭解,他們的電腦也存有許多與電子犯罪和其他潛在職場事件相關的重要資訊。這個趨勢,加上資料保護法(Data Protection Act)的實施,和歐洲人權會議(European Convention on Human Rights)要求雇主以公平和正義原則處理雇員相關事務,都讓數位鑑識的概念日益受到重視。
4 W j- h6 Q( W7 D/ u' K
8 g1 s0 S5 L8 g, `9 a- E! q4 h8 d風險諮詢公司QCC Information Security的鑑識運算專家John Douglas表示,最重大的變化發生在2004年,國際聯合打擊網路兒童色情的計畫Operation Ore,一舉逮捕超過600名英國性犯罪者。
5 p! ?1 M; x+ ^# V* T
/ z4 l& J+ m$ N還未達主流階段
" h. C! K4 m6 a" R) J K' x e5 u$ H: H
Douglas解釋:「雖然數位鑑識已經問世十多年,在Operation Ore之前,一直欠缺組織性的發展。但那次行動過後,警方取得了動力,在每一個轄區設立高科技犯罪小組,大幅改進了刑事鑑識,因為民眾知道那是可行的。」
& {, k7 c( p9 H9 B! ~9 J9 E5 {
' U5 `$ a8 o9 z5 c# A然而,執法單位之外的市場依然有限。雖然公眾對數位鑑識的體認開始滲透到董事會階層,要達到主流程度的應用仍有待時日,而英國地區採行數位鑑識的單位,包括警方,也不超過300個。# x& D0 g, Y i
; d9 x! z& P! U6 v" N4 G: }
最直接的原因是,數位鑑識不像災難復原和資料備份涉及所有的商業領域,其牽涉的利益範圍相對較窄,且只有在某些特定的情況下才能使用。這代表大多數的技術員工對數位鑑識的認知,均超過他們的資深管理階層。此外,許多組織不願走上數位鑑識的途徑,是因為害怕一旦發生糾紛將損及名聲。4 i- B0 O* l* `0 w8 |! _. |
1 y( Z I3 D4 X' |6 R+ G! M
Douglas說:「我們都聽過投資銀行掩蓋醜聞、付錢請人調查然後堵住漏洞的故事,這都是因為他們不想讓事件曝光。他們不讓警方涉入,因為這樣會變成大新聞,而且(警方)一旦涉入,司法程序可能拖上好多年。」4 @1 W3 o4 u4 d. x
1 K4 _: k9 ?# S6 O( `. R
然而,許多雇員上萬的大型跨國組織,特別是投資銀行和會計業,都傾向自行設立數位鑑識團隊。儘管他們的興趣可能不是追查個別員工的小額詐欺或偷竊資訊,這類團隊的確會追蹤和抓出涉及商業間諜、重大及組織型犯罪、大額詐欺、破壞和濫用電郵或網路存取的歹徒。Douglas說:「儘管這麼做十分昂貴,與醜聞一旦登上頭條的名譽損失,或企業因為某件事被法院判賠鉅額罰款或賠償金相比,仍是九牛一毛。」# g3 A4 u9 [, e9 l& V6 M3 i
+ c- k! a& B Y6 A' h3 ^( r
再者,自從美國和歐洲分別施行Sarbannes-Oxley和Basel II法案後,以數位鑑識作為風險管理的公司愈來愈多。例如許多大型投資銀行會在交易員離職時,先複製其硬碟內容,再交接給新的員工。若有任何不法行為,這份拷貝便可在日後的法律行動中作為證據。( R2 G2 c2 s' L3 m
, L. X- W2 {/ V3 V' \7 O3 b但小公司的情況大不相同,他們難以負擔維繫鑑識團隊和持續訓練的成本。小公司,若有心進行數位鑑識,通常傾向聘請顧問公司執行 – 大公司在進行內部調查時,為表現公平,也可能採取這種作法。但這種途徑有多重的問題,一方面,這類服務所費不貲,單日費率從1,000英鎊起跳,不同的機構價碼各異,最多可能高達四倍。另一方面,調查時間可從檢視單一員工電郵的兩小時,到試圖建立惡意對外連線的數個月。; }# ]* V) m/ \% a+ n$ ?
. `+ h+ s8 Q8 |) ^& H8 Q
自以為是的非專業人士( {; V6 h; i( ~* b5 W1 a- J
$ K1 s9 w0 M3 M2 }2 j因此,英國貿工部現在特別建議民間的中小企業,考慮共創一個2萬至4萬英鎊規模的應急基金,幫助他們更冷靜地解決此類資訊安全問題。
' x, D0 \ }( q% |; t* G8 b) d! s3 _2 D
但另一方面,民間公司,特別是過去從未涉入任何調查的業者,通常很難找到風評佳、合格且經驗充足的顧問。更糟的是,這個市場目前完全不受管制,任何人只要擁有一台電腦和少數鑑識工具便可自稱分析師,不必擔心受罰。資訊顧問公司Risk Management總經理Charles White表示:「這個領域有很多牛仔(自以為是的非專業人士),當中許多人以自己的車庫為據點,自以為只要把硬碟插入金屬檔案櫃裡然後鎖門就能完成工作。問題是大家以為這是簡單的事,但在眾多好手中,可能只有兩、三個是厲害角色。」& v' Z* V ^: U# _: Z R
( E$ ?9 f: }. y+ SWhite認為,IT鑑識明顯有成立某種協會或專業組織的必要性。類似律師的法律公會等團體,可監督這項專業的發展,並取得當局授權,對不適任和破壞專業名聲的行為進行處罰。克蘭菲爾大學(Cranfield University)資訊安全系主任Brian Collins表示,雖然鑑識人員註冊會議(CRFP)於2005年11月在英國電腦公會的支援下,設立了數位鑑識專家的註冊機制,鑑定的辦法目前仍在研究中。
6 }3 j$ n" q# t7 Q- o Z) ?3 R, ], }# | x5 i2 m; _
身為這項提案的負責人,Collins正試圖召集最負聲望的鑑識專家,一同規劃這類評鑑的大綱,目標是在未來6至9個月內,完成這項附帶處罰程序的方案。在此同時,有意聘請專家的機關組織,最好參考CRFP少數的註冊會員、向法律公會索取他們的專家作證紀錄、探詢其他人的口碑建議,或最不得已的方法 – 上網搜尋。) J3 \) [ r r6 d' W. [/ y
6 c3 M" F: ?0 J/ v x5 Y
找到鑑識專家後,下一步是確定他們能否勝任眼前的任務。如Douglas所言:「不是任何一位擁有幾年電腦經驗的老練工程師,都能成為好的鑑識分析師。」除了對電腦的深入與高度瞭解是必要條件,鑑識分析師還需具備調查能力、善於撰寫報告,並有足夠的表達能力和權威,以專家證人的身份出庭作證。也就是說,即使是名校新進畢業的理學士,也不太可能擁有必要的經驗,尤其是面對法庭交叉詰問的狀況。因此,這些人實際上場時,最好都有更老練的調查員指導。
) l' g4 f8 D' n8 w' K0 X& x8 S3 A2 \7 f; w) k
電腦證據非常脆弱
S2 y3 i, |/ k
9 l& E5 p5 z. g1 f; k7 R8 I) P! \% \Douglas說:「檢查員必須有豐富的經驗,這就是為什麼大多數優秀的人員都是30和40多歲。這並非嚴苛和武斷的偏見,但就我個人的經驗,調查員通常都比較年長,因為年輕人沒有廣泛的人生經驗和深入的IT學識。」另一項注意的要點,是熟知被全球數位鑑識調查用作準標準,並提供四項證據收集暨使用準則的英國警察協會(ACPO)辦案指南。9 E( F7 y, U3 ?& L3 l/ t: k \
- X( ~9 \$ H; `* ~0 b
但在聘請鑑識專家前,組織本身還要注意若干考量。首先,也是最重要的認知是,電腦證據非常脆弱,很容易因處理不當被損壞。舉例來說,只是打開一台Windows XP PC,就有將近600個可能是證據的檔案被變更,這些東西在法庭上都會喪失證據效力。 X+ I: N5 B _' [! w; Q j8 E
0 n8 X( n' n. Q; w- w5 V一旦懷疑有問題,保存可能的犯罪現場和防止電腦被進一步使用就成為第一要務。若某人不熟練地胡亂操作,試圖自行尋找非法活動的證據,此案將從此無法追訴,因為證據鏈已然被毀。因此,調查員的正常程序,是立刻將該台主機標示清楚,並移往另一個隔離的房間,以避免在法庭上被控污染證據。接下來,利用特殊的工具複製整個硬碟,並根據顧客設定的參數進行分析。在這個階段需同時建立一檢查日誌以紀錄工作過程,並撰寫一份報告,在調查結束後呈交客戶。客戶根據調查結果決定是否採取法律行動,但調查員的基本原則是先假設案件會成立,並從一開始就遵循法庭的嚴格標準行事。
. m0 a! x2 Z V7 y. W
( ?2 S8 ?+ L6 a: }在商業領域,許多這類調查的內容只是搜查電郵和文件,或尋找檔案被下載或複製的證據,但也可能包括搜尋被刪除的物件,以抓出歹徒試圖湮滅的線索。數位鑑識顧問公司ibas的國際營運部經理Simon Janes指出:「大部分證據的實際價值不是你在螢幕上看到的,而是存在系統檔和未劃定的區域,所以你必須知道自己在作什麼。」進行這類調查的另一個問題,是可能造成營運中斷,尤其當涉案的電腦不只一台,因此組織必須衡量確實有必要為此作出相當程度的犧牲。3 c5 [: [( a( y1 r7 R2 F! T
. J% v# q1 G g& Q0 ~- z
至於未來的發展,未來3到5年,隨著風險控管對企業的重要性日增,各種規模的公司都將發現意外事件管理不再足以應付多變的環境,數位鑑識勢將更加普遍。最根本的原因是行動電話、PDA和全球定位系統等數位科技前所未見地融入民眾的日常生活中,因此能夠分析資料並確實重建事件發生狀況的專家,只會愈來愈受歡迎。
x! R8 i4 y- f9 L4 v4 z+ H! T o P/ ~1 j' d
如同Douglas所斷言:「當後果的風險愈大,董事會自然希望佈署所有可用的工具,以便控制情勢。」 |
