文 / 林宜隆
所謂「資通(安全)鑑識或電腦鑑識」,即是一門有效地解決資通安全(或電腦)犯罪難題的科學。其定義為:以周延的方法、技術及程序保存、識別、抽取、記載及解讀電腦網路媒體數位證據(Digital Evidence or Cyber Evidence)與分析其成因之科學。
對於資通(安全)電腦鑑識這一門新興領域而言,無論我國或是歐美各國,同樣都存在著下列許多的問題,玆分析如下:
當今所面臨的問題
法律面:
對於網路入侵行為是在那裏犯下的?入侵者是誰又在那裏?在申請搜索票時便容易發生舉證上的問題。又由於資訊以電子化形式附著於記錄媒體(例如磁片、光碟、硬碟)或網路虛擬空間中(實際上資料仍儲存於他人或網路服務業者系統中),外觀上無法確認該記錄媒體為犯罪證據或可扣押之物,因此針對網路犯罪所為之的搜索、扣押,在財產權與隱私權之強制處分上,產生諸多爭議。
技術面:
1.身分識別:要如何去判定入侵者的真實身份是很困難的事情,尤其當入侵者是使用匿名帳號或是其身份是竊取得來時。而且,要確認是誰在特定時間使用電腦時,也會因嫌犯指稱其電腦密碼是大家共用,而陷入僵局。
2.加密:現今可進行加密的工具程式廣為散佈,許多人都能藉由網路取得加密程式。而且,若進行加密的工具為硬體,金鑰存取的儲存媒體則為智慧卡(Smart card)或是SIM卡時,在進行密碼破解,便會遭遇相當大的困難。
3.儲存容量:現今系統儲存容量逐年暴增,常見一般使用者用到多個40Gb的硬碟。這就會使得在進行建立證據複本時的時間增加,所須的儲存媒體也要隨之增加。而之後對於證據分析上,也要花費更多的時間來進行檢視。
組織面
在各種文獻或報導中,我們已了解在網際網路甚為普及的歐美先進國已先後成立專責的資通(安全)鑑識或數位鑑識專責單位,專責電腦鑑識案件;反觀我國,雖然警政署所規劃的鑑識中心已增設電腦鑑識組,但筆者也十分了解警察單位實際上並無從事電腦鑑識或資通(安全)鑑識之人力、設備及技術;另外在我國行政院於九十年所成立的國家資通安全會報亦未成立專責的電腦鑑識或資通(安全)鑑識單位,且目前國內專家學者也很少針對此一議題著手研究,企業間未見相關的規劃與研討,實在令人憂心。
可效法歐美技術
雖然電腦鑑識或資通(安全)鑑識是全世界新興的一門科學,而且無論我國或其他歐美先進國家,對於電腦鑑識、資訊鑑識或資通安全鑑識的領域都存在許多的問題,不過美國在這個領域的研究已較其他國家更早投入相關的人力與物力,也獲致了些許的成果,或許有值得我國借鏡或參考之處。不過每個國家的國情或有不同,並不能將適用於美國或其他國家的電腦鑑識或資通安全鑑識機制完全轉移應用,因此筆者認為我國必須自行研究適合我國的電腦鑑識或資通安全鑑識技術能量規劃,以適應我國日益增加的網路犯罪及數位證據鑑識的問題。
網路入侵偵防研究
透過網路異常事件、行為與特徵的分析,去蒐集未經授權入侵證據,並提出偵防入侵行徑時,可迅速有效防止駭客不法行為發生(或蔓延)的研究策略,以作為防止駭客入侵系統之依據。這方面的研究可藉由觀察、分析入侵者的稽核行徑,追蹤攻擊來源、修正安全策略與加強組織內部的安全防護措施。
資訊犯罪偵查與一般傳統犯罪最大之差異,即在於偵查過程中對於網路資訊技術輔助運用之依賴。在目前資訊犯罪偵查實務中,實難以期待所有偵查人員均能具備相當之網路資訊技術基礎,惟除積極對該等偵查人員辦理相關技術知識的講習,或建立於學術技術單位之密切聯繫支援管道外,如何引進學術或產業界協助司法偵查機關開發相關資訊犯罪偵查與鑑識技術,以彌補司法機關此方面技術之不足,亦為當務之急。
例如現有搜尋引擎尚無法涵蓋所有網路內容,對圖片影片檢索不易,並需耗費大量人力時間過濾,則開發能整合各類資源(Web, BBS, 個人檔案、戶政、入出境、銀行、監理、電信、及指紋、DNA、影像、錄音帶等非文字資源)之新一代犯罪偵查搜尋引擎,並建立各類資源之連結性、相關性,即對資訊犯罪乃至其他犯罪偵查之資訊搜尋有極大助益。
應建立專責單位
建議應由負責我國資通安全工作之國家資通安全會報儘速召集國內負責網路犯罪案件偵查工作的警察單位(刑事局偵九隊、台北市、縣警察局電腦犯罪偵查組等)、其他相關機構及專家學者共同研討有關成立網路犯罪及數位鑑識單位及人力之問題與方向,甚至未來成立「國家資通安全鑑識與犯罪研究中心」。另外,如何在犯罪行為訴諸法律的偵查過程中,正確地因應與處理電腦數位證據問題,亦為一重要而嚴正的議題。
人力培養與訓練
有鑒於網際網路的迅速發展,幾乎人人都可以上網取得各項資訊,並透過網際網路來進行各種商業交易,網際網路幾乎成為人類生活的必須用品,在這樣網路普及化的情況下,資訊犯罪問題也隨著網際網路的蓬勃發展而擴增蔓延,使得未來網路警察的專業編制勢在必行,而資訊犯罪偵查人員偵查知識及素質的提昇亦是刻不容緩。
中央警察大學係我國培養偵查各種犯罪案件警政幹部之搖藍,目前亦有設立資訊管理學系,以培養從事資訊犯罪工作偵查及電腦鑑識專業技術之人才。惟因設立時間不久,而且每年畢業人數不多,無論在人力上或專業技術上均無法滿足國內資通安全鑑識能量之需求。因此除應繼續加強資安鑑識警力之培養及訓練外,國內各大學院校資訊相關系所或學術研究單位亦應對資通安全鑑識技術之研究特別重視,加強我國資通安全鑑識技術及人力之提昇。
採電腦證據處理
電腦證據(或稱網路證據Cyber Evidence)處理程序主要係透過檢查電腦的技術及方法以備份、檢查及分析電腦犯罪數位證據。在必須訴諸法律程序的過程中,資訊科技所提供的佐證資料已變得日益重要,資安鑑識人員如未保持相關電腦網路知識的領先優勢,則很難提供具體有效的證據。此乃因正常操作程序也可能會破壞電腦中的儲存資料,所以,面對未知(或不同)儲存媒體(或格式)的電腦資料,均需小心、妥善因應,以免在電腦數位證據採集過程中,不慎錯過隱藏檔案或執行破壞程式。
我國對於數位證據之處理上,目前並未訂定專門的標準程序手冊(Standard Operation Procedure ,SOP),僅在內政部警政署所頒的「警察偵察犯罪規範」中第六章第十四節扼要規定電腦犯罪案件之處理原則及應注意事項,供偵查人員處理電腦犯罪案件參考。
諮詢服務之推動
在國外有Ontrack、Vogon、New Technologies、TSW (The Seanless Website)等跨國組織在美、英、法、日等國提供保護電腦資料資產方法及諮詢服務,以增加採證過程中發現(復原)被刪除或隱藏檔案及復原密碼保護檔案的機會,並減少資料遺失、毀壞或產生未具證據能力資料的遺憾。他們的現有作法不僅可以作為我們學習的對象,亦可刺激我們研發更新穎、更便捷的軟體程式來採集電腦證據,使電腦犯罪相關案件的法院訴訟程序更為完備。建議未來可由應增設的「資通安全鑑識與犯罪研究中心」負責此類工作,並提供網路犯罪相關研究、分析等。
加速相關立法進度
資訊犯罪行為之處罰,在目前刑法及個資法中雖有相關法條可加以適用,但仍有許多網路行為並無法律能加以規範。目前歐美已經有許多國家針對濫發垃圾郵件、網路業者責任、駭客入侵等網路社會的異常行為,立法加以規範並有處罰條款,而對於網路監聽或電子郵件管理檢查亦訂有專責法令加以規範,以便從事資通安全鑑識人員有所遵循。反觀國內除了舊法新用的解釋及個資法的立法之外,其餘網路行為規範或處罰的立法工作不是尚無草案明文,要不就是仍在立法院審查中,尤其在網路犯罪日益嚴重的今天,資通安全鑑識工作也越為國內資通安全界所重視,相關的法令規範訂定也就相形重要。
為因應日新月異的電腦及網路等新科技型態的犯罪型態,政府所應努力的除了目前已由立法院院會通過「中華民國刑法修正草案」(86.10.08完成修正案三讀) 、「電子簽章法」(90.10.31完成立法三讀)外,其次更應加速制訂網路基本法、網路管理法和網路使用者管理辦法等法律,以因應網際網路迅速發展及複雜犯罪資訊問題,才能有利我國NICI計畫推展及提昇國家競爭力。
另依目前犯罪偵查監聽實務方面,依立法院院會通過的「通訊保障及監察法」(88.07.14完成立法三讀)第3條有關通訊監察之標準規定,則該法應已包括網路通信在內;惟依該法第5、6條規定,通訊監察之範圍僅限於重罪或列舉罪名,且危害國家安全或社會秩序情節重大,而不能或難以其他方法調查證據者為限。則顯然就目前資訊犯罪的主要型態,如網路色情、販賣大補帖等,均無法援用該法規定。且實際上觀諸該法規定,除通訊監察標的包括網路通信在內外,其餘在設計上實際並未考量網路之通訊監察。
鑑於資訊犯罪類型特殊,運用傳統偵查方式恐效果極其有限,對於稍具資訊技術之資訊犯罪,通訊監察(網路監聽)幾乎為最重要之偵查方法,且網路通訊與一般通訊不同,對人民隱私權之傷害非與電話、言論之監聽相若,筆者認為「通訊保障及監察法」現行的規定似未能盡符網路監聽之需要,故宜對資訊犯罪型態之通訊監察另行規定,放寬其行使要件,並對其通訊監察實施程序與網路服務業者之配合事項詳加規定,以因應日趨氾濫之資訊犯罪。另立法院於今年(92)四月底已初審通過刑法部分條文修正草案,增訂妨害電腦使用罪專章,製作電腦病毒程式導致他人損害,可處五年以下有期徒刑,或科或併科新台幣二十萬元以下罰金,無故以電子郵件灌爆別人信箱,可處三年以下有期徒刑或科或併科十萬元以下罰金。
結論
資通安全鑑識技術能量之規劃與建置工作到底應涵括哪些項目,由歐美等資訊大國之配合作為中,我們大致可以了解應該包括組織、人力、技術、法律、諮詢服務、處理程序及未來研究發展等幾個面向,而我國目前對於資通安全鑑識的工作,也應朝向這個方向而努力;在本文中筆者也提出了對於我國資通安全鑑識能量建置內容的建議作為,提供給政府相關單位方向的參考。
資通安全鑑識或電腦鑑識是一個新興的科學領域,我國目前仍在起步階段,據了解在各大學院校或研究機構亦有從事資通安全鑑識技術之相關學術研究或產品開發正在進行,惟大都各做各的研究,而分散了對於鑑識資通安全事件之能量。
而身處第一線的執法人員在未能擁有相當的數位鑑識能力及相關單位的支援下,在犯罪趨向「網路化」的未來與配合政府2008年E-Taiwan數位台灣資訊計畫之推動,偵查資訊網路犯罪必會遭遇困境且破壞國家資通安全防衛體系。因此,我國實應成立「資通安全鑑識與犯罪研究中心」,召募具有專長的技術人員進行研究,專責我國未來有關資通安全鑑識工作之研究發展,為打擊網路犯罪及研發資通安全鑑識技術而努力,進而提昇我國在資通安全鑑識技術之能力與強化我國資通安全防衛體系。