https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

電腦鑑識程序與資訊安全事件復原

2003 / 11 / 17
鄭進興、林敬皇
電腦鑑識程序與資訊安全事件復原


電腦犯罪是涉及刑事或是民事的資訊安全事件,因為與司法有所牽連,所以必須經由調查與蒐證的程序來找出犯罪者。當面對駭客的攻擊、破壞與入侵時,除了要能快速回復原有的服務運作外,更期盼將駭客繩之以法,以追索企業因此事件所蒙受的損失及遏阻進一步的網路犯罪發生。

電腦鑑識科學
這時電腦鑑識就必須列為重要的工作了。當資訊安全事件造成公共危險或是侵害善意第三人產生傷害或損失時,資訊安全事件就變成犯罪,司法單位可進行主動偵辦及找出犯罪者,此時電腦鑑識就必須擔任尋找出相關證據、及提供線索,類似於傳統刑事案件裡法醫、鑑識人員的角色。


電腦鑑識科學(Computer Forensics Science)的目的為協助司法人員偵辦電腦網路資訊犯罪案件與犯罪證據之蒐證,一九九一年在波特蘭的國際電腦專家協會(International Association of Computer Specialists,簡稱IACIS)中,首次提出電腦鑑識科學這個名稱,作為網路犯罪證據蒐證與鑑識的方法。於是,各國司法單位、電腦鑑識研發公司,開始針對電腦鑑識科學進行研究,並提出相關證據處理原則,而且研究電腦鑑識技術與開發鑑識軟體工具,以因應電腦網路資訊犯罪現場所產生的數位證據蒐證之需求,並解析數位證據的意義與犯罪事實,作為法院審判這類犯罪案件時的重要參考依據。電腦鑑識就像傳統刑事鑑識一樣,只是電腦鑑識所實行的標的侷限在電子或數位媒體上,兩者的目的相同,都是為了確認犯罪的發生及確認現場蒐集的證據與嫌犯、時間、地點、使用之工具等之關聯性,進而重建整個事件、現場。


其基礎原理都是建構在「痕跡理論」下,亦即犯罪者在犯罪過程中任何動作必會在犯罪的現場留下全部或部分的痕跡,如指紋、毛髮或是連線的網路位址、登入的連線等。而某些事物所留下的痕跡或因痕跡存在的時間短暫、分散各處難以蒐集比對、物理特性、易於修改、無法追蹤等原因,所以必須要能以人為強制的方式留下痕跡,才能有利於鑑識的目的。如:出入口全程錄影、電腦之Log機制等皆屬之。再者,鑑識的正確性,不僅是實驗室中分析及擷取的技術,相關的蒐證、發現、採證保管送驗等前置相關作業的正確無誤,更是證據是否具效力及公信力的重要環節,不合程序所得的證據,難以為證明或裁判究責之依據。而電腦鑑識其實更像法醫的工作,解剖檢驗資訊相關設備,並從中析離出犯罪或是事件造成的原因及過程的推論。


電腦鑑識目的是保留數位證據的完整性,及建構資訊安全事件發生的過程,以作為資訊安全事件處理及司法單位調查判決之依據。其範圍應涵蓋資訊技術、程序管理、法律議題三個構面,分述如下:


A.資訊技術:電腦鑑識所分析的標的,以資訊設備或電子媒體為主,這些設備內部所儲存的資訊,是以0或1的型式儲存,想要將這些資訊析離出來並轉換成為人類所能理解、感知的資訊,就必須要藉助相關的資訊技術。如:破解遭加密的檔案,就必須利用解密演算的技術,要將刪除的檔案回復,就可能會利用直接讀取硬碟磁區上資料的技術或是使用16進位編輯器修改檔案配置表直接指定參考位址等技術。資訊技術對於電腦鑑識而言是相當重要的。不論在蒐集、保護、分析、粹取相關的數位證據上,都需要依賴相關資訊技術的支援。


B. 程序管理:良好的鑑識程序管理,是保障所蒐集、分析與解釋的數位證據具有效力與公信力的依據。原因是數位證據容易竄改、消滅及不易取得之特性,所以在進行電腦鑑識時,記錄下如何採證及為什麼要這麼做,並依循著良好程序進行,除了可以避免在進行電腦鑑識時因疏忽或錯誤所導致的證據破壞,亦可使數位證據更有公信力,並為一般大眾、檢調單位及法院所接受,成為調查或審判的參考及依據。


C. 法律議題:電腦鑑識所得的數位證據與報告,將來都可能成為法院審理時的呈堂證據,因此進行鑑識時,就必須一切符合法令的規定,否則,所得之數位證據將不被法院所接受,如未經申請及進行的監聽行為,未來所得之監聽紀錄可能不被接受成為相關的證據。再者,電腦鑑識還有輔助偵查之功用,進行偵查時,應如同刑事偵查一般,將偵查與鑑識分離,避免鑑識人員影響及誤導偵查的方向。電腦鑑識應提供公正的數位證據及鑑識所得之事實陳述以輔助偵查之進行,而非推斷某一因果關係之定論給予偵辦人員作為偵查的方向。


「數位證據」具有易消滅、易竄改、不易取得的特性,要想在電腦安全性事件發生後取得數位證據,則必須要有一完善的收集擷取分析及保存數位證據的方法。系統管理員是組織中面對事件發生後第一線的處理人員,系統管理員對於事件的處理方法,關係著數位證據是否能完整的保存下來,以作為未來分析事件發生的始末及法庭上的佐證。姑且不論數位證據在法律判決的依據或參考價值,法庭上所認可的數位證據必須是最初的、未竄改的。所以如何證明在擷取及分析數位證據時,仍保有數位證據未經竄改且保存良好完整性,乃是決定數位證據作為舉證的基本要件。此一關鍵性的要素則必須依賴第一線的處理人員保護相關的數位證據,與執行正確的電腦鑑識程序及方法。


電腦鑑識程序
電腦鑑識專家Timothy認為電腦鑑識程序分為兩個部分:一為搜索與扣押,包含所有處理電腦犯罪事件調查,重點在於實體證據取得與處理工作,屬實體面,建議程序如圖1,另一部份為資訊探索,包含證據的分析與處理,將證據與事件關聯起來,屬邏輯面,建議程序如圖2。由搜索與扣押部分進行實體證據蒐集,如:電腦、電子媒體的搜索與扣押,再交由資訊探索部分進行電子資訊、資料的分析與處理。


電腦鑑識程序之所以重要,是因為電腦鑑識程序能夠幫助鑑識工作依循一定的參考標準,專家學者們強調有程序的指引才不會迷失在不同的個案中,且電腦鑑識程序使得產出的數位證據更有可信度,因為它是客觀的,即使透過公平的第三者進行驗證,仍會得到相同的結果。由於資訊科技的進步,我們所要處理的電子媒體種類繁多,因此電腦鑑識程序的訂定與進行必須保有彈性,以因應不同的個案情況。


電腦鑑識進行時,除了合法地進行蒐集證據外,鑑識分析的程序與資訊技術亦是電腦鑑識成敗的關鍵。舉例來說,因為沒有良好的程序進行鑑識,可能導致破壞了相關的證據,那鑑識的結果將不具公信力,沒有人會相信結果就是從原始證據而來的;再者,若對於電腦技術不夠熟悉,那麼可能會有操作上的錯誤,而導致分析出錯誤的結果,或沒有結果,如:鑑識人員無法分析犯罪者將重要的證據隱藏於加密的磁區中,那可能就無法取得該犯罪者的犯罪證據,而將其定罪了。


根據2003年Computer Crime and Security Survey的報告指出,從530個受害單位的調查中,財物損失總和為$201,797,340美元,其中以偷竊智慧財產權資訊及受到阻斷服務攻擊(Denial of Service,DoS)佔最多,分別造成財務損失$70,195,900美元與$65,643,300美元。與去年比較起來偷竊智慧財產權資訊較去年損失減少許多,但DoS攻擊所造成的損失較去年成長近250%。從這份調查報告來看,電腦犯罪及其他對於資訊安全的威脅仍繼續不斷地擴大及成長,且資訊科技的進步更加速了此現象。


我國立法院亦於2003年6月初,三讀通過電腦駭客刑法修正條文,增訂妨害電腦使用罪專章,製作電腦病毒程式導致他人損害,處五年以下有期徒刑、拘役或科或併科新台幣二十萬元以下罰金;無故以電子郵件灌爆別人電子信箱,處三年以下有期徒刑或科或併科十萬元以下罰金。


另外,無故輸入他人帳號密碼、破解使用電腦的保護措施或利用電腦系統的漏洞入侵他人的電腦或相關設備,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。若無故取得、刪除或變更他人電腦或相關設備的電磁紀錄,也就是電子檔案等重要資訊,導致公眾或他人損害,則處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,導致公眾或他人損害,可處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。


也就是說電腦駭客癱瘓網路或故意以電子郵件灌爆別人電子信箱造成損害,都適用這項條文。但是如何來認定這些的犯罪行為,及起訴這些造成破壞的犯罪者呢?電腦鑑識提供了一個良好的解決方案。

結論
經歷了資訊安全事件後,首要的工作就是將原有的服務迅速重新建置起來,以及將在事件中所受到的損害詳細地紀錄,這包含數位證據的擷取與保存的「電腦鑑識」(Computer Forensic),以快速地復原所需的軟、硬體設備。


然而,在快速地恢復原有的服務運作與利用電腦鑑識將相關證據保留下來之間,卻彼此有衝突存在,電腦鑑識希望能將事件發生當時的情況保留下來,包含軟、硬體設備。因此,這其中的取捨與決定將考驗著企業經營者與系統管理者的決策與應變能力。我們的建議是:


專責鑑識分析人員

需要進行電腦鑑識的資訊安全事件萬一真的不幸發生時,在危機應變團隊中不論是組織內部人員或外聘專家,最好能夠有專長鑑識分析的專責人員,並請其提供意見,在最快速地情況下保留相關的證據以利後續的處理,而且快速地恢復原有系統服務運作。


資源調配

資訊安全事件發生後,需要資源來進行修復及補強的工作,我們認為在此有兩項資源是必須的,首先是企業緊急應變政策及計劃受到經營者的全力支持,其次是準備完善且適切的備援系統。


重建後的安全

在完成快速的復原運作後,還必須確定已重新加強了原有的安全防護,如系統弱點的修補、增設入侵偵測、防火牆等系統、加強人員的教育訓練及進行有效的稽核程序,以避免事件重複發生,對組織造成更大的傷害及打擊。(本文作者現任職於台灣電腦網路危機處理協調中心)