https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

高科技犯罪及電腦鑑識

2004 / 01 / 27
高科技犯罪及電腦鑑識

文 / 賴左罕


什麼是高科技犯罪(High-Tech Crime)?大部份聽到的人會直接聯想到“電腦犯罪”(Computer Crime) 。其實這並沒有錯,但也不是完全正確。較正確完整的解釋應該是“利用高科技技術的方式來從事犯罪行為”。因為這類的犯罪行為不一定是僅採用電腦,它還可以利用到各種其他的高科技的電子產品,例如行動電話,數位攝影設備,智慧卡 (Smart Card) 等。但由於決大多數案件中最終的處理平台都會回到電腦上,因此這類的高科技犯罪才會被大部份的人認定為電腦犯罪。
高科技犯罪型式
近年來,全球各地高科技犯罪率不斷的持續上昇,主要是由於電腦及相關電子設備的使用性日漸普及,再加上網際網路 (Internet) 的互聯性及電子商務 (Electronic Commerce) 的普遍性日益提高。雖然電腦及網路帶給人們日常生活上各項的便利性,但就如同古語所說“水能載舟,亦能覆舟”,它也同時成為犯罪者的最新工具。


一般的高科技犯罪主要可以分為兩類:


* 舊式犯罪,新式工具 ─ 這類犯罪屬於傳統的犯罪行為,但是利用新式的電腦設備及網路等高科技作為新的犯罪工具或媒件。例如信用卡詐欺、黑函勒索、網路援交、人口販賣、身份盜用等。

* 新式犯罪,新式工具 ─ 這類犯罪主要是利用電腦設備及網路等高科技作為工具,所衍生的犯罪新機會,執法單位因此也面臨到新的困難及挑戰。例如未經授權存取他人電腦系統、散播病毒程式、阻斷服務式攻擊(DoS)、網頁竄改等。



國際犯罪及國內犯罪
由於這類高科技犯罪通常都採用網路作為通訊傳輸的媒介,主要是利用網路的天性,因為其無實體的國界之分,而且具有相當高的匿名性。犯罪者較容易將自己的真實身份及其犯案所在地,隱藏在無形的網路之後。因而針對網路相關犯罪行為的區域範圍,則可以用國際及國內兩者來作區分。對國際犯罪領域而言,通常需要相關各國家之執法單位的相互配合,合力偵辦才有可能破案。


而以國內犯罪而言,目前大部份的先進國家,僅能對以下在其本國境內的所發生的犯罪行為進行偵辦:


* 犯罪者的犯罪行為或所建立的網路違法資訊儲存在本國境內

* 如果違法資訊是發佈在或是下載到本國境內的電腦主機上

* 如果其可能是犯罪事件的證據

* 如果其可能是本國國民在國外犯案的證據


電腦鑑識 (Computer Forensics)
什麼是電腦鑑識 (Computer Forensics)?電腦鑑識是利用科學的方法對電腦等資訊科技設備進行犯罪蒐證,以提供有力的線索,來幫助犯罪案件的偵察或是法庭的審訊。電腦鑑識並不是一項新興的學問,其實在歐美等先進國家,約十年前就己經有了,只是一般只有在政府或軍警等執法單位才有這樣的資訊、資源及人才。但是由於網路及電腦設備的日漸普及,在許多商業環境也開始有這類的需求,因此這幾年才開始逐漸商業化。再加上高科技犯罪事件成長比率過高、科技進步過於迅速、案件複雜性也日漸提昇,使得有限的電腦鑑識人員也力不從心,而開始對外與業界的專業人才合作共同進行案件的偵辦。


由於資訊設備的電磁儲存及其運作方式的天性,正所謂是“凡走過必留下痕跡”,只要在這台電腦上輸入或儲存過的資訊,它一定會記錄在這台電腦設備的儲存設備上。即使經過惡意或無意的刪除,還是有被還原的可能性,這也就是為什麼電腦鑑識在高科技犯罪案件中佔有其重要一環的原因。

電腦鑑識目前的瓶頸
這兩年美國有一部電視影集,CSI:Crime Scene Investigation,內容是以犯罪鑑識(Forensics)為主題而作深入的探討。本人也是此影集的忠實影迷,整部影集採單元案件的方式,以非常科學及系統化的分析來陳述犯罪鑑識的過程及其細節,非常寫實。但是唯一令人感到較失望的部份是,每當這些犯罪鑑識人員 (CSI) 到達犯罪現場,看到電腦,要對其進行調查搜證時,他們所採取的每一個步驟,幾乎沒有一步是符合正確的電腦鑑識程序所應有的行為,完全破壞了數位證據的完整性。很明顯的該影集對電腦鑑識完全不瞭解,因而傳達給觀眾錯誤的資訊。


電腦鑑識目前仍然面臨到許多新的挑戰,即使是在電腦鑑識技術最先進的美國也不例外。以下所列的各項問題是目前全球各國同樣所面臨到的瓶頸:


系統分析及相互關聯的能力

電腦鑑識並不是一項很單純、很容易就能駕輕就熟的專業。由於它是對資訊科技平台進行蒐證,因此電腦鑑識人員必須要能跟得上最新的科技動向並瞭解其運作原理。但最重要的是要有正確的心態及細膩的條理分析能力,因為最終的目的是為了要協助執法單位破案,所以電腦鑑識人員必需要能夠在成千上萬的資訊中看到最關鍵的線索,並列出其相互關聯性及其對案件的重要性。但這多半是需要不斷經驗累積而來的。


專業知識及科技的瞭解

另外很重要的一環就是專業的知識及對科技本身的瞭解。由於科技本身進步快速,因此對不同科技平台進行犯罪蒐證可以說是完全不同的領域。例如在 Windows 作業系統上蒐證,則完全和在 Linux 作業系統上不同,所要注意的事項及步驟也不同。就算是在同一平台上,可是對不同科技的蒐證還是需要採用不同的技巧,例如同樣是在 Windows 平台上,而且同樣是電子郵件系統 (Email Client),但是對 MS Outlook 及對 Lotus Notes 所需採取的蒐證技巧則是完全不同的。


教育訓練

到目前為止,除了政府的執法單位以外,沒有其它的教育機構有這樣的能力來提供內容合適的訓練課程,就算是在執法單位內,要一直保持所屬人員對最新科技的了解及學習也不是一件非常容易的工作。因此在未來,這方面的專業教育是需要被支持及推廣的。


法律的接受度

法律規範上的問題將會是另一個重大的挑戰關鍵。如果電腦鑑識人員能夠用數位證據來證明犯罪事件的源由,但是法律尚未能夠接受數位證據的有效性,那試問法官如何以不能接受的證據來起訴罪犯呢?科技進步的太快也造成法律條令在制定上的困難。但僅管如此,我們還是需要法律來保障大家的權益,尤其是在現在這個數位科技主導的時代。

解決方案
雖然目前在電腦鑑識領域仍然有許多新的挑戰及瓶頸,但各國己經開始對其設立相關的組織機構,並進行細部的國際協調、溝通及規範。以期能夠建立一個國際網絡來對抗跨國的高科技犯罪集團。以下是目前各國間對之前所述的瓶頸所採取的應對措施:


系統分析及相互關聯的能力,專業知識及科技的瞭解

各國間建立高科技犯罪負責單位,致力於資訊、資源及經驗的交流協調,以達到最有效的國際互動及降依資源的重覆浪費,並能以經驗交流來提昇各國相關電腦鑑識人員的素養。


例如:美國的 Department of Justice Criminal Division 及 High Tech Crime Unit,英國的 National High-Tech Crime Unit,歐盟的 Europa 及 Council of Europe,澳洲的 High Tech Crime Centre 以及全球各國所組成的 Interpol。


教育訓練

目前美國及歐洲等先進國家己經開始規劃實施相關知識及技術的傳授,並推出專業的電腦鑑識課程。而且相關的電腦鑑識單位每年都己排列預算及計劃,將特定數量的電腦鑑識人員送訓。


例如:美國的 Guidance Software - Computer Forensic and Incident Response course,NTI - Computer Forensic course,HTCIA (High Technology Crime Investigation Association) - Computer Forensic training,英國的 Cranfield University, Defence Academy - MSc Forensic Computing。


法律的接受度及立法速度

目前美國、英國及部份歐洲國家的司法系統己經將數位證據視為有效的法庭證據。但相較於台灣在這方面,司法系統仍需要加以調整以因應未來的趨勢及需求。各國並己開始透過其法務單位對新式的犯罪方式進行相關法令的訂定及規範,以加速對日新月異的高科技犯罪之管制。


例如:美國對廣告垃圾電子郵件所制訂的新法 CAN-SPAM Act of 2003, 英國對協助執法單位進行調察的 Regulation of Investigatory Powers Act 2000 (RIPA), 台灣在十二月中旬舉辦的 2003“網際空間:科技,犯罪與法律社會”學術研究暨實務研討會 (Cyberspace 2003: Cybersecurity, Cybercrime and Cyberlaw) 。

電腦鑑識的遠景
我想大家都可以看得到,在不久的將來,資訊科技對我們而言將不再只是一項工具,它將會是我們生活的一部份。而隨著科技的進步,犯罪手法也將繼續轉變。電腦鑑識將會成為對高科技犯罪最有力的破案利器。到了那時,電腦鑑識可能不僅是對起訴犯罪者有重大的幫助,它也很有可能是唯一能夠證明一個無辜受害者之清白的關鍵方法。


精采文章,盡在《資安人》新春號第六期!即將出刊!