觀點

資通安全見識實驗室建置要項建置我國資通安全鑑識實驗室(下)

2004 / 07 / 07
林宜隆
資通安全見識實驗室建置要項建置我國資通安全鑑識實驗室(下)

1.資通安全鑑識實驗室實體設備之建置
(一)規劃適合的鑑識工作站
1. 一般而言,在某一地區中,每25萬人口中就至少要有一位電腦鑑識人員,每一位電腦鑑識人員至少必須要有一多用途及一般用途的電腦鑑識工作站,如此可衡量需建置多少個電腦鑑識工作站及電腦鑑識工作站的類型。電腦鑑識工作站的類型概分如下:
a. 筆記型電腦鑑識工作站(Portable workstation):具有高度可攜性及便利性。例如由美商Vogon國際公司發展的Mobile Forensic Workstation。
b. 駐地型電腦鑑識工作站(Stationary workstation):具有多功能的鑑識工作站,例如由美商數位智能公司Digital Inelligence company發展的F.R.E.D. Sr (Forensic Recovery of Evidence Device)鑑識工作站,使用於擷取和分析電腦證據的整合平台。
2. 決定好要建置多少個電腦鑑識工作站後,因所要鑑識的電腦系統及硬碟規格的不同,所以鑑識工作站需購置並維護各種的電腦作業系統(如Windows XP、Dos、Linux等)及各式各樣的硬碟等。
3. 購置電腦鑑識工作站周邊設備,如電腦鑑識工具箱(內有轉接器、端阻器及纜線、照相及處理內部及外部的SCSI 1/2/3 drives裝置、2-1/2 inch IDE (laptop) drives裝置、3-1/2 inch IDE drives裝置及 5-1/4 inch IDE drives裝置)、安全螺絲起子、匯流排、網路線、電源延長線。
4. 規劃災害還原計畫,以避免災害發生時,重要的鑑識報告及資料遭受破壞。
5. 規劃設備升級,因為科技的日新月異,每18個月要重新檢視硬軟體設備。
6. 欲調查老舊或獨特的電腦系統的方法就是隨時注意「特別興趣團體」SIGs(Special Interest Groups)網站上的內容,以協助電腦鑑識工作。

(二)建置實體設備之考量
電腦鑑識實驗室的設施必須要非常的安全,如此證據才不會遺失、被篡改、損壞,應考慮下列各項因素:
1. 電腦鑑識實驗室預算的考量:建構電腦鑑識實驗室必須衡量所需維持最低限度之安全性環境的開銷。
2. 辦公室人體力學的考量(Ergonomics):因為從事電腦鑑識工作常需耗費長時間來處理磁碟以取得證據,因此鑑識工作地點應盡量設計舒適以預防或減輕相關的工作傷害,例如桌椅的高度、螢幕高度、手腕墊等。
3. 辦公室環境條件的考量(Environmental Conditions):
a. 由於實驗室內有很多的工作站在運作,會排出大量的熱氣,因此需要適合的空調及通風設備,當設計鑑識實驗室時需衡量HVAC( Heating, Ventilation, Air Conditioning)等問題。
b. 燈光(Lighting)是電腦鑑識實驗室中最容易忽略的問題,照明設備若選擇不當,容易迼成頭痛及眼睛疲勞。
4. 建築結構設計上的考量(Structural Design Considerations):鑑識實驗室必須更加考量安全性的問題,因為鑑識人員經常會離開去處理電腦鑑識工作,而留下嫌犯的電腦證據在工作站內,這時就需要一個真正安全的實體空間來存放待檢驗的電腦證據,任可未經授權的人都不可擅自進入。為了確保實驗室的安全,需考量所有的硬體設備,包含牆、天花板、地板、窗戶等建築結構。若實驗室有裝設窗戶,則需在外側加裝鐵絲網,以防止不明人士的入侵。
5. 電力的考量(Electrical Needs):鑑識實驗室需有充足的電力來使工作站和其它設備使用,除此之外,還需有足夠的電源插頭可供隨時使用,儘量不要使用延長線或多向的插頭,因為那是發生火災的潛在因素之一,另外需購置不斷電系統(UPS,Uninterruptile Power Supply),當發生電源中斷時,可以有充足的時間來正常關機。
6. 通訊上的考量(Communications):
a. 當從事電腦鑑識工作時,經常要連上Internet來找尋相關資料或諮詢,這時需考慮頻寬的負荷來向ISP業者租用線路。
b. 當從事分析鑑識時,儘量不要工作站連上Internet,除非是必要的,因為Internet上是不安全的,會危及系統的安全性。最好先將自己的電腦更新修補patches。
7. 消防設備的考量(Fire-suppresstion System):任何電子設備都可能導致火災,當在這些低電壓的電腦排線上有太多的電力時,可能會導致火花而發生火災,因此實驗室需配置自動灑水系統(Fire sprinkler system)和乾粉滅火器(Dry chemical fire extinguishers)。
8. 使用高安全性的證據櫃(Evidence Lockers):
a. 證據櫃必須置放於只有實驗室人員才可進入的地方。
b. 經授權可開證物櫃的人員應愈少愈好,且紀錄那些被授權的人員可以開那些證物櫃。
c. 當鑑識人員離開工作站時,所有的證物櫃都必須是上鎖的。
9. 經常維護設備:
a. 當處理電磁紀錄時,靜電是最嚴重的問題,應考慮採用特別的抗靜電墊子置放於工作台或工作站。
b. 應將垃圾分離,置放二個分開的垃圾桶,一個是存放與鑑識調查無關的垃圾,另一個是置放有關鑑識調查的敏感資料,需要被銷毀。
10. 定期與不定期稽核電腦鑑識實驗室:
稽核時需包含下列項目:
a. 每月至少檢查一次天花板、地板、屋頂、外牆等,查看有無異常情形。
b. 檢查門是否關閉並上鎖。
c. 審核訪客名單紀錄是否有不尋常的人員進出。
d. 審查紀錄表查看證物櫃何時被打開。
e. 每天下班前檢查是否有尚未處理的數位證據遺漏在鑑識工作站內。
11. 電腦鑑識實驗室的樓層規劃要先決定所建置的實驗室的是屬於中央級還是地方級,進而決定需建置幾個工作站,另外還需將可上網的電腦與鑑識的電腦分隔開,配置工作臺及證物櫃等。
(三)選擇合適的電腦鑑識軟體工具
所謂「工欲善其事,必先利其器」,從事電腦鑑識工作時,需根據不同的電腦系統而使用不同的鑑識軟體工具,需先分析每月或每年的鑑識軟體工具使用率,以決定購買套數,另外,電腦鑑識工具也必須為法院所認可,所鑑識出的結果才據有公信力。
1. 使用國家標準科技協會(National Institute of Standards and Technology, NIST)的工具:為了確保你所分析證據能被法庭所承認,必須測試和確認所使用的軟體工具, 在美國是由NIST 贊助一個名為CFTT(Computer Forensics Tool Testing)的計劃來管理電腦鑑識工具的研究,且NIST已建立了一般測試電腦鑑識工具的方法及工具。基本測試鑑識工具的方法是先用Hex Workshop在磁碟中的資料起始區及閒置區域建立文字資料,再由鑑識工具去鑑識磁片,尋找先前已輸入的資料,重複先前的動作在不同的windows system中。
2. EnCase鑑識工具:Windows-based的電腦調查與鑑識工具,由美商Guidance Software公司(1997年設立)發展,公司在全世界有超過7,000個組織團體與政府使用者,是被美國法院承認具有公信力的電腦鑑識工具。

2.資通安全鑑識實驗室及人員的認證
(一)資通安全鑑識實驗室的認證:
建議仿照美國制度成立鑑識實驗室指導委員會,由行政院資通安全會報召集檢警調及民間專業人士成立鑑識實驗室指導委員會,性質上屬於非營利性質的公司法人,其決策基礎在於網際網路領域內的產業、技術、非商業性與學術性各種社群所組成的聯盟,鑑識實驗室指導委員會需提供一個管理鑑識實驗室的標準和取得正式鑑識實驗室證照的指引和認證課程,通過鑑識實驗室指導委員會的審核後,核可發給證書,可強化該實驗室所鑑識結果的公正性。
(二)資通安全鑑識人員的認證:
建議在民間機構或學術研究單位成立資通安全鑑識人員技術認證組織,通過認證者核發給證照,鼓勵專家證人人才之培養,以輔助強化公立鑑識單位之能力及法庭公信力。本研究建議將資通安全鑑識人員技術認證分為二級:
1. 數位證據蒐證專家:一年約二個星期的訓練課程,受測者必須要能解釋和追蹤E-mail郵件、正確的取得證據、識別作業系統、回復資料、瞭解加密原理和其它相關主題,且必須要通過筆試才能取得證照,沒通過前不得考取「電腦鑑識檢驗專家」之證照。
2. 電腦鑑識檢驗專家:需要五到六個月完整的通信課程,需依順序檢驗六片軟碟片及一顆硬碟並針對每個檢驗提出完整的報告,前四片軟碟片需使用command-line的工具來檢驗,測試方法是在磁碟內的未分配的空間(unallocated space)、RAM、file slack及deleted file植入一些資料,而受測者必須從中找到所植入的資料,其它相關的主題包括資料隱藏(data hiding)、判定偽裝檔案的型態、存取有密碼保護的檔案,可能還需依照你在磁碟中所發現的證據寫出結論,熟練的使用技術工具和推論合理的原因,每一個磁碟的檢驗報告都必須被認可後才能繼續下一個磁碟的檢驗,最後還必須通過筆試才能取得證照。


3.數位證據蒐證標準作業程序(SOP)
有關數位證據蒐證標準作業程序,經過專家學者訪談及國內、外參訪和文獻探討、分析、研究,將其程序分為搜集、分析及鑑識三個步驟,詳細如圖4如示。


(圖四)


(本文作者為中央警察大學資訊管理研究所教授,同時為資通安全鑑識與犯罪問題研究室召集人、台灣電腦網路危機處理暨協調中心執行長)