隨著網際網路之蓬勃發展,網路安全事件亦隨之不斷發生,如何在事件發生中及發生後,透過各種管道(Mail Server、Web Server、DNS Server、硬碟、系統log、firewall及IDS log、執行中process及網路連線等),蒐集可得之證據(evidence),鑑識(forensics)事件之本質,對維護整體網路系統安全有相當之重要性。若進一步能在事件發生前,便做好建立及妥善保存證據的準備,則更能有利鑑識工作之進行。
目前國內各機構對於資通安全鑑識技術與“資安人”培訓,普遍缺乏瞭解,仍以為資通安全(電腦)鑑識是專屬於警方的工作,而留待警政系統發展。事實上,我們既無法保證系統完美安全,就必須在安全出現問題時及時找出問題所在、追蹤出攻擊來源,這就是資通安全(電腦)鑑識必須擔負的任務。
各學校或研究機構從事資通安全鑑識技術相關學術研究或產品開發之工作,也大都各做各的研究,而分散了對於鑑識資通安全事件之能量。因此,針對資通安全鑑識技術相關核心技術與其能量之建置,我國實在需要有一個完整之規劃,尤其資通安全鑑識人員(即資安人)的訓練與培養,以利統籌研發資源,進而提昇我國在資通安全鑑識技術之能力與強化我國資通安全防衛體系。
惟國內對於電腦鑑識工作尚起步,對於電腦證據採集方法、工具軟體與所需技術亦嚴重欠缺,實有必要對此議題進行深入的研討;因此作者將針對我國『資通安全鑑識技術能量規劃』加以說明與探討,達到掌握我國資通安全鑑識技術研發及建置重點,有效整合現有資通安全鑑識技術研發計畫整體資源運用。
對於資通安全鑑識技術能量規劃之研究取向及建置重點應包括資訊政策與安全管理、刑事科學、電腦科學等三個領域在內之交集範圍,而三個領域所涵括之子項目略述如下:
一、資訊政策與安全管理:
如 BS7799/ISO17799/CNS17799/17800、資通安全管理理論、資訊政策理論、網路通訊及電信政策等。
二、 刑事科學:
如刑事鑑識、刑 事司法、電腦鑑識、資訊鑑識、數位證據、犯罪偵查、網路犯罪學等。
三、電腦科學:
如資訊安全技 術、網路安全技術、網路管理、IDS & Firewall、VPN、加解密技術、病毒偵防技術及弱點評估偵測管理等。 有關包含上述三個領域之資通安全鑑識技術能量規劃研究取向及建置重點如圖一所示。
各國之網路犯罪偵防組織與鑑識技術能量
對於網際網路的興起,一些傳統的犯罪隨著移至這不易被發現網路森林,再加上一些典型的駭客入侵的行為,使得網路安全及犯罪問題顯得更為複雜。各國政府皆面臨既有法律無法規範及缺乏對抗網路犯罪的執法單位及人員之窘境,因此設法修訂相關法律及成立對抗網路犯罪單位以為因應。
從這些單位的任務我們可以發現,對抗網路犯罪不論是在法律、偵查、鑑識或技術等方面皆需具備多元專業性知識。執法人員如缺乏這些專業知識即無法與網路犯罪者對抗,這些犯罪者運用專業知識從事各種網路犯罪如網路洗錢及擾亂證券市場等的能力非常強,而執法人員不僅需具備資訊網路知識,尚需擁有有關洗錢及證券等相關之專業知識,才能從事網路犯罪偵查及破案。
歐美國家是資訊大國,為維護其商業利益,均大力提倡電子商務,自然對於網路上的行為有較明確的規範;另為對抗網路犯罪行為,更相繼成立多個偵防網路犯罪單位、修訂相關法律及研製各種技術軟體以為因應。有關歐美各國網路犯罪偵防組織與鑑識技術能量略述如下。
美國:
I.法律方面:
1.制訂電腦網路犯罪相關的聯邦 刑法法律。
2.通過National Infrastructure Protection Act of 1996以建置國家資訊基礎建設防護中心(National Infrastructure Protection Center, NIPC)。
3.制訂 “Cyberspace Electronic Security Act of 1999”使執法機關及人員合法取得經過加密資料內的犯罪證據。
II.偵防組織︰
美國政府為防制網路犯罪及資訊安全事件,除致力於法律制度方面的改進外,更成立了相關單位負責調查不同類型的網路犯罪案件及資訊安全事件,茲就這些單位的執掌簡要分述如下。
1.聯邦調查局(Federal Bureau of Investigation, FBI) FBI目前在全國約200個地區分處有能力調查電腦入侵、阻斷服務攻擊(Denial of service)、電腦病毒、盜版軟體侵犯著作權、竊取營業秘密、仿冒商標、偽造貨幣、兒童色情及兒童剝削、網路詐欺、網路騷擾、網路炸彈威脅等案件、藉由網際網路所進行的非法交易爆炸物設備或軍火等案件,並保護資訊基礎建設。
2.聯邦調查局電腦鑑識小組 (Computer Analysis Response Team, CART) FBI所屬的電腦鑑識小組係一個負責從事電腦鑑識工作的單位,從1998至2000年,CART共執行1,260件電腦鑑識案件工作,至2001年底案件已達6,000件。隨著電腦犯罪案件的成長,FBI認為必需在電腦鑑識方面的設備、容量、人力及技術能力等能隨之進步。電腦鑑識是需要知識處理的專業工作,一些國家已將之獨立於調查部門之外,此一做法值得國內參考(如成立資通安全鑑識與犯罪研究中心)。
3.聯邦調查局技術支援中心 (Technical Support Center, TSC) FBI在電腦犯罪偵查技術上所遭遇最大的挑戰是日與劇增使用強力的加密處理,在1999年FBI處理53件案件其資料使用加密處理,這些皆是相當重的工作負擔,因此FBI在1999年特別成立Technical Support Center協助處理這些加密的案件。
III.偵防技術:
聯邦調查局為利用資訊科技協助防制網路犯罪數年前即開始研發偵查軟體,該軟體名稱為「食肉動物 (Carnivore)」。Carnivore 主要是在對於網路封包進行過濾與監聽,在2000年4月起開始引起公眾注意的,美國國會也對於這個偵查軟體疑慮重重,擔心這項技術會被用來窺視網路上所有的電子郵件而侵犯人民的隱私權,然聯邦調查局認為Carnivore的聚焦範圍很窄,他的使用還需符合法庭指令的具體規定。司法部亦認為執法部門需要有適當的技術工具才能有效打擊網路上犯罪活動。
英國
英國對於偵防網路犯罪問題亦相當重視,相關的法律有Data Protection Act of 1984及 Computer Misuse Act of 1990。其中Computer Misuse Act of 1990規範電腦入侵行為,如毀損資料(destruction of material)及修改(modification)等行為,此外對於沒有explicit intent 的 unauthorized access亦可能構成犯罪。 在打擊網路犯罪的偵防單位有National Criminal Intelligence Service、National Crime Squad及在2001年四月份成立的一個專門打擊高科技犯罪的單位,這個單位名稱為「國家高科技犯罪署」,該署由高科技人員和警察組成,結合科技與執法的力量將成為英國對付網路犯罪的主要力量。
而為讓這些執法單位能有效地打擊網路上的不法,以維繫日益頻繁的網路上的經濟活動,英國政府在2000年7月份通過「規範暨調查權力法案」,並耗資二千五百萬英鎊在政府技術協助中心(GTAC)建置電子郵件監測中心,准許執法及安全單位取閱私人電子郵件,並可要求個人或公司交出金鑰密碼,拒絕交出者最高可處二年徒刑。惟企業界領袖及公民權利團體及電子產業聯盟對於該法的態度正好相反,均表示反對立場,認為該法可能破壞個人隱私及電子商務發展。
加拿大
加拿大由於地理因素比鄰美國,對於駭客的長期搔擾感到困擾,加拿大執法單位亦常接受美國司法單位請求協助調查跨國境的網路犯罪案件。然加拿大因缺乏相關法律配合,無法有效防制網路上不法行為。因此加拿大在網路犯罪方面的立法相當積極,增訂刑法Section 342.1 及430,用以專門對抗網路犯罪。
Section 342.1規範典型的網路犯罪行為如非法進入系統(unlawful entry into system)、攔截傳輸(interception of transmissions)等行為,該法規定最高可處十年以下有期徒刑。Section 430則規定對於資料的毀損、改變及干擾等係非法行為。規範電信濫用(misuse of telecommunications)的規定有section 184非法攔截電信(unlawful interception of telecommunications)及section 326 竊取電信(theft of telecom- munications)。
加拿大主要負責網路犯罪執法的偵防單位是Royal Canadian Mountain Police (RCMP)及所屬的Information Technology Security Branch (ITSB),該單位並負責全加拿大資訊安全工作。ITSB下分Security Evaluation and Inspection Team (SEIT)、Computer Investigative Support Unit (CISU)及Counter Technical Intrusion Unit (CTIU)等三個部門。SEIT 負責保護任何加拿大政府所建置的電腦及網路設備,並為政府部門的資訊安全諮詢單位。CISU提供法律諮詢及指導起訴罪犯。CTIU則負責定期檢查政府電腦及網路系統、協助地方警察及在發生竊取電信情況的技術評估工作。由於加拿大政府近年這些努力,使得加拿大政府在防制網路犯罪方面頗有成效。
我國網路犯罪偵防組織與鑑識能量現況
在我國方面,政府及學界為打擊網路犯罪,健全網路世界秩序,筆者於八十五年八月第七屆中美防治犯罪研究會在國內最早提出了網路犯罪(Cybercrime)概念與網路警察(Cyberpolice)一詞,並詮釋此名稱之意義:「網路警察乃結合電腦、電信及網路通訊等功能,防止不法之份子破壞、侵略、阻塞有關電信、電腦網路、通訊或其軟硬設備」。
而行政院各部會自民國八十五年以來紛紛成立或擴編相關單位,如法務部在八十六年四月十六日在臺灣高等法院檢察署下成立「電腦犯罪防治中心」負責協調、整合相關單位資源,並在各地方法院檢察署指派專責檢察官辦理電腦犯罪相關案件,八十九年在法務部調查局資訊室下成立第四科專責電腦犯罪偵防工作。
內政部在八十八年七月將警政署刑事警察局電腦犯罪偵防組擴編為專責偵查電腦犯罪的偵查第九隊,並於九十一年七月正式成立偵九隊,亦稱網路警察隊(未來可依政府 e-Taiwan政策成立網路警察局)。交通部電信總局在八十六年八月成立電信警察隊協助調查網路上之非法活動。行政院NICI推動小組希將民間社會團體力量與政府力量結合,形成整體 的網路犯罪防制機制,以整體的力量來有效打擊網路犯罪與網路色情,共同維護網路環境的正常發展,以吸引更多人上網,創造更大商機(如2008年e-Taiwan數位台灣計畫之推動)。
在我國對於偵辦網路犯罪主力而言,內政部警政署刑事警察局偵九隊為國內主要打擊網路犯罪的單位,負責取締網站上不法行為或非法網站, 此外,內政部警政署為強化各警察機關偵辦電腦犯罪人力,於八十七年八月份在全國各市、縣(市)警察局成立任務編組電腦犯罪偵防小組,成立二年多來因縣市的電腦犯罪小組為兼辦業務,人力無法全心投入,導致績效不彰,警政署遂於八十九年八月起要求各縣市警察局成立電腦犯罪偵防專責組,指派三至五人負責有關電腦犯罪的偵查與預防工作,範圍包含加強取締網路上非法販賣違(偽)禁藥品及槍砲彈藥刀械、色情網站、賭博網站及盜版軟體等違法案件。
網路犯罪的偵查之所以困難,在於這種犯罪正好橫跨兩種截然不同的學科:刑事司法與資訊(電腦)科學。雖然鑑識科學(例如:測謊、化學分析、彈道分析、法醫學、筆跡鑑定等)長久以來即協助著司法人員辦案,但在大多數犯罪的偵查過程中,鑑識科學只是扮演佐證的角色,而且這些鑑識工作都交由專業人員負責,偵查人員本身不需要深入學習專業的鑑識工作,鑑識人員也不必扮演主導偵查的工作。但網路犯罪卻大不相同,雖然有時在偵查過程中可以得到ISP業者的技術支援,但主導偵查方向之人員仍必須具備相當的電腦及網路知識,而這些基礎知識不是在短時間內一蹴可及的。我國未來網路警察之工作範圍包括下列幾項:
1. 電腦網際網路之安全管制 (ISMS)與維護,亦即防止不法份子意圖滋擾網際網路公共安全或他人之電腦網路資訊隱私權。利用電腦網路設備為犯罪工具,而有危害他人之生命、身體、財產、名譽等網路犯罪事件,亦屬網路警察的工作範圍。
2. 有關電信法、有線電視法、廣 播電視法規等規定有關電信案件之查處與取締。
3. 有關違反通訊案件之查處、無 線電之違法設站及無照使用無線電等之違法行為。
4. 我國資通訊基礎建設安全機制 之犯罪偵防。
5. ISP之監督與管理。
6. 行政院國家資通安全會報之網 路犯罪偵防小組。
林宜隆博士 小檔案
現職:
*中央警察大學資訊管理學系、研究所教授兼
*資通安全鑑識與犯罪研究室總召集人
*TWNIC網路安全委員會委員
*教育部網路法律諮詢委員會委員
*中華民國電腦稽核協會常務理事
學歷:
*美國芝加哥約翰馬歇爾法學院訪問教授 (1999)
*國立台灣科技大學電子工程研究所博士 (1998)
*淡江大學資訊工程研究所碩士 (1989)
*專長領域:知識工程與管理、網路犯罪分析與偵防、警政資訊系統應用。
著作:
*網際網路與犯罪問題之研究 (警大,2000)
*整合性犯罪偵查專家系統知識庫建構與學習之研究 (三鋒1993)
*專家系統存在警政科學應用上之探討 (三鋒,1991)
*竊盜犯罪模式與犯罪偵查之專家系統 (碩士論文,1989)等。
