https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

觀點

台灣電腦鑑識領域現況與未來發展

2005 / 02 / 03
文/鄭進興、林敬皇
台灣電腦鑑識領域現況與未來發展

事實上,早在1991年波特蘭的國際電腦專家協會(International Association of Computer Specialists,簡稱 IACIS)就已針對電腦犯罪證據蒐證與鑑識的方法提出「電腦鑑識科學」這個名詞,其主要目的為處理電腦有關的數位證據之保留、識別、粹取、紀錄及解讀,以確保資訊安全事件現場電腦物證及數位證據的原貌,以及鑑識過程及結果的完整性。
什麼是電腦鑑識
電腦鑑識的觀念是源自於傳統刑事鑑識而來的,可以說是科學鑑識的分支,只是鑑識的標的物不同罷了,電腦鑑識需要大量的資訊科技來加以輔助,用以分析我們無法實際觸摸到的電子紀錄,也正因為如此,電腦鑑識需要更為完善及可驗證的數位證物保護方式,來保護鑑識前後的數位證據不被竄改,使得經鑑識分析後的證據更為可信及具有法律地位,將來在法院審理時可以作為判決之依據。

電腦鑑識的重要性
傳統犯罪隨著資訊科技與網路的發達,產生另一種新興型態的資訊犯罪模式,使得在偵查該類案件時比傳統犯罪更為困難,犯罪者藉由資訊科技與網路將犯罪領域延伸,傳統的偵查技術及方法不足以偵查存留在資訊設備與網路中的線索,再加上網路具有隱匿的特性,已逐漸成為治安的死角,犯罪者的天堂。唯有藉助專為處理資訊科技與網路的偵查技術及方法才能有效地進行偵查。
我國立法院亦於2003年6月初,三讀通過針對電腦犯罪的刑法修正條文,增訂妨害電腦使用罪專章,製作電腦病毒程式、無故以電子郵件灌爆他人電子信箱、無故輸入他人帳號密碼、破解使用電腦的保護措施或利用電腦系統的漏洞入侵他人的電腦或相關設備、無故取得、刪除或變更他人電腦或相關設備的電磁紀錄,也就是電子檔案等重要資訊,導致公眾或他人損害或無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,導致公眾或他人損害,均須加以罰鍰或處以徒刑,又刑事訴訟法第一百五十四條規定犯罪事實應依證據認定之,無證據不得推定其犯罪事實。也就是說,必須蒐集相關的證據,才能進一步地採取法律行動,對抗電腦犯罪。同時刑法修正條文第三百六十三條文中規定這些犯罪事項若發生在公務機關除了加重處罰外,檢調單位得提起公訴並主動偵辦,但相對的,若這些資安事端發生在您的組織及單位中,您可能就必須檢具相關的數位證據作為報案及訴訟的依據,此時組織與單位就可能需要依靠「電腦鑑識」進行檢具相關數位證據的蒐集工作。
再者,電腦犯罪者為了躲避追查,常利用跳板或是其他的身份來掩飾自身的行蹤,特別在大家普遍信任電腦系統提供的資訊及數位資訊易於偽造的情況下,此時若不幸為電腦犯罪者的跳板或是被蓄意的栽贓陷害,「電腦鑑識」亦能幫助釐清事實的真相,使得清白者洗脫嫌疑。




台灣電腦鑑識領域現況
從電腦鑑識在電腦犯罪及資訊安全中所扮演的角色來看,電腦鑑識是輔助電腦犯罪的偵查、起訴的重要機制,而在資訊安全中所扮演的角色,則是屬於資訊安全事件發生後處理的機制,前者著重在尋找偵查線索、嫌疑犯及數位證據,後者則重視評估損失、復原及蒐集適當的資訊提供司法單位調查,並將處理的經驗回饋予組織中資訊安全政策的改進及維護。
另一方面,電腦鑑識的領域包含甚廣,所需的技術也因不同類型的個案及情況而有所不同,例如調查透過網路入侵的個案,不只需要電腦本機端的蒐證技術,更需要對於網路的蒐證技術及追蹤技巧。而對於犯罪者利用加密的檔案或經由資訊隱藏(Steganography)來藏匿證據的個案,電腦鑑識人員則需要了解相關的加解密及資訊隱藏的原理與分析技術,才能處理相關的數位罪證。由是觀之,電腦鑑識需要整合許多領域的專業知識與技術,並非單一個領域可以涵蓋,而以產、官、學的角度來看,目前在台灣電腦鑑識領域的現況說明如下:
產業界
近幾年來,資訊安全普遍被重視,因此有許多提供資訊安全軟硬體設備及顧問服務的資訊安全公司紛紛成立,在整個資訊安全計畫或政策的規劃中,當然也就包含資安事件發生後的協助處理與鑑識工作。因此這些資訊安全公司可以說是提供電腦鑑識相關服務的先驅者,後來基於電腦鑑識的需求提升,這類的公司將電腦鑑識服務業務獨立出來,提供客戶在資安事件發生後蒐集相關的數位證據及追查嫌犯的服務,找出來自於內部的惡意破壞或竊取機密資訊的行為,以及外部的惡意攻擊,協助客戶決定是否採行進一步的法律行動做準備。
在電腦鑑識相關領域中還有一項比較特別的服務就是法律顧問,特別是高科技智慧財產權的法律顧問,他們專司蒐集高科技智財權的相關證據,當然也包含部份的數位證據及實體證據,提供客戶於智財權訴訟之用,是目前電腦鑑識領域中,由非官方單位協助蒐證起訴的唯一類別。
另一類為本身代理或自行研發生產資訊安全相關產品的企業,如:防火牆、入侵偵測系統、弱點掃描工具等,這類企業除販售資訊安全相關產品外,亦進一步提供入侵及鑑識的分析,並協助客戶防護及避免再次發生資安事件。可惜的是,目前在國外有許多專門提供電腦鑑識服務的顧問及專業實驗室,在台灣幾乎沒有,但相信在不久的將來,亦會由業者引進,提供電腦鑑識專業服務。
由上觀之,台灣目前在電腦鑑識產業中,大部分還是在資訊安全的區塊中,將電腦鑑識獨立分割出來,成為新的服務項目,依未來的電腦鑑識需求來看,台灣電腦鑑識產業還有很大的發展空間。
官方 產業的聚落尚未完全形成,當然也就無相對應官方的國家級電腦鑑識研究中心的組織,但是從預防及偵辦電腦犯罪的觀點來看,官方的相關業務單位有:司法、警政、調查三大單位,若依資通安全基礎建設及國家安全的角度來看,則有行政院國家資通安全會報及國防單位等,說明如下:
(1) 法院、司法官及檢察官︰對於電腦犯罪的訴訟,理所當然由法院派任司法官來進行審理,對於刑事案件的偵辦則由檢察官指揮警調單位協助偵查及蒐證等工作,所以,電腦鑑識自然也與法院、司法官及檢察官有所關連,法院及司法官對於電腦鑑識程序及結果的認定,是判決依據的參考,而檢察官則利用電腦鑑識所蒐證的證據及分析,做為偵辦的線索及嫌犯的逮捕、起訴之用。因此,不論在高等法院或各地方法院都不定期舉行會議討論電腦犯罪、電腦鑑識的相關議題。但是,由於電腦犯罪、電腦鑑識屬於新興的領域,許多的司法程序及人員的訓練等皆未臻完備,因此在司法體系下仍有許多問題尚待決解。
(2) 警調單位︰「警調單位」指的是警政單位及法務部調查局,同樣基於犯罪偵查的目的,協助檢察官進行調查工作,其中警政單位有刑事局偵九隊及刑事鑑識中心,負責協助調查與電腦犯罪相關的偵察及鑑識工作,並在各縣市警察局中設有專責之電腦犯罪偵防組,調查局則由調查員進行偵辦及調查工作。調查電腦犯罪的工作,需要電腦鑑識技術的輔助,但同樣礙於人力及專業背景的不足,所以在執行面格外艱辛,雖然規劃進行籌設電腦鑑識實驗室,但目前仍有很大的努力空間。再者,雖然積極地加強教育訓練,但相對於電腦犯罪及電腦鑑識技術的快速變化,在人力及物力上急待政府投入大量資源。因此警調單位仍需尋求產業界及學術界的支援,以彌補其不足。
(3) 行政院國家資通安全會報︰行政院國家資通安全會報是為維護國家資通安全而設置的跨部會組織,因此不論在預防及維護國家資通安全管理或資安事件的處理上,皆積極尋求資源並發展相關的政策及機制,電腦鑑識包含在資安事件的處理程序中,因此國家資通安全會報技術服務中心亦推動「我國資通安全鑑識機制」之研究與規劃,建立我國電腦鑑識的相關機制。
(4) 國防單位︰基於國防安全的關係,國防及軍方的體系本來就自成一格,獨立於司法體系中。因此,國防單位中亦有這類似法院及調查的體系機制,以協助國防單位內部的調查及審理,特別對於資安事件的處理,也已建構完整的處理機制,惟與司法體系中的檢調單位情況相同,目前尚未有特別針對電腦鑑識的專責單位,大部分的調查工作需仰賴資訊單位的配合,協助鑑識及調查。
學術界 對於資訊安全的研究早期是集中在密碼學相關領域,而後隨著許多資安事件的發生及對於資訊安全全方位的需求,學術及研究單位逐漸地轉向網路安全及系統安全管理的研究,電腦鑑識領域即是歸類在資訊安全事件處理與回應階段時的研究。另一方面,原本對於刑事鑑識科學的研究為因應高科技犯罪的偵察及鑑識工作,開始進行電腦鑑識相關研究,在原本的刑事鑑識科學增加新的研究議題及對於鑑識人員的電腦技能訓練等。
由於電腦鑑識所需的技術幾乎包含所有電子計算機、電機電子等領域的相關研究,因此,有許多的學者雖不是從事電腦鑑識領域研究,但其研究領域卻可以應用於電腦鑑識的工作。舉例來說,目前對於數位浮水印及資訊隱藏的研究領域,即可在電腦鑑識時用以偵測、分析及尋找是否有相關的數位證據經由數位浮水印及資訊隱藏的方式儲存。也因為這些領域的研究,使得電腦鑑識領域的研究能夠專注在鑑別及追蹤犯罪者中,並將其他領域的研究加以結合,提升電腦鑑識領域之研究能量,輔助實務上電腦鑑識工作的進行。
就產、官、學各界來看,目前電腦鑑識領域雖未能如傳統刑事科學鑑識一樣,完全輔助犯罪事件的偵察及證據的分析,但電腦鑑識領域的發展卻提供了對抗電腦犯罪時的良好方案,並在電腦犯罪後揪出惡意破壞的犯罪者,為清白者洗脫罪嫌,並進一步預防資訊犯罪的發生。






電腦鑑識教育訓練
電腦鑑識的工作非一人之力可以成就,而是綜合許多領域的成果所完成的。因此對於人員的培訓及教育訓練就顯得相當重要,再者,一般人聽到「鑑識」(Forensic),總認為這是屬於司法機關或警政單位的工作,其實不然,在案發現場,第一個到達的人如果無法保持現場情況,往往會破壞相關的證據,造成專業蒐證人員採證不易。相對於「電腦鑑識」而言,若第一線的工作者未能保護相關的數位證據,則數位證據更加不易採證,而這第一線的工作者往往就是組織內部的資訊人員。若資訊人員沒有電腦鑑識的概念及觀念,則事件發生後,非但無法保留相關的數位證據,還可能破壞了追查犯罪者的線索,使犯罪者能在肆無忌憚地大肆破壞後逍遙法外。事實上,許多安全事件在公司或組織中被內部選擇低調、有效率地處理掉,然而有更多的電腦安全性事件發生時,系統管理者並未察覺,或是在調查時無心地損毀了珍貴證據。
有鑑於此,台灣電腦網路危機處理暨協調中心(TWCERT/CC)將所進行的電腦鑑識研究領域結合網路安全的教育訓練課程,在中山網路大學平台提供線上的電腦鑑識教育訓練課程,課程的設計是以電腦鑑識所需的相關觀念及技術為主,並佐以鑑識工具的使用及個案練習等方式,加強學員對於電腦鑑識領域的認識,並進一步使用相關工具來調查資安事件及蒐集事件發生後的數位證據,課程主要分成三大部分:
1. 電腦鑑識簡介與相關概念
介紹電腦鑑識領域的相關觀念,包含電腦鑑識歷史、數位證據、電腦鑑識原則、電腦鑑識進行時司法人員、技術人員及非技術人員所扮演之角色,使學員能夠了解電腦鑑識的相關工作程序及進行時該注意事項、數位證據從何而來,哪些是可能的嫌犯等。
2. 電腦鑑識相關技巧及工具
這個部份的課程則是深入說明進行電腦鑑識可能使用的相關觀念、技巧,並透過操作在現場的鑑識及實驗室鑑識分析所需使用的各類工具,來訓練學員們依據不同的鑑識個案選用適當的工具,我們將電腦鑑識的相關工具整理分類為八類,說明如下:
(1) 磁碟處理與鏡像檔製作工具:我們要將儲存在儲存設備的證據析離出來,首先要了解儲存設備的特性,而這些儲存設備,通常以硬式磁碟機為主,所以我們需先了解硬碟的相關資訊,包含磁柱、磁區數量、磁碟容量、分割區、使用的檔案系統等,蒐集這些資訊事件是處理磁碟前首要的工作,以決定使用適當的工具,避免錯誤操作而導致重要證據損毀。
(2) 壓縮與加、解密工具:進行電腦鑑識時,不論到達現場逮捕嫌疑犯或是分析案例複本時,都難免會遇到壓縮或是經過加密保護的資訊、檔案等,此時,除了對於壓縮或加、解密技術要有所了解外,也應該善用相關的工具程式來幫助鑑識工作的進行。
(3) 隱藏資訊探勘工具:隱藏資訊的技術與方法種類繁多,包括改變檔名到利用編碼方式將資訊隱藏在多媒體檔案中等,這些技術與方法常會被犯罪者用以隱藏其犯罪證據。而隱藏資訊探勘工具就是為了找出這類被刻意隱藏起來的資訊。另一層意義是找出被自動或無意中遺留下的隱藏資訊,如:殘存檔案(Slack File)、SWAP檔案等。

(4) 惡意程式碼鑑識工具:所謂的惡意程式,泛指會對系統造成破壞或達到入侵目的之程式指令,如:後門程式、病毒、竊聽程式等。找出系統中的惡意程式,可以幫助釐清相關責任與了解犯罪者之意圖,我們將相關的工具程式分成兩類,一為病毒掃描程式,掃描潛藏在主機中的電腦病毒程式,另一類為後門檢查程式,用以檢測常見的後門程式。
(5) 監看與檢視工具:監看與檢視工具的目的有二:一為監看網路的流量與傳輸的內容,在鑑識時,有些未知的程式,可能會傳送特定的資訊或是封包至網路上,透過監看網路的流量與傳輸的內容可以了解這些程式的作用,而在犯罪現場進行鑑識時,監看網路的流量與傳輸的內容更是必須的,這樣的動作可以了解犯罪者透過網路做了什麼,而監看到的內容亦可能成為重要的證據。相關的監看工具有封包擷取程式Sniffer、Network-based IDS等,如:TCPDUMP、DSniffer、Snort等。另一個為監看與檢視受害者電腦或是犯罪現場電腦執行中的程序、記憶體片段等,監看與檢視這些變動及電力中斷就會消失的程序與資訊,並將之擷取、傾印,是現場鑑識時的重要步驟。相關的工具有程序列示程式、記憶體Dump程式等,如:ps、plist等。
(6) 資訊搜尋工具:由於儲存空間的增加,相對地,儲存在案例電腦中或網路上的資訊量亦相當龐大,在鑑識的過程中,我們必須找出相關的證據,而面對如此大量的資訊或檔案,我們藉助相關的搜尋工具來尋找相關的證據。作業系統本身大都會提供相關的搜尋工具,如:find、grep等,還有其他較為專業的搜尋工具,提供更快速及更有效率的功能,在大量的資訊或檔案中搜尋關鍵字。更甚者,可以搜尋特定格式的資料庫檔案,如:dtsearch。
(7) 安全性工具:部份的安全性工具,除了輔助資訊安全外,亦可用於鑑識時輔助鑑識人員分析相關的資訊,如:分析Log的軟體工具幫助分析Log紀錄檔、網路流量圖表工具幫助分析鑑識時網路流量、弱點掃描工具可用以解析受害主機弱點等。最為重要的當然就是透過這些安全性工具所留下的稽核紀錄日誌了,這些是分析相關證據的重要來源。
(8) 整合性工具:整合性工具包含前面各類工具的部分或全部功能,工具開發者將其整合成相同的操作介面或自動化的分析程序,可以讓鑑識人員快速、有效率地進行鑑識工作。如:Encase、TCT、ForensicX等。
3. 應用層面 應用層面的部份則是著重在資安事件發生後的處理,如何在復原與鑑識分析孰先孰後的抉擇中取得平衡,說明電腦鑑識並非只使用在犯罪的偵查中,同時也可應用在保險調查及安全政策檢視等。 透過課程的講解及帶領學員們進行相關工具的練習,除使學員能夠理解電腦鑑識相關工作的進行原則與程序外,並能夠有動手實做的能力,運用各類的工具來保存相關的數位證據,為電腦鑑識領域孕育人才及埋下未來發展的種子。相信大家都同意,唯有良好的教育訓練,才能使相關的網路安全工作落實。




結論
目前不論是產、官、學各界都有意願積極投入相關電腦鑑識發展的工作,我們可以預期在不久的將來電腦鑑識領域將更加成長茁壯。隨著資安意識不斷的提高及傳統犯罪轉移至高科技犯罪的同時,可以預見未來商業領域對於電腦鑑識的需求必然相對提高。
相較於歐美國家,其政府部門及司法部門紛紛成立國家級的電腦鑑識實驗室及高科技犯罪的研究中心,同時已經有許多民間單位的電腦鑑識實驗室,並有許多的業者研發及提供電腦鑑識的服務,台灣對於電腦鑑識領域的發展顯然相對落後。世界各國政府已加緊腳步成立了電腦鑑識實驗室來提升鑑識的品質,及加強執法人員之專業訓練,也積極制定了一套適合執法人員之數位證據處理程序,讓其蒐證時能有所依循,我國為了應付嚴重的網路犯罪問題,使執法人員取得的數位證據具有證據能力與證明力,並降低犯罪率,實應優先成立國家級之專責電腦鑑識實驗室及制定完整的數位證據處理程序,並進一步加強產、官、學各界的整合,匯集各方的能量,提升對於電腦鑑識領域的研究與人員的訓練。使得電腦鑑識對於電腦犯罪之偵查有所貢獻,讓犯罪者的犯罪行為被揭發,接受制裁,無辜的嫌犯洗脫罪嫌還予清白,以遏阻電腦犯罪情事之發生,並保障人民的權益。
本文作者現任職於樹德科技大學資管系及台灣電腦網路危機處理暨協調中心 (TWCERT/CC)