觀點

數位鑑識的挑戰與展望

2005 / 09 / 19
余俊賢
數位鑑識的挑戰與展望

數位鑑識最終的目標,就是提出法庭上有效、可被採納且可靠的證據,成為法官判案的佐證及依據。再者,數位鑑識在一般資安事件管理中,也扮演著決定性的角色,發生資安事件時,過去一般的認知是辨識事件主體、控制事件影響範圍與消弭事件所造成的風險因子,但是在時間與管理階層的壓力下,處理人員往往忽略了如何有效保存證據,供後續追蹤或進入法律程序訴訟之用。
數位鑑識範疇與程序
當然,數位鑑識所涵蓋的範圍不單單僅限於電腦鑑識、網路鑑識,凡是以數位方式儲存的相關設施都包含在數位鑑識的領域中,包括:電腦、網路設備、PDA、手機、數位相機、記憶卡,甚至是一張停車場的IC卡票。

數位鑑識程序,大抵上可以區分為規劃準備、證物蒐集、證物檢驗與結論驗證四個階段,在每一階段中均包含各項達成階段目標的細部程序。

規劃準備階段
本階段可分為:建立數位鑑識觀念、擬定鑑識計畫、取得上級支持與授權、取得與建立數位鑑識能量。本階段主要目標為建立一套適用、可行的數位鑑識計畫,在充分獲得主管和內部稽核部門的授權之下,籌建組織的數位鑑識環境與識能。
證物蒐集階段
一旦發生資安事件或其他涉及數位鑑識蒐證的案件,就必須依鑑識計畫內容,動員事件處理團隊開始進入證物蒐集階段。本階段可以分為:通報與知會被搜索主體,搜索及辨識證物、識別出相關可疑證物、對所有可疑證物蒐集、採樣並做好運送準備、運送可疑證物至安全處及可疑證物的保存。

在這個階段中,文件的簽署和保存現場狀態的攝影是非常重要的工作,證物蒐集的活動是環環相扣的,主要目標是確保獲得有用的證物,並且能夠在這一系列的程序中,證實經由證物所有人到送至安全的儲存場所的過程,證物均受到專責人員的保管,未受外力影響而變更證物的內容,影響鑑識結果。在通報與知會被搜索主體方面,可依案件情節斟酌其必要性。

證物檢驗階段
數位證物(digital evidence)經過搜索、蒐集、運送、儲存後,將由合格的數位鑑識專家,分組進行鑑識工作。本階段工作項目包含:分類、比對、檢驗、分析結果、現場重建,並透過各種假設,逐一檢驗分析。最後產生鑑識分析報告。在這個階段中,著重鑑識的程序,必須在合適的環境中進行,遵循鑑識標準作業程序,避免破壞證物內容,影響鑑識結果。相對於鑑識工具與設備,已經逐漸成熟,要訓練出具備足夠鑑識能力的專家,是目前較弱的一環,也是數位鑑識工作中最大的挑戰之一。

結論驗證階段 數位鑑識最終目標是提供法庭上可用的有效證據。因此,在本階段中強調的是,如何展現數位鑑識的結果。細部程序包含:報告撰寫、知會管理階層、呈現及簡報、驗證鑑識結果、法庭詰問與反詰問準備、案件建檔與學習。

整個鑑識程序中,必須要求所有相關過程都要留下文件及簽署記錄,因為文件化的過程中,可以將整個鑑識程序從蒐證、檢驗分析到結果產出,這些環環相扣的流程串起來,減少人為疏失,在法庭上也不易被挑戰質疑。

最後,必須以合適的方法呈現,包括書面報告與口頭簡報方式。嚴謹的數位鑑識程序,必須由第二甚至第三組人員進行結果的驗證,找出不合理與疏漏之處。數位鑑識專家在法庭上不一定也是法律專家,因此要充分訓練如何應對法庭上的詰問與反詰問,才足以擔任專家證人。案件結束後,必須依機密等級將資料建檔、分類儲存,並且檢討整個案件的過程,針對程序面、實務面、技術面作回顧與小組間的分享與學習。

數位鑑識所面臨的挑戰
規劃準備階段
標準程序:在國內外的期刊文章中,針對數位鑑識的議題,常常有人出來疾呼,「我們必須要建立一套標準鑑識程序 (SOP)」,卻不見有任何一套可作為圭臬的標準程序出現。原因無他,數位鑑識所涉及的範圍非常廣,要找到可以涵蓋這些領域的專家來寫標準作業程序,是一回事,而且要完成一套通用的SOP則又是另外一回事。完成SOP之後,有沒有足夠的專業人員來執行,整個大環境夠不夠成熟,也是值得大家深思的問題。

法庭接受度:回到數位鑑識的原始目的,就是要找出法庭上可用的證據。當鑑識專家完成鑑識報告之後,要如何讓證據來說話呢﹖一般來說,目前法律界對於電腦犯罪還停留在實體世界的法律條文上,平心而論無法真正在法庭上重現虛擬世界的真面目,更遑論鑑識報告中一堆專有名詞。如果鑑識報告的內容還停留在技術報告的形式上,要成為最佳證據則還有待努力。

專家培訓與證照制度:數位鑑識是一項高度知識密集的工作。數位鑑識專家的識能,必須涵蓋作業系統、網路、軟硬體設施、數位鑑識作業程序及法律議題,因此訓練課程必須針對已經具備基礎的人員,而訓練時數及實作時數必須採高規格、高標準。數位鑑識專家的培訓可透過專業證照制度來完成,目前相關證照包括 GCFA(GIAC Certified Forensics Analyst)、CHFI(Computer Hacking Forensic Investigation)、CFCE(Certified Forensics Computer Examiner)、CCE(Certified Computer Examiner)等,然而在法庭上是否採納專業證照制度作為專家證人的資格審核標準,目前尚未有定論。

證物蒐集階段
現場凌亂保持不易:就駭客入侵的鑑識而言,因為現在網路上的病毒、蠕蟲等惡意程式,充斥整個網際網路,一台在網路上的電腦會遭到入侵,表示其中必存在一些漏洞,而病毒與蠕蟲同樣也會從這些漏洞進入受害機器。在鑑識檢驗時,必須要面對很凌亂的檢體,同時也必須能夠區分、辨識出人為及非人為的操作結果。進行網路鑑識時,可很會收到許多不同的「雜訊」,增加鑑識上的困難度。

不同的作業系統及軟硬體介面:現在的作業系統種類繁多,大抵上可分為 Windows、Unix、MAC OS 三大陣營,加上不同的數位裝置,如:PDA、手機等,均有其專屬的作業系統,要找到一個單一作業系統的專家不難,但是數位鑑識人員必須熟悉各種作業系統的組態和結構,則不是短期間可以訓練出來的。再者,各種不同的硬體,在採證取樣時,鑑識人員必須搭配不同的硬體介面或轉接頭,檢驗樣本時,鑑識電腦是否有合適的介面可以轉接,這也是在鑑識設備採購上必須考量的。

獲取活體資訊:有時候最重要的關鍵物證,就在電腦還是運行狀態下才有辦法採集,一但關機或拔掉網路插頭,這些資料就會喪失。常見的狀況就是記憶體中的資訊,可能還保存著重要的程序,以及其運行時間;如果進行電腦鑑識時,剛好疑犯正在從網路連線進入,如果貿然拔除網路線,是否會毀損連線資訊、喪失更有利的證據或打草驚蛇﹖如果不拔線,疑犯是否會銷毀、破壞一些關鍵證物呢﹖這是一個值得深思的問題。

證物容量:現在的儲存裝置容量,已經隨科技的進步不斷成長。面對幾百GB的鑑識樣本是常有的事,何況是伺服器上動輒上TB的設備容量,進行鑑識採樣時,要如何建立如此大容量的樣本,是否具備足夠的載體可容納﹖當電腦提供重要服務無法下線時,要如何採樣、花多少時間採樣﹖這才是證物蒐集令人傷透腦筋的問題。

證物檢驗階段
檔案格式與檔案復原(Recovery)﹕在數位鑑識的檢驗過程中,最重要的工作項目之一,就是從已經刪除、格式化的檔案系統中,回復原有資料。必須要藉助各種檔案復原工具,根據檔案系統的檔案目錄,以及各種檔案格式的標頭(header)資料,從儲存媒體的磁區中還原檔案,回復檔案的原貌。包括FAT、FAT32、NTFS、EXT2、EXT3等檔案系統,不同的作業系統採用不同的檔案系統與檔案格式,加上檔案被刪除之後,該磁區可能被後續產生的檔案資料覆蓋,造成檔案復原不完整甚至失敗,尤其是在資料量龐大的伺服器上,每日產生的資料很容易就掩蓋各種檔案活動的軌跡。 加密(Encryption):由於近年來加解密演算法已逐漸為商業軟體及電子化商務所採用,如同利刃的兩面,在保護機密性、完整性的同時,也可能被用來保護各種具惡意的程式及資訊。在數位鑑識的過程中,極有可能遭遇到各種已知、未知的加密檔案,要如何利用手邊現成的運算資源在有限時間內進行解密,是值得探討的問題。

隱藏技術:隱藏技術包括將資訊隱藏於檔案中,常見的是圖片、多媒體檔案,稱為stenography或information hiding;另一種則是將檔案或資訊藏於檔案系統的空隙(slice)中,利用檔案系統中磁區與磁區間的間隔,可以將資訊安插於空隙中,規避各種檢驗工具的檢查。

容量:可疑證物的樣本如果容量過於龐大,不論是由自動化鑑識工具或人工檢驗,都需耗費相當多的時間,相對的要從大量資料中找出蛛絲馬跡的難度,也隨之倍增。即使現在的鑑識工具與電腦速度,在功能上已經大大提升,不過遇到大容量的鑑識樣本,也只好多點耐心等待了。

檔案時間(MAC time):MAC表示檔案的更動、存取與建立時間,一個數位鑑識案件中,主重要的主軸就是時間線(timeline),串起前因後果,也是重要的關鍵證據之一。鑑識時,最怕的就是貿然操作,像某些影片中,帥氣的警探破門進入搜索時,找到一台電腦,就開始搜尋電腦檔案東翻西找,殊不知已經破壞重要的關鍵證據 ——檔案時間。目前,網路上也流傳一些工具,可以更動檔案的建立時間,對於數位鑑識而言,無異是雪上加霜!

結論驗證階段

法庭的判例:目前國內已經有多起電腦犯罪、網路駭客的案例,不過真正與數位鑑識有關聯的案例倒是還不夠完整。因此,目前數位鑑識在民、刑事案件中所扮演的角色,處於探索嘗試的階段,等待第一個法庭判例出現後,才能夠更進一步成為慣例。就國外而言,數位鑑識的成果已經是許多案件中不可或缺的關鍵證據,反觀國內還有待努力。

專家證人的採納制度:在法庭上,如何採納專家證人的陳述,專家證人的挑選標準為何?採用專業證照作為挑選標準,或者以學術聲望、地位來衡量之?再一次強調,數位鑑識最終目的就是在法庭上提出證據,因此,如何在法庭上陳述證據所表達的意義,讓法官可清楚了解該證據所代表的意涵,則是數位鑑識後半段必須要完成的工作,如果在法庭上無法清楚陳述,甚至誤導數位證據的真實意涵,數位鑑識工作就只能算作了一半。要記住,數位鑑識專家不是法律專家或法官,只要清楚陳述鑑識結果,不需增添不必要的枝節與意見。

鑑識結果驗證制度:數位鑑識結果可能會牽涉到被告及原告的權利,因此正確的數位鑑識結果可協助破案、讓疑犯俯首認罪,反之,錯誤有所偏頗的數位鑑識結果,是不是有可能讓壞人脫罪呢?所以,當數位鑑識已經要走到法律層面時,相對的鑑識結果驗證及檢驗程序就必須有一套制度存在。包括,檢驗鑑識樣本來源的一致性,避免樣本遭到變更竄改,鑑識結果的符合性,確認鑑識結果中的各項記錄,均可由相同的樣本中獲得驗證。

證據保存時限:對於數位證據的保存期限,目前沒有明確指出需保存多久,一般案件結束之後,除非有後續的訴訟動作,否則數位證據就應該要歸檔保存。隨著儲存媒體的容量倍增,保存數位證據也成了一項消耗資源的工作,在法令未明規範之前,所有的數位證據最好還是妥善保管,有備無患。

數位鑑識展望
在NIST SP 800–72 Guidelines on PDA Forensics提到關於個人數位助理裝置的鑑識工具、方法及程序,正好也給數位鑑識一個具參考價值的範例,從鑑識工具的介紹、各種數位鑑識原則與程序,到探討數位證據的搜索、保存、檢驗及報告的撰寫,可供電腦鑑識及網路鑑識,作為研擬標準鑑識程序上的借鏡。

在數位鑑識工具方面已經逐漸成熟,除了商業軟體之外,也有不少開放原始碼的鑑識工具專案,針對本文所提及的各種數位鑑識挑戰,提供了亟具價值的功能,使得數位鑑識工作不再是一件造輪子的基本功夫,而是整合各種資源與技術的專業工作。

最後還是要強調,數位鑑識是一件高度人力密集的工作,需要具備一定等級的專業背景知識,因此,數位鑑識的訓練絕非一兩週的密集訓練就一蹴可及,訓練課程及專業認證也必須持續維護,隨著科技的不斷翻新,數位鑑識面臨的挑戰也日新月異,數位鑑識人員要不斷地充電、分享心得,才能面對更嚴峻的挑戰。希冀國內在數位鑑識領域能夠有更多專家投入,共同合作建構更完整、更具實務價值的數位鑑識體制。






















透過以下的案例,讓我們了解數位鑑識在資安事件處理上所扮演的角色:
DDoS跳板攻擊案例

A公司的網站遭受大量的封包湧入,懷疑遭受DDoS攻擊。管理人員當下立即聯絡ISP業者,並通報管理階層。經過來源比對分析之後,發現有40%左右的封包是來自於競爭對手B公司的網段,A公司管理階層決定採取行動,先向警察機關備案之後,並徵詢法律顧問的建議採取法律行動。


B公司得到消息之後,要求MIS及網站管理人員立即清查相關電腦,發現公司內部網路及DMZ網段部分伺服器疑似遭到駭客入侵並植入後門程式。最後發現該後門程式為一種知名Bot,駭客可控制大量的被植入Bot的殭屍電腦,進行大規模網路攻擊行為。雖然,B公司在短時間內就將這些有問題的機器處理完畢,但是A公司仍然以商業競爭的角度來看待此事件。B公司僅保留部分防火牆記錄、防毒軟體記錄,而沒有留下一台可作為證物的受害機器。

數位鑑識觀點
B公司應該向警方備案,並聲明遭駭客入侵,利用該公司電腦與網路作為DDoS的攻擊跳板。接著通知ISP先擋下並記錄所有非正常的流量與IP來源,並保存所有相關證物,包括防火牆記錄、IDS記錄、防毒軟體記錄,以及最重要的一點,就是請合格的數位鑑識專家會同法務人員、人資與行政單位人員及執法人員進行證據的保存動作,以便在後續的法律程序中釐清真相。
事件影響
A公司透過法律程序,向B公司提出民事賠償。B公司商譽嚴重受損,連續幾天股價慘跌。嚴格來說,雖然B公司也是受害者,不過因為B公司未勤於管理資訊安全,導致他人權益受損,也得負上連帶責任(downstream
liability)。