全世界都在下的一場雨之（三）讓網路犯罪無所遁形

案例發生在春節假期前後的某一家大廠：假期過後的第一天上班日，當大夥都還沉醉在過節的歡樂回憶時，業務部門助理的思緒圍繞在一封除夕夜在部門網站留言板上留下的訊息，這個網站是為了業務人員在外面作業時方便存取部門內部資料而設立的，留言版則是業務間共享訊息的空間，首頁提供了相當多的介面服務，供業務搜尋後端資料庫中的產品價格與相關產品設計訊息等資料。留言板中除了業務們相互道賀的訊息之外，有一篇留言寫道：「這個網站好像有漏洞，同時間密碼似乎有問題，請告訴網站管理員修復」；這篇沒有署名的留言很快地便轉送到網站的負責人手上，負責人以為是某個好心的同仁發現作業系統的新漏洞，於是就刪除這條留言，並對伺服器作業系統執行修正程式檢查，重新安裝升級修正程式，完成更嚴謹的安全設定並且把一般使用者的密碼，全部更新為符合標準長度的密碼，爾後告知公司資訊中心的管理人員，資訊中心的人員也認為處理正確；僅增加對這個網段的側錄，用來確認有無疏忽或未補強的地方，幾天之後，由於相關設備並無異狀，漸漸大夥也就淡忘了這個事件。
    
數週後，助理周末加班時發現更令人訝異的事情，主要研發部門的設計資料庫遭人惡意刪除、資料不翼而飛；這次資訊中心很快的接手處理，直覺地判斷是遭不知名人士入侵，緊急處理的方式從用各家掃毒軟體、作業系統本身提供的修正程式、稽核工具，到坊間看得到的弱點掃描工具通通都用上了，但是並沒有發現任何可疑之處。

無奈與慌張之餘，稽核人員才想起這個網段的側錄紀錄，趕緊調閱上次才架設的網路鑑識分析系統紀錄；當初架設的目的只是進行簡單的流量分析，沒想到重建這段時間的行為模式發現，伺服器與資料庫在異常時間內曾有數次搜尋與存取動作，分析其網路行為赫然發現有內部員工利用側錄程式、數種通道與傳輸工具進行存取，這些管道讓非法使用者得以記錄管理中心上次應變時所變更過的密碼組合，並以合法身分、權限進行存取並將重要資料外洩；同時間調閱防火牆存取與入侵偵測紀錄，針對關連性及還原的資料證實，禍首是與業務部門無關的支援工程師。

什麼是電腦犯罪

在討論確切的網路與電腦鑑識之前，我們必須先清楚地定義什麼是「電腦犯罪」。「電腦犯罪」的定義，是指一切利用電腦犯下的違法行為，例如：利用網路刊登色情圖片，散布色情圖片的犯罪行為，或是針對特定電腦進行的密碼破解、植入側錄木馬程式進行資料竊取行為等；哪些是比較常見的電腦犯罪類型呢？根據統計，目前電腦犯罪案件的件數數量最多的案件，前幾名依序分別為竊盜、未成年性交易、詐欺與妨害風化。在這四項電腦犯罪行為當中，其中竊盜與詐欺大多與虛擬寶物竊盜以及詐騙電腦使用者個人隱私資料有關，性交易部分以網路援交為大宗；而妨害風化的案件則多為販賣色情光碟。

什麼是電腦網路鑑識
大多數的使用者可能會質疑，已經架設了這麼多資安設備，為什麼仍無法及時發現與舉證電腦犯罪行為，其實如果依照安全產品的功能描述，已經採用單一或是多重防禦技術方案的企業，安全性應該在一定水準之上，管理者可以高枕無憂；然而事實並非如此！網路管理者早已經被防禦機制所產出的報表淹沒，他們被迫只能單向地接受產出的報表，而放棄深入探索事件背後真相的機會與能力；導致無法第一時間遏止電腦犯罪，資安人員也因層出不窮的資安事件與電腦犯罪事件而焦頭爛額，甚至連事發後想要「重建現場」，企圖了解資料外洩的過程與範圍都有一定程度的困難！

問題出在哪？其實並非這些產品不良、功能不彰或是設定不當，而是入侵攻擊或是洩密的真相往往隱藏在一疊疊的報表之後；可以想像緊握雙手去盛水的模樣，不論雙手握多緊，水仍然會從縫隙中流乾，真實的企業網路環境也是如此。未知因素總讓犯罪行為有機可趁，防禦機制的確攔下了眾多攻擊行為，甚至建置更多層防禦機制也可以確實增加攔阻率，問題是重重防禦下擋得下外侮，卻仍擋不住內賊！
 

隨著電腦網路犯罪問題日益嚴重，面臨層出不窮的科技犯罪，管理者有必要瞭解電腦網路的資安犯罪事件發生時，立即著手標準的作業程序，讓數位證據資料的效力可在法庭上得到認可，因應資訊時代資安事件發生時，追蹤起訴事件嫌疑者的重要判定佐證，與保障正當資訊媒介使用者權益的重要證據來源。資安犯罪事件發生時，除了需遵循一定電腦鑑識步驟，以防止其取得之證據失去法律效力。   

關於鑑識其實嚴格劃分可以區分為網路鑑識與電腦鑑識；簡單來說網路鑑識可視為所有網路的行為採證與分析，如用於網路安全狀況的分析、入侵行為的比對、洩密等，而電腦鑑識則是主機的採證與分析，如毀損硬碟中的資料還原、電腦使用記錄等。合法使用者的行為難以控制外，穿透安全機制的網路攻擊行為更是企業揮之不去的夢靨。因此網路電腦鑑識與行為監控成為在現有防禦技術外，管理者對電腦犯罪的最佳應對之道。

從上述的真實案例看出網路電腦鑑識對這家公司在這個事件反映上的效果，要不是剛好曾經架設這樣的設備，或許要更久、或在發生其他更嚴重的資安事件後，才發現那些存心不良的洩密動作。

鑑識不等於稽核
基本上網路電腦鑑識和一般資安事件蒐集、過濾及分析不同；首先，有心人士的電腦犯罪行為絕對不是偶發性的事件，而是一次成功的犯罪行為。事前應該已有很多徵兆、再者，所有的防禦機制絕對萬無一失嗎？答案其實大家都很清楚；網路電腦鑑識越來越受到重視就在於「證據會說話」，整合網路及資安事件中行為的關聯性，很容易的就會發現隱藏在眾多事件紀錄檔之後真正的證據。所以拿網路行為做基準，從重建現場挖掘電腦犯罪的過程與影響範圍，便是網路電腦鑑識真正的目的。

對管理者來說，大多數依賴防禦機制的警報作判斷的標準。而氾濫資安訊息，不論真實與否都讓絕大多數管理者疲於做出有效判斷。因此資安鑑識應該要做的是別讓管理者在大大小小的資安事件裡昏了頭，應找出真正值得花精力、資源去處理應變的工作。

如何選擇合適的網路鑑識工具

網路電腦鑑識是指數位證據的採證及鑑識的過程。其實網路電腦鑑識與傳統刑事鑑識工作差不多，都著眼於證據的採集及分析。只是網路鑑識的對象是網路上傳輸的電子資料。數位證據有別於一般物理證據的特性，在證據資料的處理上需要協助鑑識工作的好工具，以下為挑選工具需注意的項目：
一、證據收集：採證的過程應詳加紀錄，並且要在不改變或破壞證物的情況下取得證物。同時針對「所有而非主要的網路行為與通訊協定」進行採集。
二、證據保存：針對脆弱的數位證據來說，保存工作相當重要，因為保存不當會降低證物日後的證據力及證明力。因此蒐集的資料必須注意保存資料原貌，同時採集的證據需採用特殊且非偽造命名的方式進行編碼，並紀錄存取環境及控制存取，以防止資料遭到竄改。

三、證據檢驗及分析：必須從蒐集到的證據資料找尋與犯罪相關的證物，包括文字、圖片、檔案等。在取得證據之後，將其行為模式作分類、比對及獨立化，並嘗試與不法行為作連結，以確認嫌犯者的罪行。
四、證據呈現：由於數位證據是抽象的，因此除了說明蒐證的過程裡證物沒有任何改變，確保證物的證據力外，更重要的是透過邏輯與視覺化的方式呈現來證據及其犯罪行為。

許多認為網路電腦鑑識只是被動地事後處理機制，其實不然，以現在的環境而言絕大多數的企業都已部署相當複雜的資安機制，然而這些資安機制產出的記錄檔卻都淪為每月單純的書面報告，而未再深入作關聯性的分析與研究，因此原先主動式防禦機制便逐漸淪為一個個昂貴的報表生產器，徒具主動防禦之名，縱容犯罪行為恣意發生。

正因為如此，鑑識提供的分析方式不僅可以降低事件對公司及組織的衝擊，透過保留完整的證據及重建事件發生的過程，讓電腦犯罪無所遁形，也成為一般企業界最容易入手、也有助於遏止電腦犯罪行為的最佳應對機制。

本文作者現任職於組合國際技術顧問