https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

證據會說話

2012 / 11 / 19
文/SHON HARRIS 翻譯/路克
證據會說話

2005/02/28   Juju Jiang 被判2年徒刑,因為他在曼哈頓地區的幾台電腦中安裝鍵盤側錄程式,用來收集私人的銀行帳戶與機密資訊,並且盜領他人的財產。

2005/07/14   Allan Eric Carlson 被控參與79起電腦與身份詐欺罪刑,判處2年徒刑。嚴格來說,他是一個心情不好的棒球迷,偽造專欄作家、Fox Sports、ESPN等名義寄送批判費城人隊戰績不彰的電子郵件。

2005/08/12   Scott Levine被控未經授權入侵120台有保護措施的電腦、2起變造電腦相關資訊與妨礙司法罪名。他夥同Snipermail電子郵件代發公司的同事,涉及竊取超過一億筆內含個人敏感資訊的電子郵件。

這些熱門的頭條新聞,間接地促使電腦犯罪鑑識成為資訊安全產業中成長最快的一個多頭市場。電腦鑑識可以幫助執法人員追蹤各種傳統案件,以及為逐年增加的竊取智慧財產案件作為法庭上的呈堂證據,彌補許多案件在傳統辦案方式下礙於法條僵化上的不足之處。

新興的法案,如SOX、SB 1386、GLBA與HIPAA,均要求企業或政府必須實施監測偽造詐欺等行為的控制與稽核等防弊措施。這也是電腦鑑識最廣泛的用途之一,面對電腦網路犯罪逐年增加,以及政府法案逐漸以商業營運為導向出發,也促使更多的組織考慮建構起組織內電腦鑑識的能量。

在你決定要替企業設置一個數位偵探職務之前,你必須對於電腦鑑識有一個正確的認知與了解。

企業內部對於電腦鑑識的需求為何?

首先你必須了解,電腦鑑識與資安事件處理是全然不同的兩回事。然而,企業必須組織事件處理團隊以因應各種非預期的事件發生,並且阻止惡意行為的持續擴散。但是電腦鑑識的目標就不太一樣。

電腦鑑識團隊必須對於電腦技術與科技有相當程度的了解,當然也必須熟悉法規所要求的蒐集、保存與展現證據的規範。電腦鑑識調查員必須能夠在法庭上對其證據做陳述與抗辯。真正的鑑識專家知道,當他們站上證人席的那一刻起,他們的工作專業與名聲就要接受無情的挑戰與檢視。如果他們無法在法庭上適當表現出專業與符合邏輯的陳述,這些證據就不會被採用,當然企業可能因此而鎩羽而歸。組織企業內部電腦鑑識小組應該要包含以下步驟:

小組成員應包含安全、IT、管理、法務、人資與公關等部門成員,並明確賦予這些角色的職責。

明確指出欲採用的電腦鑑識方法為何。包含針對整個事件處理的步驟、驗證方式、如何採集數位樣本、電腦磁碟副本等證據蒐集的步驟,描述事件發生時間的先後次序、電腦媒體與作業系統的分析、資料還原程序以及最後鑑識報告的產出。

鑑別出企業內關鍵的資訊系統,區隔出哪些系統在鑑識調查時不能關機以免對企業產生負面的衝擊。

明確定義出蒐集證據時各階段的保管負責人與程序,也就是所謂的物證管制流程

明確定義出蒐集證據時各種所需的文件格式與標籤。

精確的系統還原標準程序,用以重建受影響的系統與鑑識過程中還原的資料。

明確定義出電腦鑑識小組所使用的軟體工具與硬體設備。


目前市面上已有現成的電腦鑑識軟體工具,可以使調查工作更順利進行。市面上常見的鑑識軟體工具包括EnCase、Access Data Ultimate Toolkit、Helix suite以及Paraben,這些工具除了在還原資料、搜尋關鍵字與瀏覽介面的功能上各有其特色外,其餘電腦鑑識所需的功能則相差無幾。電腦鑑識中很重要的一項工作就是透過不同的工具驗證初步鑑識結果,確保不會有疏漏或不夠精確的情況。
   

鑑識工具
Guidance Software''s EnCase

Guidance Software的EnCase長久以來在電腦鑑識軟體的市場中都是穩居龍頭寶座,也是執法單位與民間企業最常見的電腦鑑識證據擷取與分析工具。
      EnCase在法庭上具有相當高的接受度,已累積不少個案歷史。它支援不同類型作業系統的證據擷取、檔案系統、儲存媒體,甚至是在運行中的系統進行鑑識。透過「passive agent」可以透過網路擷取運行中系統的磁碟副本,傳送到另一台分析機器上。EnCase提供非常詳盡的報告,明確易懂的文件格式及資訊,深為律師與鑑識專家所推崇。
   EnCase在擷取硬碟副本時,有其專屬的格式,將資料切割為許多小區段,以及透過雜湊函數確保來源磁碟複製到目的端資料的完整性。每個資料區段均有其相對的雜湊值,最後組成一個磁碟鏡射檔,或者分成好幾個檔案儲存在多個媒體上。
   每個資料區段自來源磁碟讀取出來之後,便立即產生其雜湊值,用來驗證目的端的資料是否完整地複製無誤。這樣的好處在於假使有重新擷取磁碟副本時,只要比對其雜湊值,再從來源端讀取雜湊值不符合的區段,如此一來可達到快速重新採樣的功能。每次採樣所需的時間,依證據來源的容量大小而異,可能要好幾個小時甚至好幾天。
   
   在檔案搜尋的功能上,EnCase提供與UNIX 指令grep相似的彈性化介面,方便檢驗者進行搜尋的工作。這樣鑑識人員可以省下許多時間,並且完成其他還原已刪除檔案或逐位元檢視證據的工作。
 EnCase 企業版具備更多附加功能如透過網路擷取磁碟副本等,不過價格可不便宜。


Access Data''s Ultimate Took Kit
AccessData''s Ultimate Tool Kit (UTK)包含密碼破解/回復工具,可以解開常見的加密檔案,還有針對Windows 平台的註冊機碼瀏覽工具(registry viewer)方便鑑識人員檢視這些深藏在系統中的秘密,以及清空磁碟的工具和分散式的密碼破解工具。

       UTK''s領先競爭者的特色在於其資料庫式的資訊架構。當一項磁碟或分割區的副本被匯入時,UTK就針對這個檔案進行掃瞄與建立索引,產生一個案件資料庫。鑑識人員可以針對資料庫進行字串搜尋、重新排序或匯出在磁碟副本中的任何一個檔案,而不需重新掃瞄整個磁碟副本。其他鑑識工具在進行搜尋功能時,可能就得花更多時間在逐位元地重新搜尋,而UTK幾乎可以即時地回應搜尋結果。
       再者,UTK針對所有ASCII與Unicode字串均可進行檢索與匯出。這些資訊可以和密碼回復軟體結合,將這些證據中的文字做成破解用的字典檔。UTK的密碼回復工具可以解開Microsoft NTFS-EFS、ZIP檔、Microsoft Office、NTLM與PDF檔等,許多常拿來當證據的加密檔案格式。
       AccessData''s Forensic Tool Kit (FTK)是UTK中最主要的工具,已經逐漸為執法人員與民間企業所接受,其處理電子郵件證據的功能可以說是相當優秀,尤其是電子郵件已經逐漸成為電腦犯罪判決的關鍵證物,FTK? 可以迅速地從磁碟影像中過濾出所有的電子郵件,擷取出郵件中所包含的影像檔以及可供檢索的資訊,這是鑑識工具中首屈一指的分析功能。同時,FTK也可以產生一份圖文並茂的完整鑑識報告。

FTK的特色在於其案件為導向的設計,從證據擷取到完成鑑識分析均在其案件管理的設計中,值得一提的是,FTK還可以過濾並彙整鑑識結果,輸出成一片可自動播放的光碟片。

e-fense''s Helix
e-fense的 Helix是Drew Fahey所開發的一套開放原始碼的Live-Linux光碟套件,以Knoppix套件作為其發展的基礎平台並整合針對特定的電腦鑑識工具。包括資料復原與數位證據分析工具,可針對運行中或已關機的系統進行分析,因為他是Linux平台的產物,當然支援Ext2/Ext3的檔案系統,以及支援一些比較少見的ReiserFS、JFS與XFS檔案系統。

       Helix跟其他Linux live光碟不同之處在於它謹守電腦鑑識的原則,不會更動到任何目標系統硬碟中的資訊,而其他的Linux live光碟在開機時必須借用硬碟空間作為swap分割區使用,這樣勢必會動到硬碟上的資訊。Helix不會掛載任何硬碟上面的分割區,而且是以唯讀模式開啟硬碟上的資訊,為的就是要保存所謂的檔案MAC(變更、存取與建立時間)與避免使檔案索引資料有所變動而破壞證據的完整性。所以,透過Helix進行磁碟副本採樣可以不需搭配其他的硬體式防寫工具。
   
       Helix也可以在運行中的Windows系統裡使用,透過Helix所提供的工具擷取記憶體中的資訊,並儲存於其他的媒體中。
       Helix的工具中包括:dd(二進位資料的轉錄工具,可用於製作磁碟副本或資料串流),這些都是開放原始碼社群的產物,經過開放原始碼社群的嚴格檢視,這些工具的功能與安全性是可以信賴的。Helix工具組可以在運行中的Linux系統中執行,也可以透過Cygwin環境在運行中的Windows中執行。
      
       在Helix工具中值得一提的是Sleuth-kit這套工具,以及其圖形介面下的Autopsy Browser,兩者提供與商業軟體旗鼓相當的圖形化分析平台。
       Helix是一套免費的工具,相對的它在技術支援與需要修正程式問題時不是很方便。然而,Helix目前在法庭上援用的案例較少,也許是Helix推出時間不夠長的緣故。

事後檢討
當鑑識小組透過合適的工具完成事件鑑識或犯罪調查工作之後,最重要的檢討工作是不可少的,必須要檢視整個鑑識過程中哪些程序是正確的、哪些是沒做好的。對於後續鑑識案件工作會有很大的幫助。
   鑑識小組必須將曾經遭遇的問題提出,再透過額外的教育訓練或工具去解決未來可能會遭遇到的問題,包括各種資料復原、新發佈的系統弱點以及企業法規變更對鑑識工作的影響等。

根據鑑識小組所提出的事件損害評估報告,企業必須決定是否進入法律程序,提交法庭審理。而鑑識小組要做的就是在錯綜複雜的科技犯罪環境中抽絲剝繭地讓證據說話。

取決點究竟是競爭者所為還是一般追求刺激的駭客呢?如果你花錢請律師控告身無分文的年輕駭客,對公司而言似乎不是一個好的策略。因此,了解你面對的犯罪者類型,再決定企業該採取何種行動,這是個很重要的議題。

結合內外鑑識團隊截長補短
結合內部鑑識人力與第三方顧問,通常是一個不錯的合作模式。內部鑑識小組完成調查與證據的蒐集,找出案件的關鍵證據。外部顧問負責驗證整個調查程序正確無誤,在法庭上證明所有證物都被妥善地保管。當然,內部鑑識小組對於企業內的運作較為熟悉,包括營運模式與系統需求,而外部顧問對於各種型態的犯罪模式有一定程度的了解,結合內外鑑識團隊的優勢可以得到較佳的鑑識處理結果。