https://www.informationsecurity.com.tw/seminar/2024_HighTech/
https://www.informationsecurity.com.tw/seminar/2024_HighTech/

觀點

缺乏數位鑑識認知 小心淹滅寶貴證據

2013 / 04 / 09
賴左罕
缺乏數位鑑識認知  小心淹滅寶貴證據

隨著2012年政府公布實施個人資料保護法,數位鑑識這個經過多年奮戰的新興產業市場,終於來到了一個戰國時代,一個開始被政府及企業所重視的時代。因為個資法中要求資料保管人在發生資料外洩事件時,必須要擔負起舉證的基本責任,來證明其已做到善盡保管個人資料之責,但是由於大部份企業並沒有具備對數位鑑識及數位證據明確的基本認知,更不要提到具有蒐集、處理或分析數位證據的能力,於是在面對資安事件發生時的應對及個資法基本規範時,將會面臨更重大的挑戰。

企業在面臨資安事件處理及數位鑑識需求時,可就以下兩大方向去考慮,培育企業內部數位鑑識調查人才或尋求外部數位鑑識服務廠商,接下來我將針對其各有何差異來做探討。

培養內部鑑識人員 or 尋找外部專業服務

企業內部數位鑑識人員的功能角色:

企業內部數位鑑識能量的培育,可以從不同的功能角色來討論,由於各企業的文化及其規模不同,並不是所有企業都具備以下各種人員,但希望不久的將來,可以看到企業具備以下完整的人才: 

一、系統管理員:

兼職數位鑑識人員,具備對數位證據的正確觀念,有基本的數位鑑識蒐證能力,可以透過參加數位鑑識教育訓練課程及專業認證來提昇其能力,主要的職務是在資安事件發生時,能成為協助數位鑑識蒐證的第一線人員,並做為一個面對外部數位鑑識廠商或檢警調查單位配合蒐證的窗口。

二、 數位鑑識人員:

專職數位鑑識人員,具備數年專業實務的數位鑑識蒐證分析能力,並透過參加數位鑑識教育訓練課程及專業認證來不斷提昇其專業能力,主要的職務是進行數位證據蒐集、分析、及調查,並提供數位鑑識分析報告給主管、客戶或是檢警調查單位。 

三、法務人員:

需具備基本的數位證據觀念及科技相關法律知識,了解數位鑑識及數位證據的法規及蒐證程序,主要的職務是從法律角度去了解,當資安事件發生時,什麼樣的數位證據對事件調查及處理有幫助,什麼樣的蒐證程序及數位證據是可以被法律接受,以及如何和檢警調查單位配合調查

企業內部數位鑑識人員的專業技能:

了解企業數位鑑識人員的功能角色後,接下來則要知道這些人應該具備什麼樣的專業、技術或能力,以應對日新月異的資安攻擊事件調查及數位鑑識蒐證。

一、數位證據觀念
電腦資料的特性是很容易被編輯、修改、複製、及刪除,因此要保護這樣的數位證據必需採取非常審慎及嚴謹的程序,確保所蒐集的數位證據沒有被有意或無意的破壞或改變,參考國內外的專業標準是一個很好的起點,例如:台灣個人資料保護法、英國The Association of Chief Police Officers (ACPO) Good Practice Guide for Computer-Based Electronic Evidence,以及美國Federal Rules of Evidence 和Federal Rules of Civil Procedure,教育企業員工正確數位鑑識觀念是非常有效的作法。 

二、數位鑑識蒐證技術
數位鑑識技術主要可以區分為以下各技術領域,若能熟悉各領域將會有更大的幫助,因為各領域是相輔相成的:

1. 電腦和手機鑑識:熟練專業電腦鑑識軟體,例如:SANS SIFT、EnCase、 FTK、X-Way Forensics、The Sleuth Kit等,至於手機鑑識軟體則有:Cellebrite Mobile Forensics、Paraben Device Seizure、XRY、 Oxygen Forensic Suite、Elcomesoft iOS Forensic Toolkit等。
2. 網路架構及通訊協定:TCP/IP、HTTP、DNS、DHCP、SMTP、Proxy 等。
3. 作業系統:Windows、Mac OS X、Linux、Unix、iOS、Android等。
4. 資訊安全:防火牆、入侵偵測系統、密碼學、網路及系統安全滲透測試、惡意程式分析等。
5. 程式語言:EnScript、Perl Script、 Python Scripts等。

以上所列為較常見的產品,並無幫各產品公司打廣告或背書意圖。這些資訊及技術可以幫助企業主管去評估,需要針對那些方面去培訓其系統管理員或是雇用專業鑑識人員。內部鑑識人員可以做到的是,在資安事件發生第一時間抵達現場,以數位鑑識標準程序進行初步蒐證、證據保存、記錄所有事件發生的細節及時間,以協助日後檢警調查單位或法律訴訟需求時,可以提出做為進一步的分析或是上法庭的呈堂證供。

由於培訓人才需要花費時間、成本及累積實務工作經驗,許多企業並沒有這樣的時間及經費來投資,因為投資報酬率並不划算,再加上某些特殊情況,使得企業會考慮雇用外部專業數位鑑識服務廠商。舉例來說,企業遇到法律訴訟案時,內部數位鑑識人員所蒐證及分析的證據被控方質疑不客觀公正、有作假之嫌,這時採用外部第三方廠商的服務,確保評鑑結果的公正性,便可以達到避嫌的作用。

三、外部數位鑑識服務廠商

雇用外部數位鑑識服務廠商,要注意提供服務的廠商是否有能力提供所承諾的服務,除了從實務技術經驗、專業認證、業績及業界名聲外,還可以向其提供過服務的客戶詢問雇用經驗。

如果企業並沒有建置自己內部的數位鑑識人員,那對外尋求專業服務廠商則是一個可以控制風險的決策,因為一旦上法庭,如果缺乏有力的證據而導致敗訴,那企業所面臨的風險將難以控制。

接下來我將舉一個我所分析過的真實案例,來說明專業數位鑑識服務顧問是非常重要的,它將是一個案子決定出庭成敗的關鍵。


從案例看數位蒐證的重要 - 網路小點心(Internet Cookie)

Case Study

某個星期一早上,我接到律師打來的詢問電話,他手上有個案子在星期五要出庭(當時只剩不到5天的時間),案主是一家企業要控告某名離職員工,在上班時間違反公司資訊安全政策,利用公司電腦存取成人網站,但該名員工反駁說他沒有上成人網站,而是因為電腦中毒,導致成人網站的廣告視窗自動彈出。

 

數位鑑識需求

這名律師手上有一份Internet Cookie 檔案的清單,Cookie 檔案是在使用者透過瀏覽器存取網站時,由網站伺服器主動傳送至個人電腦中,它的內容記錄了使用者瀏覽該網站的個人喜好設定,由於Cookie 檔案的檔名含有部份網站網域名稱,因此從檔名便可看出有很多網域名稱是成人網站。

他另外還說客戶在使用這名離職員工電腦時,在IE瀏覽器網域網址時,還沒輸入完成,就自動列出一些成人網站的網域名稱,所以他很確定這名離職員工一定有用公司電腦存取成人網站。

他希望我可以從這些 Cookie 檔案的檔名分辨出,哪個網站是使用者手動存取的網站,哪個網站是自動跳出的廣告視窗造成的,然後出一份電腦鑑識專家證人報告說明我所分析的事實,並且證明這位員工在上班時間上成人網站,而且這些成人網站不是自動跳出的廣告,而是人為手動存取,以便他可以拿我出的報告到法院出庭訴訟。

數位鑑識作業評估

我回答這位律師,我要先看看這份 Cookie 清單,然後我還需要他目前所有蒐集到的數位證據,這樣我才可以做進一步的分析確認,以便我出鑑證報告,於是他把他手上有的數位證據用電子郵件寄給我參考,5分鐘後,我收到一封夾帶2個PDF檔案的電子郵件,一個是Microsoft Windows XP 檔案總管的畫面截圖,畫面上看到許多 Cookie 檔案,而其檔名的確有很多是成人網站的網域名稱。 第二個PDF檔是 Microsoft Internet Explorer (IE)自動秀出完整網址的下拉畫面的截圖。

由於律師所提供的這兩個PDF檔都是畫面截圖,於是我向律師詢問:可以給我一份這些 Cookie 檔案嗎?
律師回答:我們沒有Cookie檔案。
我又請問:沒有? 那可以給我一份這台電腦的鑑識映像檔 (Forensic Image)嗎?
律師回答:我們沒有鑑識映像檔。
我又請問:也沒有? 那請問你有什麼證據可以給我分析?
律師回答:我己經把我們所有的證據都給你了。
我又請問:你是說,這2張畫面截圖就是你們 ”所有”的證據?!
律師回答:是的,這樣不足夠嗎?你已經很明顯地看到他有上成人網站了,因為可以看到成人網站的網域網址啊!


我無語中……。只好耐心跟律師溝通,我告訴他,這個案子如果只用這兩張截圖是不可能勝訴的,而且僅靠這兩張截圖,我也沒有辦法證明哪個網站是手動存取,哪個網站是自動跳出的廣告,唯一方法是拿到這個員工原來使用的那台電腦,然後做一份鑑識映像檔,再對其進行分析。

沒想到,律師又語出驚人了。他說,可是那台電腦已經在6個月前就交給接手工作的另一名員工繼續使用了,而且他每天都在用。

我,再次無語中……。於是我又告訴律師,這樣好了,我還是可以去看看那台電腦,看是不是還有機會把之前的資料或證據找出來救回來,如果找不出來那至少也盡力了,如果找得到就可以開始進行鑑識分析。

蒐證與鑑識分析的過程

來到客戶公司現場,看到電腦後開始 image,Image完成之後檢視證據,發現接手電腦的那位新員工,不只接手了被告的電腦,還接手了被告的使用者帳號及密碼,也訧是說新員工繼續使用之前那位員工的帳號密碼!!! 

看來所有現在存在的資料都不能使用了,包括瀏覽器歷史記錄(Internet History)及Cookie 檔案,於是我轉向所有已經被刪除的瀏覽器歷史記錄及Cookie檔案,開始進行資料復原工作 (Data Recovery)。因為即將要出庭所以時間很有限,我只剩2天時間要完成鑑識報告,還要發給律師審核,律師還要在出庭前送進法院給法官。

我利用已知 Cookie 檔案中的一些成人網域名稱,及瀏覽器歷史記錄檔案的特徵檔頭做為關鍵字,搜尋整個硬碟中空白的空間(Unallocated Space),把所有已被刪除的瀏覽器歷史記錄檔救了一大部份回來,總共救回兩年多以來的記錄,再利用時間軸的表現方式,排列出事件時間的先後順序,再以這名員工在職及離職日期進行時間過濾,經過兩天馬不停蹄的分析,我終於完成報告了。

本案爭議點

就這個案件來看,主要爭議點共有以下3點:
1、如何證明這個員工就是這個使用者帳號的使用人?
2、是否有成人網站在上班時間被存取?
3、如何證明這些成人網站是使用者手動存取,而不是自動跳出的廣告視窗?

我以時間軸方式表現出所有的網站瀏覽歷史記錄,並在報告中清楚顯示出這位員工每週使用電腦網路的習慣。他每天早上到公司會先收電子郵件,使用網頁方式登入信箱看了20~30分鐘後,就會同時開啟另一個網頁,進入一個成人論壇的網站,由於是成人內容,所以論壇會要求使用者回答確認是否年滿18歲以上,於是他點了YES然後進入這個成人論壇,開始瀏覽各個不同的成人討論主題,不同主題提供不同網址可以連結到外部其它的成人網站,他會跟著外部連結到其它的成人網站繼續瀏覽,再把影片下載至電腦中觀看,或是搜尋其他感興趣的成人內容。我同時也把他所下載回來的影片檔救回來分析,在瀏覽成人論壇期間,他還會切換回去電子郵件信箱去看信及回信,他每個星期幾乎有3~4天都在上成人網站,持續長達1年以上,而這一連串的網路活動就證明了上述3點爭議,說明如下。

1、如何證明這個員工就是這個使用者帳號的使用人?
答:因為他在存取成人網站的同時,也在存取他個人的電子郵件及信箱。

2、是否有成人網站在上班時間被存取?
答:是,而且非常多,以時間軸來看,其存取成人網站的頻率是每天持續好幾個小時。

3、如何證明這些成人網站是使用者手動存取,而不是自動跳出的廣告視窗?
答:第一,因為使用者在存取成人論壇網站時,必需手動選定年滿18歲以上才可進入。第二,使用者是以選定某一討論主題的方式去存取觀看,而不是每個主題都存取。第三,使用者自成人論壇連結到外部第三方成人網站後,還在該網站進行主題內容搜索,而且所使用的關鍵字相當雷同,然後再一一存取觀看所列出的結果。第四,每個主題及外部網站所停駐時間都有數分鐘以上,顯示使用者在觀看該網頁內容,若是自動彈跳的廣告視窗,通常會在幾秒內就己經存取數十個網站。

依照我所分析出的數位證據及鑑識報告,這位被告員工知道他已經無法再辯駁是自動跳出的成人廣告,於是就在出庭前俯首認罪。

從以上案例我們可以理解到,如果企業對數位證據保存管理的重要性沒有明確認知,那就很可能會犯與這個案例相同的錯誤,把涉及法律訟訴員工的電腦,未經數位證據保存過程就轉發給其它員工繼續使用。我們還可以看到企業在選擇數位鑑識服務廠商時,如果不對其專業能力做進一步驗證,很有可能會選到一個能力不足的服務廠商,造成官司訴訟失敗,財務及名譽都受到重大的影響。

所以在個人資料保護法的規範下,企業如何培養對數位鑑識及數位證據的清楚認識,將是一個非常重要的課題。