https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

網路犯罪鑑識探討

2011 / 10 / 21
林士棻
網路犯罪鑑識探討

電腦犯罪(Computer Crime)或稱數位犯罪(Cyber Crime)、網路犯罪,乃是指以電腦為工具或當作犯行目標的犯罪行為。美國CERT/CC組織所提出的電腦犯罪觀察報告中亦指出,雖然有近九成的受訪企業遭遇到電腦犯罪事件,但有八成的企業對此僅採取內部處置措施而已。深究其原因,除了受害程度不高,無須提起告訴的情況以外,有多達五成的原因是由於企業並未有充足的證據或資訊而無法提起告訴,因而僅能採取內部處置解決。

時至今日,無論企業本身是否願意,電腦犯罪的攻擊者往往讓企業需要面對民刑事案件。然而企業往往因著低估了它可能需要依賴數位證據的機會,對此疏於規劃、了解,而造成雖然企業已受到損失,卻因證據不足而無法採取法律途徑的情況。本篇文章將由電腦鑑識與數位證據對企業的幫助、數位證據的意義與特性、電腦鑑識的內容等項做概要介紹,以俾能讓讀者對此有所初步的了解。

 

企業與電腦鑑識-防範未然

大體上一般若是提起「電腦鑑識」一詞,人們多半認為這是僅與司法機關有關的工作,無須對此多加了解。然而在現代社會中,無論企業本身的意願如何、在法律訴訟中扮演的角色為何,在全面資訊化、電腦化的營運環境中,企業可能在很多事件中都會遭遇到需要電腦鑑識或是數位證據的情況。舉例而言像是:
1. 有爭議的交易
2. 員工的非法行為
3. 證明企業確實有依法行事
4. 協助司法調查
5. 對保險公司提出請領保險給付的事實

在諸如此類的情況中,即使這些事情並不盡然已經演變成受媒體關切的電腦犯罪情事,企業依舊可能需要對部門內的電腦系統進行調查。事實上許多需要電腦鑑識與數位證據的情況都不是重大的電腦犯罪事件(例如,客戶資料遭駭客竊取)所引發,而往往是被相對低層次、交易或員工處理失當上所引起,但依舊會使企業蒙受損失的事件引發。
  
在民、刑事的案件中,訴訟結果勝訴與否往往依靠是否能提出有利的證據而定。若是敗訴,除了可能導致財務損失,亦可能造成對企業形象、品牌價值的嚴重影響。因此對於涉及訴訟的情況,電腦鑑識與數位證據的影響更是舉足輕重。然而由於數位證據不僅僅具揮發性(例如,保存於記憶體中的證據關機後即消失),亦極端容易因為不當的處理而被污染。因此若企業本身對於電腦鑑識並未有所了解,不明白該有的原則與處理流程,由企業內部稽核室等部門對企業中電腦系統所進行的鑑識調查往往會因為在最早期所犯下的致命錯誤而失敗或嚴重影響證據的證據力。
這些常見的錯誤包含:
1. 基本的數位證據被忽略
2. 數位證據遭銷毀或被污染
3. 對數位證據進行了不恰當的處理

雖然相對於災難存續計畫而言,數位證據的需求在現今環境中已相當普遍,但僅有相當少數的企業對此有相對應的管理架構來實行有效率、效益且不至於造成過大衝擊(例如,伺服器長時間停機)的調查。除此之外,實際上對部門展開調查也往往造成組織內的恐慌與危機,這些情況都顯示了企業有必要對這方面先行規劃的需求。
  

證據與數位證據

追根究底,電腦鑑識與數位證據之所以需要以相當嚴謹的標準處理,甚至在萃取相關電磁紀錄時需要使用經認證、專業的工具或軟體,乃是由於透過鑑識過程所取出、分析後的數位證據將被用於法庭之上,甚至可能在訴訟中起關鍵性的重要作用。
  
所謂「證據」代表了在訴訟過程中提出,用以證明、或使某一特定的事件觀點得以被法官考量、採納的物件。我國刑事訴訟法第154條規定:「證據是指在刑事訴訟法上具證據能力,並依本法所規定之方法為調查,而能做為認定犯罪事實之基礎者」。此即是說明證據為證明事實,使能明瞭事件原因與過程,亦即證明一件事實之真相究竟是如何。數位證據如同其他在法庭上被採納的證據般,一樣需要具有相同的特性。在法庭上所提出的證據均需要滿足以下三項的要素:可接受性、重要性、延續性。
1. 可接受性
任何可被庭上接受的證據都需要滿足法律上對其可接受性的某些測試,這些測試與基準往往來自於法官由法律或慣例上所認知到的一些方法、機制。

2. 重要性
在證據可被庭上採納後,證據就能被考量它在事實中所佔的比率、權重,也就是在證明事實上的價值。

3. 延續性(證據的保管鏈)
證據的延續性影響他所能敘說任何事的能力。由該證據被採集的那一刻到證據在法庭上被提出為止,都需要被妥善的保管。因此對於證據的處理需要有一套完善的流程,以降低任何可能因刻意或疏忽造成污染、混淆的機會。
  

數位證據的特性

但與一般證據(人證、物證、書證)相較,數位證據的特性造成他在這方面與傳統證據的鑑識上有些許不同。由電腦衍生的證據對法庭與一般鑑識流程都產生了不少挑戰,電腦犯罪案件在證據的採集、分析、保存,以及往後法庭上的呈現都比一般案件困難許多。這些差異處包含:
1. 部份電腦資料具高度揮發性
儲存於記憶體中的數位資料,若在關機前並未自記憶體中萃取至其他儲存媒體上,即有可能因此遺失,無法再次復原。

2. 電腦資料易於被更改且可被完美的複製
由於數位資料的內容(如最後存取日期、最後修改日期等)可能僅因存取即改變,而其內容亦可能在短時間內被修改,且數位資料可被完美的複製出與原始版本無差異的副本。因此在法庭上為求確保數位證據的證據力,鑑識人員需要能保證數位證據的完整性,因此證明所擷取的證據與原始資料相同是很重要的關鍵。這通常會透過雜湊函數(md5、SHA1)或密碼學的技術達成。

3. 蒐集到的證據會因處理過程而被改變
由於有時鑑識過程中為求萃取出隱藏、加密或已被刪除的數位證據,鑑識人員往往會改變數位資料的原始形態。例如 : 還原已被刪除的檔案,由圖片中取出隱藏的訊息等。因此電腦鑑識往往必須以副本進行分析,以求保留原始數位資料的完整性。

4. 電腦資料的可讀性
因為數位資料僅為1與0的組合,因此數位證據往往需要透過專業人員與電腦程式的輔助才能被其他人所理解,因此提高了數位證據在法庭上呈現的困難度。

5. 電腦資料的量可能極大
隨著儲存媒體的容量逐漸增加,單一硬碟中存有的資料可能有數百GB,因此鑑識人員可能需要在成千上萬的檔案中尋找與案件有關的證據,往往可能相當困難。

6. 電腦資料無法個體化
由於數位資料並不像DNA或指紋一般具有獨一性,可供判別一獨特的個體,因此分析數位證據往往難以直接證實嫌犯的身分,需要傳統証據的輔助。

 

電腦鑑識未來發展

即使電腦鑑識發展至今已有約近15年的歷史,其尚待改進、研究的議題依舊有相當多的數量。除此之外,由於進行電腦犯罪的劊客往往是處於技術的前端,可能對此早做防範,甚至以各種技巧「反鑑識」(如,木馬抗辯、攻擊鑑識工具的弱點等),輔以資訊全球化的流通,相關攻擊程式、知識的取得愈來愈簡便。有鑑於此,未來除了尚需更進一步對電腦鑑識的相關領域持續研究跟發展,對於鑑識人員的培訓、鑑識工具的本土化等都是必要的工作。而企業本身也應能對電腦系統的管理人員進行宣導,以俾使在可能的電腦犯罪事件中能盡量妥善保存數位證據,以利企業於訴訟中立於有利位置,不致一昧遭犯罪者攻擊而無法訴求法律途徑反制。如此方得以維護企業與企業客戶的權益,遏阻犯罪事件的發生。