觀點

CSI電腦犯罪現場

2007 / 12 / 10
Marcia Savage 譯/夏客
CSI電腦犯罪現場
CSI犯罪現場
種種跡象顯示:大事不妙了!華盛頓醫學中心(UW Medicine)的安全小組在安裝完入侵偵測防禦系統後,他們驚覺有多台機器正嘗試著與在法國的IRC僵屍網路伺服器連線。緊接著,醫學研究機構系統安全師兼任電腦鑑識專家Cindy Jenkins在了解狀況後,便立即從隱匿於可疑活動背後的線索中,展開追緝行動。
此外,她還花上數小時的時間,從被植入攻擊工具的受駭電腦硬碟當中搜尋到幾處疑點,最後得到一個結論:該程式除了rootkit特性外,尚埋藏具有FTP功能的IRC Bot。而且,在以被動式掃描過整個網路後,還發現到更多遭到入侵的系統。所以,為了節省時間,Jenkins動手作了一個hash sets容器-將它當成是惡意程式的數位指紋(digital fingerprints),如此一來,當檢查這些增加出來的影像時,她便可以只搜尋hash sets容器。最後,經她初步的瞭解,系統大約距今18~24個月,甚至是更早之前就已遭到入侵了,也就是在還未裝置IPS和佈署其他安全措施之前就已經發生的事。
華盛頓大學的醫學中心,實際上就是遭到資源獨佔(resource hog)的攻擊,簡言之,也就是攻擊者的目標並非存於系統的資料,而是相中大專院校豐沛的網路速度和巨大的儲存空間,目的為的就是可以拿來分享電影和音樂。但是,隨後Jenkins就發覺還有不對勁的地方-部份事物不符合原先的hash sets,所以,攻擊者不單單只是盜用網路資源,他們還曾經存取過醫學中心的Windows網域密碼。
「當追到這兒時,我幾乎是摒氣凝神,接著便開始釐清整件事情的來龍去脈緒。」Jenkins憶起2005年12月時,令她驚心動魄的發現。
雖然沒有任何證據顯示入侵者已經盜用這些帳號密碼,不過系統上的時戳(time stamps)指出他們曾經存取過的事實。後來,這個案例已隨著Jenkins詳盡的文件記錄,轉交由FBI負責處理。
「電腦鑑識倒還蠻像在撰寫程式,除了要聚精會神之外,還得一面仔細思考推敲。」Jenkins接著說,「我們必須將所有相關聯的小細節堆在一起,然後逐步地把整件事情拼湊起來-就如同偵探所作的一般。」
不過,正當CSI風格的電腦鑑識情節充斥在現今的電視節目上時,像Jenkins這樣的電腦犯罪追查者,則是選擇無聲無息地利用專業知識及技能,讓數位罪犯無所遁形。再者,就企業而言,他們所要面臨的是存於電腦世界中的攻擊老手,甚至有可能是來自於內部威脅,所以,現今電腦鑑識之於企業的重要性,自然是不言可喻。可是,在事件發生過後,企業仍舊會來不及應變,而且當要進行鑑識調查工作時,還可能會犯上代價高昂的錯誤。
「企業本身最大的敵人,就是自己!因為在事情爆發之後,他們只想到要準備好作電腦鑑識。」專門提供數位鑑識及安全服務的Intelguardians公司,其資深安全分析師,同時也是創辦人之一的Bob Hillery如是說。
不過,就Hillery所見,許多企業並未提供良好的鑑識環境,原因在於沒有任何系統活動的記錄,也沒有充份完善的事件通報計畫。所以,當事情發生之後,系統管理者只能噠噠噠的敲著鍵盤,找尋到底「那兒」出錯了?「因為他們並不瞭解問題的本質,所以會開始四處亂鑽,以致於後來弄得犯罪現場到處都是泥巴腳印!」Hillery說。
然而,企業該如何避免一失足成千古恨的慘事發生呢?在犯罪案件之外,除了為民事訴訟作好鑑識所需,提供適當的人力資源協助調查之外,並且,專家們認為企業還得去確認二件事:本身是否已作好準備?還有電子證據的保存是否得當?所以,當事情發生的當下,對於接下來要處理的事,理應具備的策略,就成了企業要執行的首要工作。


一步錯,步步錯
FBI特別調查幹員,同時身兼加州Menlo Park矽谷地區電腦鑑識實驗室主任的Chris Beeson表示,當下若是發生遭駭等情事,不管是來自於外部,或是內部的惡意行為,企業理應都要備妥通報計畫,以及專責之IT團隊、管理階層人員、法律和人資代表來掌控整體事件後續的發展動向。而站在第一線的人-通常為IT成員,他們必須知道首要連絡對象有誰?以及在事發的第一時間點所要採取的處理程序為何?
Beeson又說,多數情況下,他通常建議將疑似受駭的主機下線,以防杜入侵者更進一步接觸到這些機器。另外,所有與證據有關的磁碟都應先備份保存,再者,倘若系統原本便與巨量的儲存空間有所連結的話,那麼,企業就要衡量輕重,看是否真的需要將資料複製複本保存,甚至是否必要將整個系統下線數個小時,或者只是限定在某幾個區域就好。
「站在企業的角度思考這整件事,其實是不可能會存有完美無暇的處理方式。」Beeson接著說,「不過,企業需要的,便是在律師的陪同下,讓受過良好訓練,聰明的人來下決定。」
許多電腦鑑識專家指稱,最好的作法,其實就是讓企業訓練員工不要去碰觸到任何東西,目的當然就是為了保存證據。
「假如員工認為他們也許將要協助電腦鑑識工作進行的話,不管是伺服主機還是筆電,處理守則第一條,就是不要碰觸任何東西。」Jenkins繼續說,「管他需要求助於內部或外部資源與否?停止現場一切活動,並請那些知道該如何處理的人來。」
任職IT服務公司Akibia,並專責電腦鑑識的資深顧問Evan Wheeler表示,電腦鑑識人員會查看檔案最後被更動或存取的時間,以歸納出事件發生的時間點。他又說,「要是有人在一開始便『翻箱倒櫃』的話,那麼,他們極可能破壞這些重要證據的時間印記。」
一般公司行號常犯的錯誤是,關掉系統,或將系統重新啟動,不論何者,這些行為都會破壞存於系統記憶體當中的證據。「假如有必要採取立即手段,那麼,請不要關機!正確步驟是先拔除網路線,並保持系統運作。」顧問公司Montebello Partners的管理夥伴Ames Cornish說。
Cornish又表示,另外一件常常遇到的蠢事,就是馬上將離職員工的筆電配發給新進人員,如此一來,也會妨礙到對前任員工所犯惡行的調查行動。再者,假設員工是在不尋常的狀況下離職,比方說,突然辭去工作或者遭到開除等,那麼,在轉換電腦用途前,最好先持有該員工電腦一陣子,之後再移作他用。
而且,如果證據遭到蓄意破壞,或者遺失的話,鑑識調查活動便會更顯艱鉅,但並非完全沒辦法繼續。「部份聰明的鑑識調查人員會轉往他處找尋證據複本。」Cornish接著說,「可是,這些證據複本通常不是已被複寫,就是消失殆盡。而且此時,復原的費用正開始往上增加!」


記錄是最好的幫手
當今數位鑑識的範圍,早就不僅止於筆電和一般PC而已,因為調查人員也必須要有能力看懂網路和連線狀況的資料,而這些都使得相關記錄益形重要。但是,Intelguardians的Hillery也說了,有時當問起有助於調查進展的記錄檔時,通常他得到的回應都是對方呆滯的眼神。
上一次,也就是去年他所處理的一家上線的中小企業案例,其中有兩位前任員工-財務長和一位資深開發人員,秘密地盜取企業的智慧財產,為的就是著手成立與之競爭的公司。同時間,該公司的企業用戶亦遭到了電腦攻擊-網站服務停擺數小時,網站購物車的功能也被惡意關閉,而極有可能就是這些離職員工所幹的好事。
不過,單憑一張手繪的網路簡圖和幾筆Web存取記錄檔,但卻沒有任何防火牆、路由器或IDS所留下的記錄,那麼,要證明的確曾經發生過這等竊盜情事,是幾乎不可能的。最後,該公司不但放棄從法庭上獲取對方賠償的希望,並且,還附帶了一個新的競爭者回到了商場。
「原公司只能無奈地大喊,『到底在搞什麼啊我們?怎麼一點準備也沒有!?』」Hillery說。
風險管理公司Abraxas,其資訊保全與數位鑑識部門主管David Lang,也碰過在作鑑識調查卻缺乏記錄檔的問題。系統管理者給定的理由是,他們之所以關閉記錄檔的原因,是在於記錄檔會拖慢系統很多事情。「的確,開啟記錄檔服務會耗損掉一部份系統效能,不過,假若今天的角色,換作是重要系統的話,那麼,你必須將其視為是在作風險管理的決定。」Lang說。


盡到連帶保管職責
數位鑑識涉及到一個很重大的部份,就是謹慎地記錄相關證據的處理過程,目的為的就是能在法庭上呈現事實。再者,要是沒能盡到這連帶的保管職責,律師團可以以證據毀壞為由,阻止被告遭到起訴。
「你所作的每一項決定,還有每一個在鑑識過程當中所執行的步驟,你都得記錄下來。」華盛頓醫學中心的Jenkins又說,「包含你作過些什麼?這樣作的理由何在?什麼時候作的?還有,若照這樣子處理的話,預期可以帶來什麼樣的效益?」
如果企業想要自己動手作鑑識工作,那麼,就必須得有一個程序:提供員工遵從電子證據該如何拷貝和傳遞的細節。
「這無疑是鑑識工作的箴言!因為在調查過程當中,你要保護這些資料,詳實的記錄每一道步驟,並保證資料不致遭到變更。」Jenkins說。
另外,專門提供鑑識與其他資訊安全服務的Mandiant公司,其身兼總裁和執行長二職的Kevin Mandia也說,要堅守住這個連帶的保管職責,可以透過下列的步驟:
? 在調查人員全程陪同下,或者在其視線範圍內保存證據。
? 記錄證據蒐集的過程。
? 記錄證據從調查人員手中轉讓的過程。
? 適當地保全證據,使其不致於受到篡改。
目前擔任顧問,也是Experian公司資訊安全、證據查核暨事件回應處理部門的前任主管Bill Spernow說,除了盡到連帶的保管責任外,還有一點,就是該為每一件證物都造一個hash值,這也是相當重要的。因為hash值-「可以證實,這就是星期一當天的那件證據;而且,就算六個月之後把它拿上法庭,我們仍舊可以證實一點變化也沒有-就是原本的證物。」他說。
傳統上,鑑識調查的作法,都會是將受駭的系統或者是證物作成好幾份的複本,然後才針對這些複本進行分析。Jenkins通常會複製三份,隨後便將原先的系統放入證物袋,作好安全保存。
Spernow說,法庭也會接受經由企業正常程序所採集到的證據。比方說,若是防火牆管理師如往常一般檢查每日系統記錄檔,並且發現到入侵的證據,那麼,這些記錄檔還是會被認為是正常營運所留下的記錄。


尋求協助不可少
部份企業自己內部便擁有獨力鑑識調查的能力,不過,許多企業還是得求助於顧問。所以,找尋到專家的資源,包括專業研究工作者,鑑識工具廠商,還有鑑識認證提供者-像是SANS機構,就可以列舉出目前有那些人是取得GIAC鑑識認證的。
不過,現在卻沒有任何清楚明確的辦法,去評估一個鑑識專家的好壞程度。或許,從證照來判斷當然也是評估的方法之一,不過,在此領域當中,還是存有一般廠商與中立廠商的相關認證,但這依舊難以訂出衡量標準。事實上,Mandia表示,就他的工作上來說,聲譽和經驗會是較證照來的重要許多!
「若曾經參與過許多大大小小的案例,這倒是件更要緊的事!」他說。
鑑識調查人員會使用很多不同種類的工具-有商業類型,或開放原始碼,甚至是自製的工具都有,全部都是取決於當下手邊的工作而定,所以,也很難光靠工具來評斷調查者的素質。「我不認為只單憑工具就能斷定他人的優劣好壞!」Montebello的Cornish說。
「你要的是一個你可以信賴的人。」他接著補充,「這個人應該了解IT系統,並且不能像蠻牛般的橫衝直撞,因為他要知道一點:企業目前尚在營運當中。」
當Spernow在面試挑選企業內部鑑識小組的成員時,他看中的是那些對網路架構有深度瞭解,並且還瞭解系統記錄檔怎麼運作的員工。「這樣一來,鑑識者對於企業資訊架構才能有個完整的認識!」
就Jenkins而言,她擅長多種作業平台-Unix、Windows和Macintosh,並且會使用多項工具-包含了像是Guidance Software的EnCase和Helix,以及開放原始碼的Linux live CD-以進行鑑識工作,再者,她還擁有EnCase的鑑識證照,和SANS的事件處理證照。另外,Jenkins也說,研究所修習古代史與圖書科學的課程,讓她可以為自己的工作作更好的準備。
建立自家的鑑識團隊對某些企業,特別是大型企業來說,目標是再清楚明確不過。波音發言人Tim Neale說,波音公司自行處理電腦鑑識問題已有數年的時間,就是因為它划算的關係。
從2004年的統計數據顯示,Spernow估計,鑑識實驗室分析處理一件系統案例,包含人事費用,約莫要價$156,110美元;而處理十件系統案例,則得花上$388,640美元。若是尋求委外協助的話,一個案例的費用範圍,會是從$33,200到$55,100美元;十個則是$332,000到$555,100美元不等。Spernow說,這些估算範圍,尚屬針對可能達成目標的情況下而言。
Spernow說,最新的民事訴訟聯邦法條,正制訂將國內鑑識實驗室視為寶貴的資產,其實,這也為了抑制以後可能面臨到訴訟費用等問題。再者,新電子化資料搜尋(e-Discovery)法條中,它規定在訴訟案件部份,要能夠清楚的以字句描述出,跟本案有關聯的資料是處於資訊架構當中的什麼位置。此外,還得提供離析證據的估算費用,以及附上過濾這些需授權但非公開資訊(privileged information)的依據。
「任一IT裡頭的人員,只要能指出該證據資料存放的位置,都可以驗證它就是資料本體。」Spernow接著說,「但是,要在權力架構的允許下解開並過濾出證物,這個便會成為鑑識過程中可能引發的議題之一!」


執法兩難
不過,資料外洩發生之後,決定在何時訴諸法律可能會是一個難題!因為通常都有許多的因素要去衡量-是否察覺任何的犯罪動機?遭毀壞的範圍或程度?公開披露此事所造成的風險問題?
Spernow說,取採法律行動,便能夠以強大的資源執行犯罪搜查,而且,當尋求官方協助時,基本上企業便要放棄調查的控制權。再者,這裡還有一個風險-就是企業的骯髒事(family jewels)[*譯注1],會赤裸裸地的攤在法庭上。
FBI的Beeson也說,在訴諸法律之前,企業對於發生了什麼事,以及所造成的損失估算-包含停擺時間,人事費用和商業益利-應該要相當清楚才是!
「我們並沒有太多時間,為所回報的每一件電腦入侵案件成立專案處理小組。」他說,「有時候,我們會直接告訴受害者:『很抱歉,你所提及的損失程度不足以讓FBI介入調查!』」
Beeson繼續補充說,依聯邦法律的規定,電腦入侵案件所造成的損失要在$5,000美元以上,才需要介入;不過,聯邦檢察官通常都會提高這個門檻。
部份專家認為,提早一點知道FBI或者是美國特勤局(U.S Secret Service)的電話,這倒是個不錯的主意!在事發前,我們可以與他們建立起良好的關係。比方說,像是IntraGard-與FBI在私交方面,就如同像夥伴關係一樣,時常會有訊息上的交換,並且也會為這樣子關係的建立提供論壇。另外,跨國的24小時打擊高科技犯罪防治中心(Secret Service Electronic Crime Task Forces),就是由民間所參與組成的。

記取教訓
除了具備事件因應計畫和適當保存電子證據外,Jenkins說,最重要的就是企業能夠從中記取教訓,不再重蹈覆轍。
至今,FBI仍在為華盛頓醫學中心三年前所發生的外洩事件進行調查,之後該醫學中心便大力地改善解決自身的安全問題,除了佈署Tipping Point網路型IPS,以加強網路監控服務外,也完成在用戶端安裝單機型IPS/防火牆系統的工作,並杜絕IRC和其他peer-to-peer的流量。
「面對最重要的事物,都應當作好準備!此外,清楚了解自己的決策過程,倘若真的需要用到電腦鑑識的時候,請記得:在專家到場前,千萬別動任何東西!」,Jenkins說。


複雜的儲存形態加深了鑑識的困難
鑑識專家尋求他法,來對付行動裝置和那些異常巨量的儲存媒體。多種型態的電腦裝置,再加上大容量硬碟以及廣泛使用資料加密的緣故,這些因素都是讓數位鑑識工作者所遭遇到的困難,更甚以往!
「過去幾年,在商場上所有的工作都是以PC為主,所以鑑識環境還算單純。」Voltage Security安全設計師Luther Martin接著說,「但是,現在的情況複雜化了!我們有PDA,有手機,有黑莓機,有iPod-而且裡面都裝了一堆引人興趣的資料。」
風險管理公司Veritas Global,其鑑識部門主管Brian Gawne說,所有的調查工作通常始於一個單一系統,而後再延伸到找證據的問題!也許會是數位相機,USB隨身碟,甚至是印表機都有可能。但是,他認為今日鑑識工作所遭遇到的最大問題,會是在特大容量的硬碟身上!
「你現在從桌上型電腦或者筆電所取得的硬碟,其容量都會是400、500甚至600 GB,」他接著又說,「所以我們所要去分析的資料,永遠都是採掛載的方式。」
遍佈全美的14個區域電腦鑑識實驗室,在去年被FBI和當地的執法機關一同找來,為的就是要處理2.8 PB(petabytes)的資料量。
「隨著硬碟容量愈來愈大的情況下,我們現在也得試著找出更聰明,較不費力的工作方式來解決這個困境。」FBI特別調查幹員,同時身兼矽谷地區電腦鑑識實驗室主任的Chris Beeson表示,「能夠在一顆硬碟上走遍所有磁區的日子已經不復存在。」
不過,Beeson說,有一個比較能讓調查者輕鬆的方式,就是利用已知軟體檔案的hash set資料庫,因為hash值可以使得他們降低需要搜查的檔案數量。目前,就有一個名為國家軟體參考文庫(National Software Reference Library)的資料庫,該計畫是由美國司法部(U.S Department of Justice),以及聯邦,州際和當地的執法單位所共同參與支持的。
IT服務公司Akibia,負責鑑識部門工作的資深顧問Evan Wheeler說,加密的確會為鑑識工作造成極大的不便,尤其是攻擊者均會加密檔案,並剔除掉參考資訊,這使得分析工作更形困難。
「加密不但會拖慢工作速度,並且還阻礙我們繼續追查下去的行動。」Beeson又說,「不過,最後它還是取決於我們為該案例投注了多少資源!」


揪出內賊
離職員工留下許多可以潛入公司網路的管道
鑑識調查與其他類型的調查沒有什麼不一樣:都是從打電話開始,某家高科技企業深信入侵者早就已經闖進公司網路裡頭來了。
「我的第一步,就是盡其所能的找出線索,包括詢問公司有關記錄檔的事,還有任何可以引導我們了解事實真相的東西。」FBI特別幹員Shelagh Sayers說。
如同其他幹員調查電腦入侵案件一般,她會與公司高層人員坐下來談,接著問許多問題,並檢查電腦的記錄檔看是否異常?
Sayers說,直到最後,該案例並未經過複雜的鑑識過程便完結了。事情的發生是,一家位在加州Scotts Valley市的軟體公司,其Creative Explosions部門的前任網路管理師Roman Meybray闖進了公司的電腦系統當中。
依據聯邦法庭的記錄,在2003年遭開除後的兩週內,Meydbray從聖荷西的家中,未經授權就連進到公司的網路裡頭。他刪除了email伺服器的網域,盜用公司總裁的email帳號,並更改了email伺服器的組態設定,使得所有信件都遭到了拒絕。
法庭的文件當中引用相關證據來證明這一點:ISP的記錄顯示-入侵者來源,就是Meydbray的IP位置;另外,當檢查官持聯邦搜索令從他房間中所查扣下來的電腦中發現,Meydbray存取過公司總裁的email信箱,並刪除掉email伺服器的網域,還有,經由公司的記錄檔可以確定,來自Meydbray家中的IP位置曾看過總裁未閱讀的信件。最後,Meydbray被認定的罪狀如下:非法存取已儲存之通聯訊息,未授權存取電腦,並肆無忌憚地四處破壞。
Sayers說,公司在事件發生前,就應備妥一份計畫書,內容包括-打開系統記錄檔功能,擬定撤消員工存取網路終端機的政策。
不過,企業也不應該認定,被請來處理事件的調查人員,一下子就能對企業的網路架構熟得不得了!她接著說,「調查人員還是得依靠一個對網路有所了解的人,來告訴他企業整體的網路架構是怎麼樣子的,甚至是記錄檔中的訊息項目,其所代表的涵義是什麼。」
Shers說,在Creative Explosions的案例當中,就如同FBI所處理的其他案件一樣,他們並不會在調查期間,讓整個營運停擺下來。
「我們對於受害公司行事非常小心,不會進一步地再次傷害到他們,再者,我們所進行的每個步驟,均會確保該企業的營運不會因此而中斷。」Shers說。