CSI電腦犯罪現場

CSI犯罪現場
種種跡象顯示：大事不妙了！華盛頓醫學中心（UW Medicine）的安全小組在安裝完入侵偵測防禦系統後，他們驚覺有多台機器正嘗試著與在法國的IRC僵屍網路伺服器連線。緊接著，醫學研究機構系統安全師兼任電腦鑑識專家Cindy Jenkins在了解狀況後，便立即從隱匿於可疑活動背後的線索中，展開追緝行動。
此外，她還花上數小時的時間，從被植入攻擊工具的受駭電腦硬碟當中搜尋到幾處疑點，最後得到一個結論：該程式除了rootkit特性外，尚埋藏具有FTP功能的IRC Bot。而且，在以被動式掃描過整個網路後，還發現到更多遭到入侵的系統。所以，為了節省時間，Jenkins動手作了一個hash sets容器－將它當成是惡意程式的數位指紋（digital fingerprints），如此一來，當檢查這些增加出來的影像時，她便可以只搜尋hash sets容器。最後，經她初步的瞭解，系統大約距今18~24個月，甚至是更早之前就已遭到入侵了，也就是在還未裝置IPS和佈署其他安全措施之前就已經發生的事。
華盛頓大學的醫學中心，實際上就是遭到資源獨佔（resource hog）的攻擊，簡言之，也就是攻擊者的目標並非存於系統的資料，而是相中大專院校豐沛的網路速度和巨大的儲存空間，目的為的就是可以拿來分享電影和音樂。但是，隨後Jenkins就發覺還有不對勁的地方－部份事物不符合原先的hash sets，所以，攻擊者不單單只是盜用網路資源，他們還曾經存取過醫學中心的Windows網域密碼。
「當追到這兒時，我幾乎是摒氣凝神，接著便開始釐清整件事情的來龍去脈緒。」Jenkins憶起2005年12月時，令她驚心動魄的發現。
雖然沒有任何證據顯示入侵者已經盜用這些帳號密碼，不過系統上的時戳（time stamps）指出他們曾經存取過的事實。後來，這個案例已隨著Jenkins詳盡的文件記錄，轉交由FBI負責處理。
「電腦鑑識倒還蠻像在撰寫程式，除了要聚精會神之外，還得一面仔細思考推敲。」Jenkins接著說，「我們必須將所有相關聯的小細節堆在一起，然後逐步地把整件事情拼湊起來－就如同偵探所作的一般。」
不過，正當CSI風格的電腦鑑識情節充斥在現今的電視節目上時，像Jenkins這樣的電腦犯罪追查者，則是選擇無聲無息地利用專業知識及技能，讓數位罪犯無所遁形。再者，就企業而言，他們所要面臨的是存於電腦世界中的攻擊老手，甚至有可能是來自於內部威脅，所以，現今電腦鑑識之於企業的重要性，自然是不言可喻。可是，在事件發生過後，企業仍舊會來不及應變，而且當要進行鑑識調查工作時，還可能會犯上代價高昂的錯誤。
「企業本身最大的敵人，就是自己！因為在事情爆發之後，他們只想到要準備好作電腦鑑識。」專門提供數位鑑識及安全服務的Intelguardians公司，其資深安全分析師，同時也是創辦人之一的Bob Hillery如是說。
不過，就Hillery所見，許多企業並未提供良好的鑑識環境，原因在於沒有任何系統活動的記錄，也沒有充份完善的事件通報計畫。所以，當事情發生之後，系統管理者只能噠噠噠的敲著鍵盤，找尋到底「那兒」出錯了？「因為他們並不瞭解問題的本質，所以會開始四處亂鑽，以致於後來弄得犯罪現場到處都是泥巴腳印！」Hillery說。
然而，企業該如何避免一失足成千古恨的慘事發生呢？在犯罪案件之外，除了為民事訴訟作好鑑識所需，提供適當的人力資源協助調查之外，並且，專家們認為企業還得去確認二件事：本身是否已作好準備？還有電子證據的保存是否得當？所以，當事情發生的當下，對於接下來要處理的事，理應具備的策略，就成了企業要執行的首要工作。


一步錯，步步錯
FBI特別調查幹員，同時身兼加州Menlo Park矽谷地區電腦鑑識實驗室主任的Chris Beeson表示，當下若是發生遭駭等情事，不管是來自於外部，或是內部的惡意行為，企業理應都要備妥通報計畫，以及專責之IT團隊、管理階層人員、法律和人資代表來掌控整體事件後續的發展動向。而站在第一線的人－通常為IT成員，他們必須知道首要連絡對象有誰？以及在事發的第一時間點所要採取的處理程序為何？
Beeson又說，多數情況下，他通常建議將疑似受駭的主機下線，以防杜入侵者更進一步接觸到這些機器。另外，所有與證據有關的磁碟都應先備份保存，再者，倘若系統原本便與巨量的儲存空間有所連結的話，那麼，企業就要衡量輕重，看是否真的需要將資料複製複本保存，甚至是否必要將整個系統下線數個小時，或者只是限定在某幾個區域就好。
「站在企業的角度思考這整件事，其實是不可能會存有完美無暇的處理方式。」Beeson接著說，「不過，企業需要的，便是在律師的陪同下，讓受過良好訓練，聰明的人來下決定。」
許多電腦鑑識專家指稱，最好的作法，其實就是讓企業訓練員工不要去碰觸到任何東西，目的當然就是為了保存證據。
「假如員工認為他們也許將要協助電腦鑑識工作進行的話，不管是伺服主機還是筆電，處理守則第一條，就是不要碰觸任何東西。」Jenkins繼續說，「管他需要求助於內部或外部資源與否？停止現場一切活動，並請那些知道該如何處理的人來。」
任職IT服務公司Akibia，並專責電腦鑑識的資深顧問Evan Wheeler表示，電腦鑑識人員會查看檔案最後被更動或存取的時間，以歸納出事件發生的時間點。他又說，「要是有人在一開始便『翻箱倒櫃』的話，那麼，他們極可能破壞這些重要證據的時間印記。」
一般公司行號常犯的錯誤是，關掉系統，或將系統重新啟動，不論何者，這些行為都會破壞存於系統記憶體當中的證據。「假如有必要採取立即手段，那麼，請不要關機！正確步驟是先拔除網路線，並保持系統運作。」顧問公司Montebello Partners的管理夥伴Ames Cornish說。
Cornish又表示，另外一件常常遇到的蠢事，就是馬上將離職員工的筆電配發給新進人員，如此一來，也會妨礙到對前任員工所犯惡行的調查行動。再者，假設員工是在不尋常的狀況下離職，比方說，突然辭去工作或者遭到開除等，那麼，在轉換電腦用途前，最好先持有該員工電腦一陣子，之後再移作他用。
而且，如果證據遭到蓄意破壞，或者遺失的話，鑑識調查活動便會更顯艱鉅，但並非完全沒辦法繼續。「部份聰明的鑑識調查人員會轉往他處找尋證據複本。」Cornish接著說，「可是，這些證據複本通常不是已被複寫，就是消失殆盡。而且此時，復原的費用正開始往上增加！」


記錄是最好的幫手
當今數位鑑識的範圍，早就不僅止於筆電和一般PC而已，因為調查人員也必須要有能力看懂網路和連線狀況的資料，而這些都使得相關記錄益形重要。但是，Intelguardians的Hillery也說了，有時當問起有助於調查進展的記錄檔時，通常他得到的回應都是對方呆滯的眼神。
上一次，也就是去年他所處理的一家上線的中小企業案例，其中有兩位前任員工－財務長和一位資深開發人員，秘密地盜取企業的智慧財產，為的就是著手成立與之競爭的公司。同時間，該公司的企業用戶亦遭到了電腦攻擊－網站服務停擺數小時，網站購物車的功能也被惡意關閉，而極有可能就是這些離職員工所幹的好事。
不過，單憑一張手繪的網路簡圖和幾筆Web存取記錄檔，但卻沒有任何防火牆、路由器或IDS所留下的記錄，那麼，要證明的確曾經發生過這等竊盜情事，是幾乎不可能的。最後，該公司不但放棄從法庭上獲取對方賠償的希望，並且，還附帶了一個新的競爭者回到了商場。
「原公司只能無奈地大喊，『到底在搞什麼啊我們？怎麼一點準備也沒有！？』」Hillery說。
風險管理公司Abraxas，其資訊保全與數位鑑識部門主管David Lang，也碰過在作鑑識調查卻缺乏記錄檔的問題。系統管理者給定的理由是，他們之所以關閉記錄檔的原因，是在於記錄檔會拖慢系統很多事情。「的確，開啟記錄檔服務會耗損掉一部份系統效能，不過，假若今天的角色，換作是重要系統的話，那麼，你必須將其視為是在作風險管理的決定。」Lang說。


盡到連帶保管職責
數位鑑識涉及到一個很重大的部份，就是謹慎地記錄相關證據的處理過程，目的為的就是能在法庭上呈現事實。再者，要是沒能盡到這連帶的保管職責，律師團可以以證據毀壞為由，阻止被告遭到起訴。
「你所作的每一項決定，還有每一個在鑑識過程當中所執行的步驟，你都得記錄下來。」華盛頓醫學中心的Jenkins又說，「包含你作過些什麼？這樣作的理由何在？什麼時候作的？還有，若照這樣子處理的話，預期可以帶來什麼樣的效益？」
如果企業想要自己動手作鑑識工作，那麼，就必須得有一個程序：提供員工遵從電子證據該如何拷貝和傳遞的細節。
「這無疑是鑑識工作的箴言！因為在調查過程當中，你要保護這些資料，詳實的記錄每一道步驟，並保證資料不致遭到變更。」Jenkins說。
另外，專門提供鑑識與其他資訊安全服務的Mandiant公司，其身兼總裁和執行長二職的Kevin Mandia也說，要堅守住這個連帶的保管職責，可以透過下列的步驟：
? 在調查人員全程陪同下，或者在其視線範圍內保存證據。
? 記錄證據蒐集的過程。
? 記錄證據從調查人員手中轉讓的過程。
? 適當地保全證據，使其不致於受到篡改。
目前擔任顧問，也是Experian公司資訊安全、證據查核暨事件回應處理部門的前任主管Bill Spernow說，除了盡到連帶的保管責任外，還有一點，就是該為每一件證物都造一個hash值，這也是相當重要的。因為hash值－「可以證實，這就是星期一當天的那件證據；而且，就算六個月之後把它拿上法庭，我們仍舊可以證實一點變化也沒有－就是原本的證物。」他說。
傳統上，鑑識調查的作法，都會是將受駭的系統或者是證物作成好幾份的複本，然後才針對這些複本進行分析。Jenkins通常會複製三份，隨後便將原先的系統放入證物袋，作好安全保存。
Spernow說，法庭也會接受經由企業正常程序所採集到的證據。比方說，若是防火牆管理師如往常一般檢查每日系統記錄檔，並且發現到入侵的證據，那麼，這些記錄檔還是會被認為是正常營運所留下的記錄。


尋求協助不可少
部份企業自己內部便擁有獨力鑑識調查的能力，不過，許多企業還是得求助於顧問。所以，找尋到專家的資源，包括專業研究工作者，鑑識工具廠商，還有鑑識認證提供者－像是SANS機構，就可以列舉出目前有那些人是取得GIAC鑑識認證的。
不過，現在卻沒有任何清楚明確的辦法，去評估一個鑑識專家的好壞程度。或許，從證照來判斷當然也是評估的方法之一，不過，在此領域當中，還是存有一般廠商與中立廠商的相關認證，但這依舊難以訂出衡量標準。事實上，Mandia表示，就他的工作上來說，聲譽和經驗會是較證照來的重要許多！
「若曾經參與過許多大大小小的案例，這倒是件更要緊的事！」他說。
鑑識調查人員會使用很多不同種類的工具－有商業類型，或開放原始碼，甚至是自製的工具都有，全部都是取決於當下手邊的工作而定，所以，也很難光靠工具來評斷調查者的素質。「我不認為只單憑工具就能斷定他人的優劣好壞！」Montebello的Cornish說。
「你要的是一個你可以信賴的人。」他接著補充，「這個人應該了解IT系統，並且不能像蠻牛般的橫衝直撞，因為他要知道一點：企業目前尚在營運當中。」
當Spernow在面試挑選企業內部鑑識小組的成員時，他看中的是那些對網路架構有深度瞭解，並且還瞭解系統記錄檔怎麼運作的員工。「這樣一來，鑑識者對於企業資訊架構才能有個完整的認識！」
就Jenkins而言，她擅長多種作業平台－Unix、Windows和Macintosh，並且會使用多項工具－包含了像是Guidance Software的EnCase和Helix，以及開放原始碼的Linux live CD－以進行鑑識工作，再者，她還擁有EnCase的鑑識證照，和SANS的事件處理證照。另外，Jenkins也說，研究所修習古代史與圖書科學的課程，讓她可以為自己的工作作更好的準備。
建立自家的鑑識團隊對某些企業，特別是大型企業來說，目標是再清楚明確不過。波音發言人Tim Neale說，波音公司自行處理電腦鑑識問題已有數年的時間，就是因為它划算的關係。
從2004年的統計數據顯示，Spernow估計，鑑識實驗室分析處理一件系統案例，包含人事費用，約莫要價$156,110美元；而處理十件系統案例，則得花上$388,640美元。若是尋求委外協助的話，一個案例的費用範圍，會是從$33,200到$55,100美元；十個則是$332,000到$555,100美元不等。Spernow說，這些估算範圍，尚屬針對可能達成目標的情況下而言。
Spernow說，最新的民事訴訟聯邦法條，正制訂將國內鑑識實驗室視為寶貴的資產，其實，這也為了抑制以後可能面臨到訴訟費用等問題。再者，新電子化資料搜尋（e-Discovery）法條中，它規定在訴訟案件部份，要能夠清楚的以字句描述出，跟本案有關聯的資料是處於資訊架構當中的什麼位置。此外，還得提供離析證據的估算費用，以及附上過濾這些需授權但非公開資訊（privileged information）的依據。
「任一IT裡頭的人員，只要能指出該證據資料存放的位置，都可以驗證它就是資料本體。」Spernow接著說，「但是，要在權力架構的允許下解開並過濾出證物，這個便會成為鑑識過程中可能引發的議題之一！」


執法兩難
不過，資料外洩發生之後，決定在何時訴諸法律可能會是一個難題！因為通常都有許多的因素要去衡量－是否察覺任何的犯罪動機？遭毀壞的範圍或程度？公開披露此事所造成的風險問題？
Spernow說，取採法律行動，便能夠以強大的資源執行犯罪搜查，而且，當尋求官方協助時，基本上企業便要放棄調查的控制權。再者，這裡還有一個風險－就是企業的骯髒事（family jewels）[*譯注1]，會赤裸裸地的攤在法庭上。
FBI的Beeson也說，在訴諸法律之前，企業對於發生了什麼事，以及所造成的損失估算－包含停擺時間，人事費用和商業益利－應該要相當清楚才是！
「我們並沒有太多時間，為所回報的每一件電腦入侵案件成立專案處理小組。」他說，「有時候，我們會直接告訴受害者：『很抱歉，你所提及的損失程度不足以讓FBI介入調查！』」
Beeson繼續補充說，依聯邦法律的規定，電腦入侵案件所造成的損失要在$5,000美元以上，才需要介入；不過，聯邦檢察官通常都會提高這個門檻。
部份專家認為，提早一點知道FBI或者是美國特勤局（U.S Secret Service）的電話，這倒是個不錯的主意！在事發前，我們可以與他們建立起良好的關係。比方說，像是IntraGard－與FBI在私交方面，就如同像夥伴關係一樣，時常會有訊息上的交換，並且也會為這樣子關係的建立提供論壇。另外，跨國的24小時打擊高科技犯罪防治中心（Secret Service Electronic Crime Task Forces），就是由民間所參與組成的。

記取教訓
除了具備事件因應計畫和適當保存電子證據外，Jenkins說，最重要的就是企業能夠從中記取教訓，不再重蹈覆轍。
至今，FBI仍在為華盛頓醫學中心三年前所發生的外洩事件進行調查，之後該醫學中心便大力地改善解決自身的安全問題，除了佈署Tipping Point網路型IPS，以加強網路監控服務外，也完成在用戶端安裝單機型IPS/防火牆系統的工作，並杜絕IRC和其他peer-to-peer的流量。
「面對最重要的事物，都應當作好準備！此外，清楚了解自己的決策過程，倘若真的需要用到電腦鑑識的時候，請記得：在專家到場前，千萬別動任何東西！」，Jenkins說。


複雜的儲存形態加深了鑑識的困難
鑑識專家尋求他法，來對付行動裝置和那些異常巨量的儲存媒體。多種型態的電腦裝置，再加上大容量硬碟以及廣泛使用資料加密的緣故，這些因素都是讓數位鑑識工作者所遭遇到的困難，更甚以往！
「過去幾年，在商場上所有的工作都是以PC為主，所以鑑識環境還算單純。」Voltage Security安全設計師Luther Martin接著說，「但是，現在的情況複雜化了！我們有PDA，有手機，有黑莓機，有iPod－而且裡面都裝了一堆引人興趣的資料。」
風險管理公司Veritas Global，其鑑識部門主管Brian Gawne說，所有的調查工作通常始於一個單一系統，而後再延伸到找證據的問題！也許會是數位相機，USB隨身碟，甚至是印表機都有可能。但是，他認為今日鑑識工作所遭遇到的最大問題，會是在特大容量的硬碟身上！
「你現在從桌上型電腦或者筆電所取得的硬碟，其容量都會是400、500甚至600 GB，」他接著又說，「所以我們所要去分析的資料，永遠都是採掛載的方式。」
遍佈全美的14個區域電腦鑑識實驗室，在去年被FBI和當地的執法機關一同找來，為的就是要處理2.8 PB（petabytes）的資料量。
「隨著硬碟容量愈來愈大的情況下，我們現在也得試著找出更聰明，較不費力的工作方式來解決這個困境。」FBI特別調查幹員，同時身兼矽谷地區電腦鑑識實驗室主任的Chris Beeson表示，「能夠在一顆硬碟上走遍所有磁區的日子已經不復存在。」
不過，Beeson說，有一個比較能讓調查者輕鬆的方式，就是利用已知軟體檔案的hash set資料庫，因為hash值可以使得他們降低需要搜查的檔案數量。目前，就有一個名為國家軟體參考文庫（National Software Reference Library）的資料庫，該計畫是由美國司法部（U.S Department of Justice），以及聯邦，州際和當地的執法單位所共同參與支持的。
IT服務公司Akibia，負責鑑識部門工作的資深顧問Evan Wheeler說，加密的確會為鑑識工作造成極大的不便，尤其是攻擊者均會加密檔案，並剔除掉參考資訊，這使得分析工作更形困難。
「加密不但會拖慢工作速度，並且還阻礙我們繼續追查下去的行動。」Beeson又說，「不過，最後它還是取決於我們為該案例投注了多少資源！」


揪出內賊
離職員工留下許多可以潛入公司網路的管道
鑑識調查與其他類型的調查沒有什麼不一樣：都是從打電話開始，某家高科技企業深信入侵者早就已經闖進公司網路裡頭來了。
「我的第一步，就是盡其所能的找出線索，包括詢問公司有關記錄檔的事，還有任何可以引導我們了解事實真相的東西。」FBI特別幹員Shelagh Sayers說。
如同其他幹員調查電腦入侵案件一般，她會與公司高層人員坐下來談，接著問許多問題，並檢查電腦的記錄檔看是否異常？
Sayers說，直到最後，該案例並未經過複雜的鑑識過程便完結了。事情的發生是，一家位在加州Scotts Valley市的軟體公司，其Creative Explosions部門的前任網路管理師Roman Meybray闖進了公司的電腦系統當中。
依據聯邦法庭的記錄，在2003年遭開除後的兩週內，Meydbray從聖荷西的家中，未經授權就連進到公司的網路裡頭。他刪除了email伺服器的網域，盜用公司總裁的email帳號，並更改了email伺服器的組態設定，使得所有信件都遭到了拒絕。
法庭的文件當中引用相關證據來證明這一點：ISP的記錄顯示－入侵者來源，就是Meydbray的IP位置；另外，當檢查官持聯邦搜索令從他房間中所查扣下來的電腦中發現，Meydbray存取過公司總裁的email信箱，並刪除掉email伺服器的網域，還有，經由公司的記錄檔可以確定，來自Meydbray家中的IP位置曾看過總裁未閱讀的信件。最後，Meydbray被認定的罪狀如下：非法存取已儲存之通聯訊息，未授權存取電腦，並肆無忌憚地四處破壞。
Sayers說，公司在事件發生前，就應備妥一份計畫書，內容包括－打開系統記錄檔功能，擬定撤消員工存取網路終端機的政策。
不過，企業也不應該認定，被請來處理事件的調查人員，一下子就能對企業的網路架構熟得不得了！她接著說，「調查人員還是得依靠一個對網路有所了解的人，來告訴他企業整體的網路架構是怎麼樣子的，甚至是記錄檔中的訊息項目，其所代表的涵義是什麼。」
Shers說，在Creative Explosions的案例當中，就如同FBI所處理的其他案件一樣，他們並不會在調查期間，讓整個營運停擺下來。
「我們對於受害公司行事非常小心，不會進一步地再次傷害到他們，再者，我們所進行的每個步驟，均會確保該企業的營運不會因此而中斷。」Shers說。