2012年12月1日 星期六

師法調查局鑑識經驗 掌握數位蒐證關鍵


師法調查局鑑識經驗 掌握數位蒐證關鍵

企業進行蒐證時,可以從事前、事中、事後做證據保留,但關鍵在於,是否能有第三方專業鑑識團隊協助做數位蒐證,以確保後續的證據能力和證據力

在臺灣,進行許多刑事案件的數位證據蒐證時,由於刑事案件對於數位證據的蒐證過程比民事案件更為嚴謹,對於數位證據的證據能力和證據力更為要求。

檢警調在為了確保蒐證過程的嚴謹,讓蒐集到的證據可以作為法院的呈堂證供,調查局資通安全處處長蘇台生表示,調查局的鑑識人員,不僅是受過鑑識訓練的專業


調查局資通安全處電腦犯罪防治科調查官錢世傑認為,企業進行數位鑑識時,最好委由第三方公正單位或企業內專業鑑識團隊蒐證較為妥當。

人員,加上嚴謹的鑑識流程,以及專業的鑑識工具,才能確保蒐集到的數位證據具有證據能力和證據力;加上於2006年12月正式成立臺灣第一間官方的資安鑑識實驗室,也大幅提升調查局的數位鑑識能量。

調查局資通安全處電腦犯罪防治科調查官錢世傑表示,個資法並沒有詳細規範未來數位鑑識方面的作法,就法律所明定的「扣留」或「複製」而言,蒐證程序應該要多嚴謹,該採用民事訴訟法的規範即可,還是選擇高標準的刑事訴訟法的規定。他建議,由於個資法本身的罰則仍有刑責的部分,為了確保證據能力和證據力,依照嚴謹的刑事訴訟法進行蒐證,可以確保後續的證據效力。

企業可從事前、事中和事後做蒐證
調查局資通安全處科長陳受湛表示,證據蒐集階段往往左右數位證據的效力,要進行數位鑑識的第一線外勤蒐證人員,都必須受過


調查局資通安全處科長陳受湛表示,因應個資法施行,企業應該開始意識到,盡可能保留各種數位行為相關的跡症,不要只想重灌電腦省事。

專業的訓練,搭配嚴謹的鑑識程序,以及配備專業的鑑識工具後,才可以執行相關任務。

陳受湛認為,以往企業缺乏保留各種數位證據的經驗,一旦發生各種駭客入侵甚至是個資外洩的事件,許多IT部門人員做的第一件事情,往往不是鍥而不捨追查問題根源,反而是企圖湮滅證據,把相關的電腦進行格式化及系統重灌後,讓該臺被入侵的電腦恢復正常運作。但他說,當個資法要求企業必須開始蒐集證據,證明企業已經善盡管理之責的同時,IT部門人員才開始摸索,應該保留多少證據才足夠應付訴訟所需。

調查局進行案件偵察時,數位鑑識流程大致可以分成四個階段,分別是蒐集、檢視、分析和證據呈現。陳受湛指出,調查員第一線所要蒐集的資料,其實就是可以作為企業參考,應該保留進而提供為數位證據的資料類別。

「證據保全」是蒐證過程最重要的精神所在,施行細則第12條規定的11項安全維護措施中,已經明訂企業從技術面及管理面,應該切實執行的方向;並且依照企業的規模和能力,承擔不同比例原則的個資保護責任。


事前證據保留
陳受湛建議企業可以從事前、事中和事後等三個層次來看數位鑑識的證據蒐集。「工欲善其事、必先利其器」,要提供後續的鑑識分析,一定要蒐集所需要的數位證據,包括各種Log檔,或者是各種數位或紙本文件,甚至是各種系統的資料內容等。

他說,就「事前證據保留」的階段,只要是企業評估過後的重要項目,都應該進行相關的設定、安全控管,和完整、定期的備份機制並保留各種軌跡資料。陳受湛坦言,個資法施行細則第12條規定的「使用紀錄、軌跡資料及證據保存」,就是企業應該保留的證據項目。或許對多數企業而言,超過九成以上的資料備份都是白做工,但這是後續數位鑑識的基礎,沒有這些基礎資料,無法進行後續的分析。

不過,為了要讓證據有分析的效果,陳受湛指出,企業需要保留的數位證據,也必須提供包括來源IP、使用者是誰、在什麼時間點存取哪些系統,在相關系統內做了什麼事情的行為記錄才有效。而企業負擔的個資保護責任,必須合乎比例原則,如果個資外洩事宜已經超過企業能力所及,就應該由主管機關出面證明企業減輕或減免過失責任。

事中證據保存
企業如果遭遇到大量的異常存取或攻擊事件,本身已經處於高度危險狀態。陳受湛說,當企業面臨這些異常資安事件時,所有的被攻擊過程都應該持續性的記錄下來,這些證據保存往往有助於企業找到資安事件的問題根源所在。

錢世傑指出,從數位證據的蒐證效力來看,如果蒐證是經由第三方單位,或者是企業內,具有鑑識專業能力的獨立部門成員來執行的話,法院比較容易採信所採證的數位證據。

陳受湛建議,企業一旦面臨這種異常的資安事件時,除了可以進行封包擷取側錄,也應該要立即尋求專業的鑑識團隊,協助進行相關的數位證據蒐證。

有許多企業會習慣找配合的資安廠商,解決類似的資安攻擊事件。但他強調,數位證據有一個很重要的關鍵就是「不被竄改」,假若協助企業解決問題的資安團隊,只是憑藉資安技術解決問題,卻因為缺乏數位鑑識的意識,在找尋資安事件的問題根源時,也同時更改了電腦記錄。這樣的作法可能導致後續所採證的數位證據,將不被法院採信。

當企業面臨大量個資外洩的情況時,立即的反應可能是拔掉網路線,但這樣可能會喪失重要的證據,應該委由鑑識團隊來判斷在正常關機前,需要保留哪些消逝性的證據。

事後證據擷取
「凡走過必留下痕跡」,陳受湛表示,事後階段幾乎就是企業的答辯,有了完整的事前證據保留,事中證據保存,到事後,只需要針對所需要的片段擷取所需的證據即可。

若以調查員實際搜索案件為例,他指出,除了少數的伺服器本身就是犯罪工具或是犯罪所得,必須立即依法扣押之外,調查員進行搜索時,多數仍會尋求企業IT部門的協助,針對特定個人或某個系統,提供所需的資料。



資安鑑識實驗室提供證據檢視、分析與證據呈現

在證據蒐集的過程中,若能符合鑑識規範,調查局就可以將相關的證物送進資安鑑識實驗室做專業的檢視與分析。

陳受湛表示,在證據檢視的過程中,最重要的就是「證據鏈監管」,從現場蒐證到證物室、實驗室,再到法院的過程中,是否有任何的人事物或程序,會影響到該數位證據的效力。確保證物不被污染,才能進一步作證據分析。

許多鑑識分析需要依賴專業的鑑識工具,常見的EnCase鑑識軟體、磁碟防寫機、硬碟複製機等,但陳受湛認為,有好的工具還需要搭配豐富的實務經驗,才能夠將鑑識工具發揮到淋漓盡致,而鑑識人員持續性的教育訓練,則是調查局對資安鑑識實驗室的長期投資。

「撰寫專業的鑑識報告是需要經過訓練的,」陳受湛說,如何不推測、不自行判斷,只根據既有的證據還原事情原貌,做到有幾分證據說幾分話,都是需要經過專業訓練才能提供的。因為只有公正客觀的鑑識報告,才能夠確保有機會還原事情真相。

調查局數位鑑識流程 
調查局針對數位證據進行數位鑑識的過程中,在蒐證階段的嚴謹程度,會左右數位證據的證據能力和證據力。企業若能夠從蒐證過程中,累積足夠的數位證據,都有利未來法庭上的證據呈現。



首度直擊調查局資安鑑識實驗室

位於新北市新店區的調查局,從2006年12月成立的資安鑑識實驗室,是國內第一個專業的鑑識實驗室,平常都受檢察官和法官的委託,進行刑事案件及重大案件的數位證據蒐證與調查



門禁森嚴
平常門禁森嚴的資安鑑識實驗室,除了專業的鑑識人員和調查人員之外,並不對外開放。而有權進入鑑識實驗室的人,都必須輸入專屬的密碼,並通過指紋的驗證才能進入。


第一間專業的資安鑑識實驗室,麻雀雖小但五臟俱全

為了避免資安鑑識實驗室處理證物的證據能力遭受質疑,攝影記者只能站在玻璃門口外面,靠著牆壁、拿著相機從外往內拍。趁著採訪的機會,拍下臺灣第一間專業資安鑑識實驗室的內部場景。

一進門就看到一張擺放在中間的大桌子,桌子上面,除了擺放每個人進出都必須登記的名冊登記簿外,這張大桌子平常也是鑑識人員的證物處理桌。大桌子一旁,上面還有一些用塑膠袋包裝的物品,則是有待鑑識人員進一步檢視和分析的重要證物。

再往右側四處張望,許多桌子上或地板上,錯落擺放著鑑識人員外勤使用的鑑識工具箱,大小不一,但共通點都是防水抗震又耐摔,重要的鑑識設備就裝在鑑識工具箱中,跟著外勤人員上山下海四處蒐證。其中,還有一個大約29吋行李箱大小的鑑識工具箱,鑑識人員則帶著它出國,進行各種犯罪的數位鑑識工作。為了要用鑑識軟體進行各種數位證據的分析,鑑識實驗室中,還有幾臺運算能力強大的工作站,負責分析數位證據。



磁碟防寫機 
鑑識人員在進行數位證據的採證時,為了避免硬碟環境中的資料遭到竄改,磁碟防寫機接上已經離線的證物硬碟後,就可以安全的讀取訊息。



硬碟複製機
為了確保原始證物的安全,透過專業的硬碟複製機,將外部的證物硬碟以映象檔的方式複製到機器內部的目的空白硬碟,供鑑識人員分析使用


轉載自《iThome》