2012年12月1日 星期六

你在保存數位證據,還是消滅證據?


你在保存數位證據,還是消滅證據?

當電腦出了問題,常人的習慣是重開機或是重灌系統,然而坦若是駭客入侵,這樣的行為可能就消滅了所有的證據,因此最妥當的方式就是立即封存系統。 

舉證之所在,敗訴之所在。拜個資法之賜,許多IT人也對這句法律界名言耳熟能詳,琅琅上口。不過,怎麼做才能確保數位證據的有效性,仍是許多人心中的大問題。

多數人應該都知道保存證據完整的重要性,就算我們沒有在犯罪現場辦案的經驗,但電影、影集看多了也都知道,犯罪現場一定要拉起黃色封鎖線,隔離閒雜人等,而且,如果菜鳥警察隨便移動現場的物件,一定會被接著趕到的鑑識警官劈頭臭罵一頓。但是,換到我們工作的數位環境,許多我們早已習慣、直覺上認為是對的危機處理做法,在數位鑑識警官的眼裏,非但不是保存證據,反倒是消滅證據。

舉例來說,當你知道網站遭到SQL注入式攻擊(SQL Injection),被駭客利用SQL查詢的檢驗漏洞,成功地將惡意程式的下載連結寫入資料庫,導致你的網站上到處都有惡意程式的網址連結。而且,你可能還不是第一個發現問題的人,通常是公司同仁發現網站被Google搜尋引擎標識為惡意網站,又或者是有受害者反應,甚至是被媒體踢爆了。在這種情況下,你會怎麼反應?

一般直覺的做法應該會立即切掉網路連線,清除資料庫裏被竊改的資料,讓網站重新回到未被竊改的狀態,並且儘快恢復網站上線。這樣的做法雖然是確保營運中斷的最小衝擊,但是,從證據保存的角度來看,卻是在幫助駭客毀屍滅跡。

當你因為駭客入侵而外洩個人資料時,若要舉證已善盡良善管理責任,對於高超的駭客入侵實在是無力抵擋,就必須要保留駭客入侵的證據;若直接就清除掉被竊改的資料,或是將系統回復到原始狀態,而沒有留下記錄,屆時就很難舉證駭客入侵的事實。

在駭客入侵的事件中,數位鑑識專家甚至說,事發立即拔掉網路連線,可能也不是明智之舉,因為拔下網路線的同時,有些證據也就隨之消逝了。

數位鑑識專家指出,數位證據要足以舉證,能在法庭上被法官所採信,必須要具備證據能力與證據力;證據能力是指證據的採集過程是否可信賴,證據力則是該證據能證明什麼。所以,為了因應個資法的舉證需求,就不只是保存Log檔的問題而已。

過去我們不會把主機當成是會被拉起黃色封鎖線隔離的證據,一旦系統出了事情,只要想辦法重開機、重灌系統,盡快讓系統正常運作即可化解危機,但未來要因應個資法的數位舉證需求,可就不能這麼想了。

為了舉證,系統有可能要立即被封存,不論是自己發現個資外洩事件,或是主管機關執行強制檢查,都有可能要立即封存主機,以保留證據。這時候,你就得有一套備援機制,由另外的主機重新開啟服務,而不是把主機清除、重新開機,這樣的想法、做法與程序就跟過去截然不同。

本期的封面故事──「IT證據力」,我們除了帶大家認識數位鑑識之外,也從數位鑑識專家的角度,提供企業可參考的作法依據。然而,若要做到數位證據的舉證效力,可不是一件容易的事,事實上數位鑑識是非常專業的領域,臺灣專精於數位鑑識的調查局資安鑑識實驗室,也從他們的經驗提醒企業,必須在事件發生的前期、中期、後期各個階段,掌握住關鍵性的作法。

轉載自《iThome》