字體:小 中 大 |
|
|
|
| 2009/03/16 10:51:58瀏覽1486|回應0|推薦0 | |
| ■資訊安全事件鑑識簡介
依據 2005年美國『CSI/FBI電腦犯罪與安全調查』與同年CERT組織所提出的電腦犯罪觀察報告的結果顯示,雖然已有九成五以上受訪企業使用了防火牆與防毒軟體,更有七成以上企業已應用了入侵偵測系統等安全防護技術,「未經授權的存取」此項電腦犯罪依舊是造成企業損失的第二大項目,在2005年中造成高達3100萬美金的損失。同時報告中亦指出,雖然有近九成的受訪企業遭遇到電腦犯罪事件,但其中高達八成的企業對此僅採取內部處置措施而已,如此情況頗堪令人玩味。 ‧為何需要數位證據、電腦鑑識 ? 所謂電腦犯罪(Computer Crime)或稱網路犯罪,乃是指以電腦為工具或為犯行目標的犯罪行為。在今日全面資訊化、電腦化的營運環境中,無論企業本身是否願意,電腦犯罪的攻擊者往往讓企業需要面對民刑事案件。也因此,企業可能在很多事件中都會遭遇到需要舉證據的情況。 舉例而言像是:有爭議的交易、員工的非法行為、協助司法調查等。 尤其在涉及民、刑事訴訟的情況中,訴訟結果往往相當依靠是否能提出有利的證據而定。 而由各項電子設備中依循一定程序與準則萃取出具證據力的數位證據,即是電腦鑑識的領域。 然而由於企業本身往往對於電腦鑑識並未有所了解,不明白該有的原則與處理流程,因此其所進行的鑑識調查時常會因犯下致命錯誤而失敗或嚴重影響證據的證據力 (當然,這端視法官的認定與訴訟抗辯過程而定)。這些常見的錯誤包含 : 基本的數位證據被忽略、數位證據遭銷毀或被污染、對數位證據進行了不恰當的處理等等。舉例而言 :前言一段中所提到的情況,除了受害程度不高,無須提起告訴的情況以外,有多達五成的案例中即是由於企業並未有充足的證據或資訊而無法提起告訴,因而僅能採取內部處置解決。 本篇文章將由電腦鑑識與數位證據對企業的幫助、數位證據的意義與特性、電腦鑑識的內容等項做概要介紹,以俾能讓讀者對此有所初步的了解。 ‧什麼是數位證據 ? 追根究底,電腦鑑識與數位證據之所以需要被以相當嚴謹的標準處理,甚至在萃取相關電磁紀錄時需要使用經認證、專業的工具或軟體,乃是由於透過鑑識過程所取出、分析後的數位證據將被用於法庭之上,甚至可能在訴訟中起關鍵性的重要作用。所謂『證據』,依照我國刑事訴訟法第 154條規定:「指在刑事訴訟法上具證據能力,並依本法所規定之方法為調查,而能做為認定犯罪事實之基礎者」。數位證據如同其他在法庭上被採納的證據般,一樣需要具有相同的特性。這包含可被採納性、證據的延續性、證據的重要性等幾項特性。 那麼,什麼是數位證據? 與一般證據(人證、物證、書證)不同,數位證據是 :『任何由電子設備或儲存媒體中所萃取出而做為證據的數位資料(無論該資料是否有受到人的介入)。他必須能以人們所能閱讀的格式呈現,或能經由專家的呈現,透過電腦程式的幫助來加以解釋』。這源自於電子設備的特性造成他在許多方面與傳統證據的鑑識上有些許不同,也因此由電腦衍生的證據對法庭與一般鑑識流程都產生了不少挑戰。電腦犯罪案件在證據的採集、分析、保存,以及往後法庭上的呈現都比一般案件困難許多。 這些差異處包含 :部分電腦資料具高度揮發性、電腦資料易於被更改且可被完美複製、蒐集到的證據會因處理過程而被改變、電腦原始資料不具可讀性、資料量可能極大、電腦資料無法個體化等等。這些差異使得鑑識人員為求確保數位證據在法庭上的證據力,得要能保證數位證據的完整性,因此證明所擷取的證據與原始資料相同是很重要的關鍵。這通常會透過雜湊函數(md5、SHA1)或密碼學的技術達成。此外由於數位資料並不像DNA或指紋一般具有獨一性,可供判別一獨特的個體,因此分析數位證據往往難以直接證實嫌犯的身分,需要傳統証據的輔助。 ‧電腦鑑識概述 : 由於數位證據在萃取、分析上與傳統證據有不同的需求,為了使由電腦系統中取出的數位證據能為法庭上所認可,必須要避免或降低其易竄改或消失等特性,並已可信賴的形式保存,才能使數位證據為法律、法庭上所認可成為判決的依據。因此需要透過一定的程序與原則來達成,而這就是電腦鑑識的領域。電腦鑑識意指利用科學驗證的方式來調查數位證據,針對數位證據的擷取、分析、解讀的過程,以利事件的偵查及使數位證據作為法庭上的證供。這包含下列四個主要元素: 1.數位證據的識別: 這是再整個鑑識流程中的第一步。了解存在著什麼樣的證據,證據被儲存在什麼地方。這對於決定該採用什麼樣的流程以協助證據的還原、收集是相當重要的。除此之外,電腦鑑識的檢驗人員必須要能夠識別儲存於設備中的資訊的類型與格式。如此才能以合適的技術將其自設備中萃取出來。 2.數位證據的保存 : 此項可概分為事件現場與後續鑑識過程兩類。在事件現場中,為了避免嫌犯觸碰電腦刪除相關證據或其他人無意間損毀數位證據(如 :關機、重新開機..等),首要事務即是控制現場。其次在後續鑑識過程中,為了能禁得起法庭上對證據的檢驗,除了必須要能夠保持最原始蒐集之證物的完整性、儘可能以對數位證據影響最小的方式來加以檢驗,並將所做的改動內容做詳實的紀錄。 3.數位證據的分析 : 由於電腦系統中所儲存的資料是位元流的型式,因此被擷取出來的數位證據往往需要後續處理並透過電腦程式的輔助以便人們能理解其意涵。除此之外,鑑識人員亦應分析鑑識結果與嫌犯間的關係,檢驗分析結果所得是否可以連結到嫌犯,藉以證明或推斷嫌犯的行為或用以呈現相關證物與電腦設備或人是否存在不可否認性。 4.數位證據的呈現 : 這方面可分成兩部分,一為鑑識報告的撰寫、一為將數位證據實際呈現於法庭之上。 報告的撰寫部分要陳述所發現的事實,而非個人的感覺、推測或主觀意見。而將數位證據實際呈現於法庭之上的議題則包含呈現的方式、解讀者的專業程度與品質、數位證據處理流程的可信度等。 在以上四項元素中,無論是在識別、分析或是呈現等階段,電腦鑑識的過程中往往需要大量的技術、工具支援。這些軟/硬體工具依照其用途,大致上可概分為 : 磁碟處理、壓縮與加解密工具、隱藏資訊探勘、惡意軟體偵測、監看與檢視、搜尋、分析與測試工具等。 過去由於這些鑑識工具往往來自於不同廠商,甚至散佈於不同套裝軟體之內,因此操作方式與介面往往大不相同,徒增鑑識人員困擾。因此便有廠商將前述各類工具的部分或全部功能,整合成相同的操作介面或自動化的分析程序,以俾使鑑識人員可以快速、有效率地進行鑑識工作。這類整合性工具知名的有 : e-fence的Helix、Guidance的Encase、AccessData 的Ultimate Toolkit。其中以 Encase較具公信力,為歐美法庭上常用的鑑識軟體,Helix則為免費軟體,其中集成了Windows、Unix上許多鑑識用工具,若讀者對此有興趣,不妨前往http://www.e-fense.com/helix/index.php下載使用。(未來要收錢了) ‧未來發展 : 即使電腦鑑識發展至今已有約近15年的歷史,其尚待改進、研究的議題依舊相當的多。未來除了學界、司法機關需更進一步對電腦鑑識的相關領域持續研究跟發展,企業本身也應能對電腦系統的管理人員進行宣導,以俾使在可能的電腦犯罪事件中能盡量妥善保存數位證據,方不致一昧遭犯罪者攻擊而無法訴求法律途徑反制。如此才能得以維護企業與企業客戶的權益,遏阻犯罪事件的發生。 ‧參考資料 : 1. 王旭正等,“資訊時代資安事件:數位媒介證據的來源、依據、判斷與說服力,”2005. 2. Peter Sommer, “Directors and Corporate Advisors’ Guide to Digital Investigations and Evidence,” www.iaac.org.uk, Sep. 2005. 3. Ajoy Ghosh, “Guidelines for the Management of IT Evidence,” APEC-Tel 29, Hong Kong, March 2004. 4. 電腦鑑識(computer forensics), http://www.cert.org.tw/document/column/show.php?key=67 |
|
| ( 休閒生活|生活情報 ) |
