SANS 10月份受資策會邀請,在台北舉辦數位鑑識講座。由Philip Hagen主講,題目Convergence Forensics: Leveraging Multiple Skills to Analyze Evidence.。
主講者本身從事鑑識工作多年,現在管理美國國家安全部門的85名數位鑑識專業的團隊,並為執法部門,政府和商業客戶提供法證諮詢服務。有很多經驗發展出了實務技巧與觀念。
鑑識的目的最終有很大的比例是為了「訴訟」,本身鑑識活動也需要耗費相當的人力時間及其他資源。也許有可能是為了研究惡意程式的攻擊行為,以防範未然,據以提升防禦策略等。惡意程式行為有很大的機會找出來源,但因為其行為是非特定可識別的群體,最後很可能無法追究。人的電腦使用行為記錄,相較之下,被定案可能性就高了一些。
事件發生的跡證
也許你會這麼問:「事件不就是把記錄調出來看嗎?」我們舉一個簡單的例子,來說明系統提供的log 與事件本身的關係。這是一個真實案例,作業系統的記錄(已簡化)摘要如下
Connect usb
Found Device “Name”
Mount virtual CD drive
Assign driver letter X:
AutoRun Huawai.exe
光從這些記錄很難推斷到底發生甚麼事,除非曾經有過類似經歷。或者調查員對網路連接程序熟悉,才可能有比較好的推論。這其實是PC利用USB 4G連線上網,以規避公司網路管理。當然,同一時間系統上會有很多事件發生,檢視這些記錄的時候,要先篩選過,濾除不必要雜訊,接下來的分析工作會比較好進行。上述的硬體連接記錄,當然是分類篩選過,才會如此正規。
有效限縮蒐證範圍,濾除不必要雜訊
如果要調查的事件非常不明確的話,這是最糟的狀況。預計可能會陷入無止盡蒐證,也無法確認或無法做完。現在的硬碟容量或資訊量常以TB計算,真要全部鑑識完畢,可能數月到數年之久。如此類不知道發生甚麼事,也不知道何時? 只是籠統的要找不法事件的跡證,其意義不大。可得的事件資訊特徵、現象描述、損害評估等愈具體愈有助於縮小蒐證範圍。
組織鑑識團隊,人非萬能,需要各方面專才
數位鑑識包括了很多範疇,我們所使用的電腦系統包括了作業系統、韌體、應用程式軟體、網路連接、周邊裝置、記憶體及儲存系統等。沒有人是全能的,組織鑑識團隊就需要招攬各領域的專才,專業分工處理不同類型的證據。甚至在處理期間,因案件類型不同,所需的專業組合也可能不同。
證物保留的選擇與盲點
以往的認知,是一群人衝進辦公室,瞬間控制現場,然後將物證扣押,打包回鑑識實驗室。這觀念現在有點改變了,比起只有靜態資料,若有事發現場可追查找到的證據將更完整。所以,live現況採證,是最寶貴的線索;關機後程序不存在,記憶體也消失,得到的系統資訊並非在活動狀態。而在磁碟上的是”歷史上曾經發生,且有留下記錄”。靜態的記錄畢竟無法充分描述程序的活動行為。
當然活體採證也有技術性問題,當執行了採證工具後,系統記憶體的狀況已然發生改變;無法有效排除證據汙染問題。但Philip Hagen提到了一個完美案例:
當他的團隊進入委託人的辦公室時,被調查的當事人驚然的把筆電快速蓋上,這時系統進入「休眠」。這實在再完美也不過了,可以想像成瞬間凍結,連記憶體中的程序活動都被保留下來。鑑識團隊就可從容不迫取證,也不用擔心證據消逝或破壞。
不見得每件事都能水落石出
Philip Hagen 也分享了這個概念,不是所有的事件都會成案,不是所有的案子都會進入司法程序。
證據不充足是主因。有些案件調查到一定程度,因為所得的資訊不夠充份,也就無法證明有不法行為。這個現象很常見,系統本身保留證據記錄的缺漏,造成證據效力不足。以上面的4G上網為例,我們只證明了1.有連接USB裝置 2.有掛載虛擬光碟機 3.虛擬光碟機有autorun。但有了上述三項,就可以與上網畫上等號嗎?如果要證明某員工利用4G卡上網,我們最起碼還缺了那些記錄佐證?
- 該裝置必為該員所使用(登入/登出/IP/HostName/UserName/Account)
- 虛擬光碟中執行了程式必須被執行(軟體執行記錄);AutoRun 描述不代表該程式一定有執行;且該程式必須是連線程式(連接Wifi /4G 記錄)。
- 必須證明有上網的記錄,例如瀏覽了 https://tw.yahoo.com (history或許只能證明曾經,不足以證明裝置、時間或真的是該人員所為?)
- 這些記錄必須確保完整性及不可否認性
再加上上述這些佐證才能更堅固,部分的記錄可能需要第三方軟體協助。如果使用系統時發生事件的當下,已經記錄並結構化妥善保存,而不是僅是靠留在本機的系統log,相信對事件調查會更容易釐清。