FineArt News

資安新知

反鑑識技術對鑑識調查的衝擊-應用於企業資訊保護

網路發達後電子犯罪很難被調查和成功起訴,主要是因為鑑識調查人員必須根據電腦系統裝置上,留下的人為操作所造成的跡證,來使的案件成立。但如今,撇除了大部分的跡證根本不在本地裝置;而人們也普遍了解數位取證程序方法和技術,多少會嘗試使用相對應的反制技術,盡可能有效地干擾調查程序。在許多情況下,這種對抗調查的技術似乎會使得鑑識取證變的過於昂貴,或者實行起來太過耗時。結果案件通常會不了了之被放棄。用於對抗 (付) 數位取證過程的方法統稱為反取證。

 

影響取證成功的因素

從實務的角度探討數位取證各階段的反取證議題,其中鑑識檢查的可能弱點包括:

  • 人為因素: 每個調查員都有不同的調查方法。有效性會有所不同,包括警覺性、教育、經驗和直覺等特徵。
  • 對工具的依賴: 鑑識檢查主要依賴工具取證。然而, 這些可以受到汙染, 從而影響證據恢復的準確性和有效性。有些調查員可能只有有限的工具, 這可能對檢查結果產生不利影響。
  • 物理/邏輯限制: 這些限制包括硬體資源的可得性, 如寫入防護、USB 存放裝置等, 以及調查的時間範圍和財務支援。

除了上述情況, 我們生活在一個技術日益進步的時代。因此, 調查人員經常面臨要跟上新技術的挑戰。以下將涵蓋各種方法,以破壞妨礙證據提取、保存和可對罪犯有利的具體作法。提供如何防護手段來對抗鑑識取證的詳細資訊。先從鑑識程序開始

 

鑑識程序

數位證據取證復原需要大量的準備工作,以避免證據在法庭上被駁回。面對這些特有的質疑,意味著執法部門必須遵守嚴格的程序。

  1. 收集 – 從電子設備中提取證據或檔案,包括即時或儲存或暫存的資訊
  2. 審查 – 審查收集到的證據,找出案件的來源關聯和相關特徵
  3. 分析 – 查看在取證階段找到的結果, 以在案例中尋找其潛在證據價值
  4. 報告/陳述 – 這涉及對檢查過程的完整描述和作為證詞而修復的資料

在這過程中,收集保管證物程序可能是罪犯利用反取證方法的唯一有效階段。除了利用程序上的疏失來辯護,為了使得鑑識的證據不具效力,最根本源頭就在資料產生時。如果能在此時將資訊處理過(例如,加密),讓鑑識人員取得後也無法成為有效證據,最直接的方法就是隱藏資訊。

 

隱藏資訊(Hiding data)

通常,當事人必須確保在未來能夠存取資料,因此可能有必要使用某些技術來隱藏資料。擾亂資料和加密能夠限制調查人員識別和收集證據,同時允許自己存取和使用。雖然這些方法可能並不完全妨礙證據的發現,但它確實造成調查人員的障礙和復原困難。

  1. 加密
    最廣為人知的隱藏資料形式之一就是將運用資料加密方法。但此法在鑑識調查人員利用大多數的取證工具,都包括解密軟體或功能來克服這一點。此外,如果當事人拒絕披露加密金鑰,必須假設執 法部門能夠建立足夠的間接證據進行起訴。根據開放權利組織的資訊,在2012至2013年共有19人拒絕披露解密金鑰,在這19項拒絕中,只有3項受到起訴。事實上,罪犯可以通過在加密分區中創建加密分區來對此進行反制。在第一個分區內,罪犯可能希望包含少量證據,以便調查人員相信他們已找到他們正在尋找的資料。雖然在不知不覺中,第二層輔助分區包含希望隱藏的最大數  量的加密資料。這不僅提供了一種有效的隱藏資料的方法,而且還在不違反2000年《調查權力條例法》的情況下,自願披露第一個加密金鑰。這種加密分層方法對調查人員取證的障礙 "幾乎不可能被克服"。
  1. 偽裝
    另一種可用於隱藏資料的加密方法是將隱藏技術應用於圖檔。(這些包括像JPEG、MBP、MP3、WAV檔)。雖然這提供了一種隱藏資料的簡單方法,但隱身技術存在的限制包括:
    1. 安全強度 – 如果調查人員檢測到使用隱身技術,解除的方法相對簡單,鑑識取證工具如FTK。
    2. 容量有限 – 打算隱藏的資料的大小會影響圖像大小。因此,只有少量資料使用隱身術進行加密。
    3. 視覺失真 – 將資料加密為圖像和其他媒體格式可能會降低檔案的品質。

   相類似原理的作法還有利用memory隱藏,slack space(檔案未利用的空間) 和隱藏目錄或分區。

  1. Live CDs 、Virtual Disks 或其他外部開機裝置
    使用可開機運作Live CDs and Virtual Disks,此方法提供一種簡單的執行工作方法,而無需將資訊直接存儲在主機上。雖然這可能無法長期隱藏資訊,但確實允許快速隱藏應用程式和檔案(不在主機裝置上),但某些組態設定檔可能會保留在電腦上。
  1. 蹤跡模糊處理
    蹤跡模糊處理基本包括使用各種工具來誤導混淆調查或阻斷從設備中提取證據。讓調查人員難以通過系統追蹤到軌跡記錄,從而將調查引導到錯誤的方向。這可能是一種有價值的反鑑識方法,有許多工具可用於偽造記錄和行為軌跡模糊處理。
  1. 物理破壞
    消磁處理是使用磁力場從磁片中刪除所有資料的過程。使用正確的消磁器將保證您的資訊不再可檢索。對儲存媒體進行物理性破壞,如鑽孔等。

 

結論

雖然上面提到的議題,都在反制鑑識調查,看起並非正面的事情。事實上相同的技術,也是可以用來好好的保護個人隱私和企業營業資訊。例如磁碟清理程式,原為保護個人機密資料,將資料徹底刪除,使其無法找到或還原,避免資料外洩,提高安全性。NIST SP-800-88 也建議了敏感機關,對於報廢,移交,維修磁性儲存媒體之前,實施消磁處理。我們自己使用的手機在汰換、轉售或移交之前,也希望能消除所有個人隱私資訊,以免被有心人挖出不法利用。