網路CSI:證據會說話
http://taiwan.cnet.com/enterprise/col...,20109612,00.htm林宏嘉 2006/09/14
上上個週末,凱達格蘭大道上眾多頭條中,有一則資訊界人士應該都十分關心,並引起網路上不小討論的新聞。某台商疑似上網張貼與慫恿網友製造動亂破壞社會秩序遭到刑事局以維護治安為由公布鎖定,宣稱某台商就是留言者。
事件也引發警方把網上張貼文章當成証據來源的爭議。根據刑事局公佈的內容:「查出十八日有兩篇來自嫌犯位在美國加州的公司及住家,廿八日嫌犯搭乘飛機過境日本成田機場及廿九日飛抵上海後,又連續張貼兩篇恐怖攻擊活動的內容,並常以不同帳號回覆推文增加文章曝光率,因而研判陳涉有重嫌。」而遭到鎖定的嫌犯則隔海回應調查草率與烏龍,並在某媒體專訪中回應以「當事人以帳號遭駭客盜用」並主張他並無涉案。雙方各說各話,活生生上演著一場羅生門的情節,以致於真相難明。
這名嫌犯所張貼的內容與其政治動機不在本文的討論範圍內。不過,整件事卻突顯出一項十分有趣的議題:以網路行蹤來判定元凶,究竟可不可行?
道高一尺、魔高一丈,今天的網路世界無疑成了數位犯罪天堂,在敵暗我明情況下,罪犯追蹤又難上加難。本文將把重點放在虛擬世界中如何去判定某件事是不是某個人所為,以及有什麼IT科技可以協助警方糾出可能的真兇。
從技術上來說,上網張貼文章在討論區要追查其網路位址並不困難。一般使用者或許認為網路的浩瀚無邊與隱密性因此要隱藏身份相當簡單而相對追查其行為不太容易。其實不然;最明顯的例子是,大家或多或少都上過聊天室,上網夠savvy的人就會知道,有些聊天室在你進入時會自動顯示你此時上網的IP來源位址,這個IP address就可以作為來源追蹤的參考。
「等一下,光是透過IP address判定並不足以驗證使用者身分真偽,」你說。的確,以現行網路環境複雜度而言,駭客或是有心人士是有可能透過系統本身的漏洞、植入木馬、傀儡等等諸多手法遠端遙控、滲透亦或是鍵盤側錄而將其帳號密碼竊取,進行非電腦與帳號擁有者自願之行為。舉例而言,當你的PC遭駭客透過坊間常見的木馬以及鍵盤側錄程式進行滲透,駭客不但可以很輕易在神不知鬼不覺中將你的帳號/密碼記錄下來,也可以利用這台被「佔領的」PC進行後續攻擊行為;事實上,這類跳板攻擊手法在各大資安事件中已屢見不鮮。
但這是否意味著有心人士真能利用駭客手法,隱藏真正行為與意圖,讓警方完全束手無策,甚至可以逍遙法外?
凡走過必留下痕跡
在影集《CSI犯罪現場》中,一個血腳印、一顆掉落的鈕扣,都可能成為破案的關鍵--重要的是,它是否能在辦案人員的仔細推敲與聯想下,成為真相拼圖中的一塊,破案基礎在於一個簡單的概念:「凡走過必留下痕跡」,而這在網路上也是適用的。每一次的上網行為都是一步一腳印、留下猶如DNA般獨一無二的痕跡。例如,登入網路後不管是使用者本身自發性的去了哪些位址、瀏覽了哪些網頁、做了什麼動作、抑或是被駭客滲透,或是任何自願性的進行存取等等,隨著網路科技的進步,這些都可以利用網路與電腦鑑識技術作為偵查的輔助。不管是由來以久植入木馬的駭客手法,或是現今新興的傀儡與間諜程式,都能被有效透過蒐證與分析手法找出來。
網路鑑識(Network Forensics )及電腦鑑識(Computer Forensics )便是應用在電腦犯罪與相關安全事件發生時進行的風險對應與管理的相關技術及能力。目前這類技術已經開始廣泛的被應用在電腦犯罪、資訊安全威脅評估與分析以及機密資料外洩等領域上。和《CSI》講求的科學辦案一樣,網路鑑識也具有深厚的科學基礎:透過最新且嚴謹的技術與程序,以及數學演算、分析等技術,針對上述行為進行數位蒐證及事件關聯調查,將有助於事實與真相的還原。這也是本專欄以「網路CSI」為名的原因;後續筆者將有一系列文章來討論鑑識技術如何用於確保網路安全,甚至網路犯案的偵查。
X X X X X X X X X X X
回到這個新聞事件。如果真如當事人堅稱係駭客於背景進行相關行為,那麼在其電腦設備中應該存在相當豐富的駭客「痕跡」,只要像《CSI》一樣進行現場重建,警方除了可以詳細確認是否真的遭受駭客植入程式攻擊,模擬其網路行為重覆驗證涉案之真實性,更可以檢驗證據之真偽以防止事後證據之偽造與加工來逃避其行為責任。
這裏的重點是:鑑識人員要在茫茫人海中鎖定特定對象,甚至判定某個人否涉案,都是經過相當複雜與繁瑣分析程序的結果,以確保追查罪犯勿枉勿縱,絕非草率如嫌犯所說只是依照IP address。當過多調查方向不利於你時,倒底是巧合、是證據?是有罪、是無罪?且讓數位證據來說話。