网路CSI:证据会说话
http://taiwan.cnet.com/enterprise/col...,20109612,00.htm林宏嘉 2006/09/14
上上个周末,凯达格兰大道上众多头条中,有一则资讯界人士应该都十分关心,并引起网路上不小讨论的新闻。某台商疑似上网张贴与怂恿网友制造动乱破坏社会秩序遭到刑事局以维护治安为由公布锁定,宣称某台商就是留言者。
事件也引发警方把网上张贴文章当成证据来源的争议。根据刑事局公布的内容:「查出十八日有两篇来自嫌犯位在美国加州的公司及住家,廿八日嫌犯搭乘飞机过境日本成田机场及廿九日飞抵上海后,又连续张贴两篇恐怖攻击活动的内容,并常以不同帐号回覆推文增加文章曝光率,因而研判陈涉有重嫌。」而遭到锁定的嫌犯则隔海回应调查草率与乌龙,并在某媒体专访中回应以「当事人以帐号遭骇客盗用」并主张他并无涉案。双方各说各话,活生生上演着一场罗生门的情节,以致于真相难明。
这名嫌犯所张贴的内容与其政治动机不在本文的讨论范围内。不过,整件事却突显出一项十分有趣的议题:以网路行踪来判定元凶,究竟可不可行?
道高一尺、魔高一丈,今天的网路世界无疑成了数位犯罪天堂,在敌暗我明情况下,罪犯追踪又难上加难。本文将把重点放在虚拟世界中如何去判定某件事是不是某个人所为,以及有什么IT科技可以协助警方纠出可能的真凶。
从技术上来说,上网张贴文章在讨论区要追查其网路位址并不困难。一般使用者或许认为网路的浩瀚无边与隐密性因此要隐藏身份相当简单而相对追查其行为不太容易。其实不然;最明显的例子是,大家或多或少都上过聊天室,上网够savvy的人就会知道,有些聊天室在你进入时会自动显示你此时上网的IP来源位址,这个IP address就可以作为来源追踪的参考。
「等一下,光是透过IP address判定并不足以验证使用者身分真伪,」你说。的确,以现行网路环境复杂度而言,骇客或是有心人士是有可能透过系统本身的漏洞、植入木马、傀儡等等诸多手法远端遥控、渗透亦或是键盘侧录而将其帐号密码窃取,进行非电脑与帐号拥有者自愿之行为。举例而言,当你的PC遭骇客透过坊间常见的木马以及键盘侧录程式进行渗透,骇客不但可以很轻易在神不知鬼不觉中将你的帐号/密码记录下来,也可以利用这台被「占领的」PC进行后续攻击行为;事实上,这类跳板攻击手法在各大资安事件中已屡见不鲜。
但这是否意味着有心人士真能利用骇客手法,隐藏真正行为与意图,让警方完全束手无策,甚至可以逍遥法外?
凡走过必留下痕迹
在影集《CSI犯罪现场》中,一个血脚印、一颗掉落的钮扣,都可能成为破案的关键--重要的是,它是否能在办案人员的仔细推敲与联想下,成为真相拼图中的一块,破案基础在于一个简单的概念:「凡走过必留下痕迹」,而这在网路上也是适用的。每一次的上网行为都是一步一脚印、留下犹如DNA般独一无二的痕迹。例如,登入网路后不管是使用者本身自发性的去了哪些位址、浏览了哪些网页、做了什么动作、抑或是被骇客渗透,或是任何自愿性的进行存取等等,随着网路科技的进步,这些都可以利用网路与电脑鉴识技术作为侦查的辅助。不管是由来以久植入木马的骇客手法,或是现今新兴的傀儡与间谍程式,都能被有效透过搜证与分析手法找出来。
网路鉴识(Network Forensics )及电脑鉴识(Computer Forensics )便是应用在电脑犯罪与相关安全事件发生时进行的风险对应与管理的相关技术及能力。目前这类技术已经开始广泛的被应用在电脑犯罪、资讯安全威胁评估与分析以及机密资料外泄等领域上。和《CSI》讲求的科学办案一样,网路鉴识也具有深厚的科学基础:透过最新且严谨的技术与程序,以及数学演算、分析等技术,针对上述行为进行数位搜证及事件关联调查,将有助于事实与真相的还原。这也是本专栏以「网路CSI」为名的原因;后续笔者将有一系列文章来讨论鉴识技术如何用于确保网路安全,甚至网路犯案的侦查。
X X X X X X X X X X X
回到这个新闻事件。如果真如当事人坚称系骇客于背景进行相关行为,那么在其电脑设备中应该存在相当丰富的骇客「痕迹」,只要像《CSI》一样进行现场重建,警方除了可以详细确认是否真的遭受骇客植入程式攻击,模拟其网路行为重覆验证涉案之真实性,更可以检验证据之真伪以防止事后证据之伪造与加工来逃避其行为责任。
这里的重点是:鉴识人员要在茫茫人海中锁定特定对象,甚至判定某个人否涉案,都是经过相当复杂与繁琐分析程序的结果,以确保追查罪犯勿枉勿纵,绝非草率如嫌犯所说只是依照IP address。当过多调查方向不利于你时,倒底是巧合、是证据?是有罪、是无罪?且让数位证据来说话。