资讯安全事件. 满不错的文章与大家分享
http://crazygo.net/Hyperweb...ost/22.aspx 2003/8/11
文 / 吴佳翰
三天前,我们接到来自这个资料处理中心的请求,希望能派人支援调查每周末发生的神秘攻击事件。根据报告,位在主机房后方的两台伺服器主机,会在每星期五晚上9点左右莫名其妙地自动重新开机,情况已持续了三个星期之久。这两台主机负责处理大量的线上报税资料,每日处理的资料数以百万笔。连续几次非常态开关机所引发的后果非常严重,换来的是数十通的抱怨电话及系统人员数夜不眠不休。虽然有规划所谓的备援系统,但备援系统启动的时间差总是不能尽如人意。近10秒的空窗期,将近百人的税务资料内容受到影响。在天气不好,用户不愿外出的情况下,上线的人更多,受影响的人也就越多。
我们检查了所有网路设备,系统的事件记录及硬碟上的残缺资料,花了将近三天的时间作资料整理及判读,试图从其中找出一些脉络。这次的调查,被攻击的标的明确,侵入时间点也固定,其实资料判读的工作并不算困难。对我们来说,将这些归纳出来的资料给证据化反而是最具挑战性的工作。哪些算有效证据、哪些不算,都必须经过很审慎的讨论,才能将方向定案。
美国司法界对于电脑证据的认定一直颇有争议。根据最佳证据法则(Best Evidence Rule)的定义,除非原始证据因不可抗力之理由而无法取得,否则所有在法庭提出的证据必须是原始证据。所以电脑证据在本质上其实并不符合最佳证据的描述,它可以被复制,可以被伪造,而且它既不是直接证据(Direct Evidence),也无法自我解读(Self-explanatory)。为了弥补电脑证据在先天上的缺陷,美国司法系统倾向对其作从宽的认定。认为电脑证据在本质上虽属于不能为法庭所采纳的传闻证据(Hearsay),但实务上,只要符合必须是自动化产生而无人力介入,必须是每日或每月例行产生而非针对特殊事件产生等几项要点,即可被视为是可以接受的例外情况。
虽有从宽的认定,但为了更加强电脑证据在法庭上的效力,美国联邦政府订定了非常严谨的证据搜集程序,不允许在过程中有任何暇玼。道理再简单也不过─只要是毒树上长出来的苹果,必然有毒。任意在法庭上使用毒苹果的代价奇高,一旦法庭认定证据的搜集程序有暇疵,证据即不被采纳,因耗日费时的调查过程很可能会功亏一篑。
我们在证据的认定及处理上非常小心翼翼,步步为营,谁也不敢掉以轻心。未经授权而进入联邦税务资讯系统是联邦重罪(Federal Felony),一旦确认税务资讯系统确实遭受攻击,必须立刻通知执法机关来接手整个调查,而我们所搜集及分析的资料必须全部提出,作为主要调查方向的指引及定罪的证据之一。
在经过的三天的分析及反覆讨论后,我们发现事有蹊跷,因为没有任何记录显示系统曾有被入侵或攻击的情事发生。我们确定神秘重开机事件与外来不速之客无关,亦即重开机的指令并非自远端透过网路而下,反倒像是有人潜进机房将这两台主机的电源强行关闭、重新打开。我们随即想到安装在机房天花板四个角落的监视摄影机,便要求调阅事件发生当时的机房监视录影带及人员进出记录。
我们看到的是三个星期前的录影带,画面上两台机器兀自在角落忙碌着,硬碟LED不断闪烁。但当画面时间显示9:01分时,怪事发生了,两台并列的主机的电源灯及液晶面板在同一时间一起熄灭,然后再度同时亮起。我们的判断没错,这两台机器的电源在同一时间被关闭,然后重新启动。只是,机房内空无一人,其他的机器也运作如常。我们面面相觑,这已经不是一般的资讯安全事件,反倒有点像是灵异事件。
资讯长要求提出详细报告,灵异事件绝对拿来不能当作答案。所以我们选定周未,在内外布下重兵及重装备,决定查个水落石出。
在守候了近四个小时之后,在9:02分时,没有预警的,神秘事件再度重演,毫不让人失望。但所有数据及记录显示,在系统重新开关机之前,内外一切作业如常,我们瘫在座位上,完全找不到任何头绪。主机房打来一通电话,Tim 说:他自己一人在主机房,背脊发凉,想回到控制中心与大家在一起。
我们处理过大大小小不同的资讯安全事件,从阻断服务攻击、追踪外来骇客到磁碟片的资料修复。无论何种事件,只要是以电子形式发生的,我们多能归纳出脉络,拼出全貌并追踪来源。但这一次算是遭逢挫败,我们决定先行打道回府,明日再战,先让系统人员进行损害评估及修复的工作。
当我们精疲力竭地经过大楼警卫值班室时,老先生Jeff 心疼地看着我们,说: 「看来你们都需要一瓶冰啤酒轻松一下… 」
我们只觉得好笑,这方圆20哩之内无任何人烟,隔壁大楼的餐厅也早已关门,那里找得到冰啤酒。只见Jeff弯下腰,打开了他放在脚边的小冰箱,笑咪咪地拿出一打啤酒,说:「我自备了冰箱,三个星期前我女儿买给我的。」我们看到那三分之一人高的冰箱,电源线直接连结到角落电脑设备专用插座。才知道过去两天来费力寻找的答案就在Jeff 脚边。
原来在周未值班的 Jeff 为了方便起见,决定在星期五当天便把周六及周日的餐点准备好,三个星期前,他的女儿为他买了一个二手小冰箱来存放他的餐点。每个星期五晚上九点报到的第一件事,便是将他值班桌上的电脑电源线移除(因为他用不着),并将冰箱电源线接上。在冰箱压缩机启动的时候,瞬间的供电不稳,导致在同一电流线圈的两台伺服器主机因电压不足而自动重新开关机。至于那两主机的电源为何与值班室里的插座在同一线圈上,没人知道。
现在,答案揭晓了,但困难的却还在后面。我们必须要向委员会报告调查结果,Jeff 是老好人,没有人希望他因为这样而丢掉工作。
资讯安全委员会如期召开,资讯长想知道,到底是什么东西在作怪,让他平白损失了近二十六万美元的额外支出。
老Jeff 的工作不保了,大家都这样想。
听完了调查报告,大家都摒息等待最后的裁示。只见资讯长开口:「我只有两个问题,第一、在我们现有的系统管理文件中或资讯安全政策中,有没有规定说电脑设备专用插座不能私接个人电器。第二、如果有的话,Jeff 知不知道?」
大家相视摇头,一片静默。
「我想也是。」,他接着说,「把这个新规定加进安全文件,然后上公布栏宣导,我不希望以后再看到任何人将自己的刮胡刀,吹风机或咖啡机等个人电器插到专用电源插座。然后通知电工组将机房的电源线圈与外界确实隔离。如果没有其他问题的话,今天就这样了。」资讯长接着合上笔记本,准备离席。
安全官赶紧站起来,问道:「那么Jeff呢?我们要如何处分他?」
资讯长想都不想,随即回答:「处分他?就算Jeff 因为这样把整栋建筑物都烧光了,如果没有任何书面文件说他不可以这样作,我们除了邀他一起坐下来看埸昂贵的烟火秀外,你什么也不能做。」
数星期后,我们再次经过Jeff 值班的桌前,心虚地告诉他我们觉得很抱歉,害他不能将小冰箱放在值班室。没想到他反倒很惊讶地看着我们说:「我应该要谢谢你们,几个星期前开始,我就不用再带冰箱了,因为你们的发现,他们为我在后面的储藏室买了一个更大更好的冰箱。」
我接触过、听过的事涉电脑犯罪侦查的案例少有快乐圆满的结局,这是一个。Jeff抚着他的啤酒肚时,那脸上满足的笑容正是这整个事件最好的注脚。(本文作者现职为勤业会计事务所企业风险服务组副理)