近期網路犯罪猖獗,網路警察肩負重責大任調查事件,一件件案情蒐證追查,我們將這一系列的過程稱之為「數位鑑識」。
簡單釋義
數位鑑識是利用科學的技術進行蒐證與鑑定,進而找出事件的關連性,並將數位證據文件化,通常用於刑事與民事案件供執法人員於法庭中呈現。
舉例來說,前陣子發生一銀ATM盜領事件後,陸續有專家出面推演駭客入侵的過程,便是數位鑑識追查和分析。
鑑識SOP
而數位鑑識流程可分為五部分:辨別事件、保存證據、檢驗證據、分析與描述案發事件、呈現結果,以下簡單條列介紹。
★階段一:辨別事件
透過情報收集與案情分析,瞭解事件大致的發生過程,並推演造成的損害、後續問題與挑戰,從而構思應變方法和相關準備。
★階段二:保存證據
數位證據是決定犯罪與否的重要關鍵,所以保存證據為非常重要的環節,且因數位證據容易遭受破壞,所以抵達現場必須立即妥善保存相關證據,避免影響數位內容而導致失去證據能力。此外,也須對證據進行標示,標註案號、採集日期與時間等。
★階段三:檢驗證據
藉由鑑識軟體,對數位證據進行鑑識動作,從中獲得使用者對數位裝置從事過哪些動作,好比說瀏覽的網站、啟動的應用程式等。
★階段四:分析與描述案發事件
藉由數位鑑識分析的內容,將嫌犯與被害者的相關動作進行關聯,進而推敲獲得嫌疑犯的行為、犯罪現場與受害人的連結性等。
★階段五:呈現結果
此部分則是綜整一連串的數位鑑識結果,清楚描述證據來源、每一步驟的行為及使用的鑑識工具等所有相關內容,合理解釋案情中的各角色關係,進而成為法庭判決時的依據。
數位證據特性
數位證據與一般證據的差別在於它是以電子數位化的型態儲存或傳輸,可在法庭作為證據的電子資訊。
☆無法直接理解:數位儲存初始型態以0和1組成,難以直觀的解釋連續的01字串,如01010101000111,需經由特定設備來檢視。
☆容易竄改複製與刪除:每一次的檔案讀取,都可能改變資料的內容或狀態,如未受保護機制的檔案,任何人都可輕易地進行刪除和複製的動作。
☆難以蒐集與保存:必須依賴電子相關硬體和軟體技術取得,在保存方面則需透過特定介質來儲存與讀取,如硬碟、光碟、隨身碟等。
☆難以證明來源與完整性:與一般犯罪不同之處在於,犯罪者通常與犯罪現場分離,好比說駭客在網路上散布含有病毒的圖片,瀏覽過該張圖像的受害者裝置都可能中毒,則受害者遍布於世界各地。
☆難以建立連結:由於罪犯與犯罪現場通常是分開的,則有嫌犯入侵他人裝置進行犯罪活動,如此則需更多的相關證據,將其進行關聯。
當個人或單位遭受網路攻擊時,為了緩解損失與保留後續追查,以下兩點動作供大家參考
- 切斷網路:如此可中斷攻擊來源,減緩損失進行後續事宜。
- 保留映像檔:妥善保存數位證據,以利資安人員執行鑑識流程。
參考
- 數位鑑識的準備工作 參考政府機關應變作業機制https://www.informationsecurity.com.tw/article/article_detail.aspx?tv=&aid=6752&pages=5