資訊戰與數位鑑識

資 訊 戰 攻 擊 與 入 侵 證 據 鑑 識 柯 宏 叡 1 王 旭 正 2 黃 嘉 宏 3 3 詹 前 隆 1. 彰 化 縣 警 察 局 資 訊 室 2. 中 央 警 察 大 學 資 訊 管 理 系 所 3. 元 智 大 學 資 訊 管 理 系 所 摘 要 資 訊 科 技 的 進 步, 讓 人 民 的 生 活 更 加 便 利, 如 今 許 多 人 的 生 活 中 也 都 擺 脫 不 了 資 訊 科 技 所 帶 來 的 影 響, 例 如 : 網 路 新 聞 線 上 交 談 網 路 交 易 視 訊 會 議 電 子 郵 件 等 都 影 響 著 人 民 的 生 活 習 慣 然 而, 資 訊 科 技 的 重 要 性 日 增, 其 在 戰 略 上 的 價 值 亦 隨 之 日 增 在 今 日 論 及 戰 爭 戰 略 中, 資 訊 科 技 的 運 用 也 成 為 另 一 重 要 的 戰 爭 型 態 - 資 訊 戰 而 對 抗 資 訊 戰 之 道 並 非 只 有 攻 擊 而 無 分 析 與 防 禦, 因 此, 本 文 除 先 討 論 資 訊 戰 與 其 形 式 外, 更 進 一 步 探 討 數 位 鑑 識 於 資 訊 戰 的 應 用 與 證 據 的 留 存, 提 出 基 本 見 解 與 看 法, 作 為 資 訊 戰 攻 防 的 重 要 策 略 關 鍵 詞 : 資 訊 戰 (Information Warfare) 資 訊 鑑 識 (Information Forensics) 電 腦 鑑 識 (Computer Forensics) 數 位 鑑 識 (Cyber Forensics) 數 位 證 據 (Digital Evidence) 網 際 網 路 攻 擊 (Internet Attack) 電 腦 犯 罪 (Computer Crime) 一 前 言 近 年 來 隨 著 資 訊 科 技 的 快 速 發 展, 讓 人 們 的 溝 通 管 道 工 作 型 態 等 均 產 生 了 許 多 的 變 化 人 們 現 今 透 過 網 路 取 得 新 知 進 行 交 易 認 識 朋 友, 甚 至 可 跨 國 組 合 虛 擬 團 隊 而 人 們 的 生 活 仰 賴 資 訊 科 技 的 服 務 日 益 加 深, 相 關 資 訊 建 設 也 成 為 先 進 國 家 不 可 或 缺 的 關 鍵 基 礎 建 設 從 另 一 方 面 來 看, 資 訊 科 技 的 重 要 性 提 高, 在 不 法 攻 擊 者 眼 中 的 重 要 性 也 隨 之 提 高 在 網 路 攻 擊 者 的 眼 中, 資 訊 科 技 的 提 昇 與 普 及, 讓 他 們 的 範 圍 與 能 力 也 隨 之 擴 大 每 一 條 線 路 就 相 當 於 多 開 了 一 條 大 道, 每 一 次 的 電 腦 昇 級 就 相 當 於 增 加 更 多 的 人 手 若 是 集 合 這 些 網 路 攻 擊 者, 提 1

供 足 夠 的 資 源, 要 求 對 特 定 目 標 進 行 攻 擊, 威 力 將 形 同 戰 爭 戰 爭, 多 年 來 常 被 視 為 是 人 類 野 蠻 行 為 之 一 然 而 各 國 卻 又 不 能 完 全 免 除 軍 備, 即 使 並 非 主 動 進 行 攻 擊, 也 要 能 確 保 防 禦 能 力 而 在 此 新 世 代 中, 資 訊 技 術 的 先 進 與 否 資 訊 資 源 的 多 寡 知 識 能 力 的 有 無 將 是 決 定 各 國 國 力 的 重 要 指 標 在 此 一 面 向 上, 原 本 的 軍 事 強 國 未 必 能 持 續 擁 有 優 勢, 美 國 與 中 國 都 持 續 發 展 資 訊 戰 戰 力, 為 求 在 未 來 的 戰 場 上 能 占 有 一 席 之 地 [9] 在 敵 對 雙 方 交 戰 之 際, 對 於 如 何 利 用 / 干 擾 / 破 壞 對 方 的 資 訊 系 統, 將 成 為 左 右 最 終 結 果 的 關 鍵 之 一 然 而 戰 爭 無 眼, 何 時 何 處 或 何 者 會 發 動 資 訊 戰 難 以 得 知 因 此, 如 何 料 敵 機 先, 在 敵 人 尚 未 全 面 發 動 攻 擊 之 際 就 先 加 以 阻 絕 或 降 低 傷 害, 也 是 一 門 重 要 的 課 題 因 此 我 們 需 要 兩 大 防 線 : 資 訊 安 全 防 衛 機 制 與 資 訊 鑑 識 我 們 透 過 資 訊 安 全 機 制 來 進 行 防 禦, 以 層 層 稽 核 建 立 完 整 的 紀 錄 ; 若 資 訊 安 全 系 統 發 生 攻 擊 時, 就 透 過 資 訊 鑑 識 來 找 出 入 侵 者 並 加 以 阻 絕 本 論 文 的 章 節 安 排 如 下 : 第 二 節, 我 們 就 駭 客 攻 擊 與 資 訊 戰 進 行 討 論 ; 第 三 節 為 資 訊 鑑 識 應 用 之 探 討 ; 第 四 節 為 數 位 證 據 留 存, 我 們 就 證 據 可 能 存 留 的 標 的 進 行 探 討 ; 第 五 節 為 綜 合 討 論, 藉 此 提 出 相 關 建 議 ; 最 後 於 第 六 節 中, 則 是 對 於 資 訊 戰 與 資 訊 鑑 識 的 結 論 二 駭 客 攻 擊 與 資 訊 戰 根 據 CSI/FBI (Computer Security Institute / Federal Bureau of Investigation) 2006 年 的 電 腦 犯 罪 與 安 全 性 調 查 報 告 指 出, 回 覆 的 313 家 公 司 遭 受 病 毒 攻 擊 的 損 失 高 達 1,500 萬 美 元, 未 經 授 權 的 存 取 損 失 約 1,000 萬 美 元, 綜 合 各 種 損 失 將 近 5,200 萬 美 元 若 再 由 616 家 公 司 回 覆 的 資 料 來 看, 已 有 98% 的 公 司 擁 有 防 火 牆 設 備 97% 的 公 司 擁 有 防 毒 軟 體 79% 的 公 司 擁 有 反 間 諜 軟 體, 如 圖 1 所 示 2

圖 1 擁 有 資 訊 安 全 設 備 比 例 圖 2 電 腦 犯 罪 發 生 比 例 儘 管 這 份 調 查 報 告 不 能 完 全 代 表 全 球 的 現 況, 但 我 們 可 以 從 中 發 現 即 使 強 化 了 資 3

訊 安 全 設 備, 還 是 不 能 完 全 免 除 駭 客 的 攻 擊 此 外, 從 犯 罪 行 為 調 查 中 我 們 發 現 除 了 電 腦 病 毒 外, 其 他 像 是 不 當 網 路 / 資 料 存 取 系 統 入 侵 滲 透 都 占 相 當 高 的 比 重, 而 常 見 於 報 章 雜 誌 的 網 頁 遭 置 換 的 情 形 所 占 比 重 反 而 不 高, 如 圖 2 所 示 這 顯 示 內 部 人 員 與 網 路 控 管 尚 未 完 備, 而 且 攻 擊 者 的 行 為 更 是 企 圖 深 入 組 織 核 心, 而 非 只 是 藉 由 入 侵 網 站 而 出 名 在 此, 我 們 先 回 顧 一 下 近 兩 年 來 的 一 些 資 訊 安 全 事 件 : (i)2006 年 部 落 格 服 務 網 站 無 名 小 站 遭 到 XSS(Cross Site Scripting) 入 侵 並 竊 取 會 員 個 人 資 料 (ii)2006 年 4 月 愚 人 節 期 間,4 月 1 日 至 4 月 3 日 的 3 天 期 間 內, 台 灣 便 有 近 200 個 網 站 遭 駭 客 置 換 網 頁 (iii)2007 年 4 月, 交 通 部 觀 光 局 ESPNSTAR 體 育 台 手 機 王 台 灣 電 子 地 圖 網 站 均 遭 人 植 入 惡 意 連 結, 一 旦 連 線 至 該 網 站 就 會 下 載 並 執 行 病 毒 / 木 馬 程 式 (iv)2007 年 5 月, 刑 事 警 察 局 破 獲 一 起 駭 客 入 侵 商 家 電 腦 竊 取 商 業 機 密 來 搶 訂 單 的 案 例 陳 姓 攻 擊 者 離 職 後, 竟 持 昔 日 登 錄 的 帳 號 侵 入 老 東 家 的 電 腦, 藉 以 竊 取 商 業 機 密 來 搶 單, 造 成 老 東 家 損 失 慘 重 (v)2007 年 6 月, 美 國 國 防 部 內 部 網 路 系 統 曾 遭 駭 客 成 功 入 侵, 並 導 致 國 防 部 長 辦 公 室 電 腦 被 迫 關 閉, 調 查 顯 示 攻 擊 方 來 自 中 國 人 民 解 放 軍, 雖 然 中 國 外 交 部 已 否 認 此 事, 但 對 於 中 國 駭 客 的 實 力 已 經 不 可 輕 忽 這 在 德 國 總 理 梅 克 爾 (Angela Merkel) 訪 問 北 京 前 夕, 德 國 明 鏡 週 刊 也 指 出, 德 國 總 理 與 外 交 部 及 其 他 政 府 機 關 辦 公 室 的 電 腦 感 染 木 馬 間 諜 程 式 該 篇 報 導 指 出, 德 國 情 治 單 位 相 信 入 侵 的 駭 客 與 中 國 人 民 解 放 軍 有 關 (vi)2007 年 8 月, 華 文 世 界 最 大 的 BBS 批 踢 踢 實 業 坊 (PTT) 發 生 有 史 以 來 最 大 的 安 全 漏 洞, 長 達 20 分 鐘 的 時 間, 新 登 入 的 使 用 者 都 享 有 站 長 權 限, 可 以 瀏 覽 版 友 們 的 真 實 個 人 資 料, 近 百 萬 名 網 友 的 個 人 隱 私 外 洩! 在 以 往 資 訊 安 全 攻 防 中, 駭 客 多 為 對 系 統 或 安 全 機 制 好 奇 者, 他 們 入 侵 的 目 4

的 在 於 探 索 系 統 並 挑 戰 權 威 與 技 術, 或 者 藉 由 入 侵 行 為 出 名, 例 如 入 侵 網 路 後 會 更 改 首 頁 並 留 言 而 今 有 些 網 路 攻 擊 者 的 入 侵 卻 已 不 是 為 了 出 名, 而 是 為 謀 利! 並 且 在 攻 擊 之 際 還 會 試 圖 竊 取 重 要 資 料, 例 如 入 侵 網 站 後 不 會 去 修 改 首 頁 留 下 名 號, 而 是 留 下 木 馬 程 式 或 惡 意 連 結 用 以 增 加 受 害 電 腦 數 量, 或 藉 此 再 深 入 組 織 核 心 竊 取 機 密 資 料 我 們 可 以 見 到, 這 些 攻 擊 者 在 逐 漸 走 向 集 團 化 分 工 化 惡 意 化 的 同 時, 也 宣 示 了 這 些 攻 擊 者 將 會 在 利 益 的 影 響 之 下 受 到 僱 用 進 行 攻 擊, 這 批 人 將 可 能 成 為 發 動 資 訊 戰 的 士 兵 接 下 來, 我 們 來 探 討 何 謂 資 訊 戰, 以 及 資 訊 戰 的 形 式 (1) 資 訊 戰 : 資 訊 戰 這 個 名 詞 常 因 媒 體 的 報 導 而 產 生 誤 解, 例 如 將 1999 年 兩 岸 駭 客 大 戰 2001 年 中 美 駭 客 大 戰 也 視 同 資 訊 戰 然 而 這 只 是 駭 客 相 互 攻 擊, 以 竄 改 網 頁 為 主, 並 非 有 系 統 且 深 入 進 行 資 訊 干 擾 或 破 壞, 也 無 明 顯 證 據 證 明 有 透 過 國 家 力 量 在 進 行, 因 此 實 在 不 能 稱 為 資 訊 戰 所 謂 資 訊 戰, 我 們 可 定 義 為 : 藉 由 對 資 訊 或 資 訊 資 源 進 行 保 護 利 用 破 壞 阻 絕 摧 毀 的 行 為 所 組 成, 以 比 對 方 達 到 更 重 大 的 優 勢 目 的 或 取 得 勝 利 這 種 隨 著 科 技 的 進 步 而 轉 變 到 全 球 化 全 民 化 的 作 戰 方 式, 形 成 一 種 新 的 戰 爭 形 態 : 在 軍 事 上 的 特 徵 就 是 以 有 限 手 段 打 無 限 戰 爭, 因 為 是 超 越 一 切 界 線 和 限 度 的 戰 爭, 故 又 可 稱 為 超 限 戰 [4] 同 時 發 動 資 訊 戰 的 主 體 應 為 國 家 或 是 區 域 聯 盟, 方 能 超 脫 於 國 家 法 令 進 行 攻 擊 行 為 是 故, 資 訊 戰 有 以 下 的 特 點 [3, 8]: (A) 資 訊 戰 費 用 低 : 現 今 進 行 資 訊 戰 無 須 高 階 工 程 技 術 設 備 持 續 的 後 勤 補 給 即 可 進 行 以 往 的 戰 爭 所 需 的 裝 備 與 相 關 設 施 只 有 特 定 公 司 / 工 廠 方 有 能 力 進 行 製 造, 並 且 所 費 不 貲 在 人 員 上 需 長 時 間 的 訓 練 方 能 培 育 成 戰 士, 並 需 要 持 續 的 後 勤 補 給 方 能 讓 戰 役 進 行 然 而 在 資 訊 戰 的 領 域 中, 系 統 入 侵 攻 擊 的 硬 體 所 需 費 用 並 不 高, 擁 有 個 人 電 腦 與 網 路 線 即 可 進 行 只 有 系 統 漏 洞 尋 找 與 分 析 才 需 要 較 高 階 的 技 術, 一 旦 找 到 相 關 漏 洞 便 可 製 成 攻 擊 程 式, 攻 擊 者 只 要 熟 悉 使 用 攻 擊 程 式 就 可 以 展 開 攻 擊 (B) 資 訊 戰 風 險 低 : 在 傳 統 戰 爭 中, 一 旦 發 生 戰 鬥 常 會 有 設 備 人 員 的 損 傷, 5

對 進 行 戰 爭 的 雙 方 而 言, 戰 爭 所 帶 來 的 風 險 相 當 高 但 在 資 訊 戰 中, 實 體 設 備 人 員 較 不 會 因 此 直 接 受 到 傷 害 (C) 被 察 覺 的 機 會 低 : 由 於 目 前 許 多 國 家 的 資 訊 基 礎 建 設 都 已 有 相 當 水 準, 因 此 國 民 擁 有 電 腦 與 網 路 者 亦 是 激 增, 但 相 對 地, 可 攻 擊 的 目 標 也 隨 之 增 加 透 過 電 腦 與 網 路 進 行 的 攻 擊, 其 中 一 項 特 點 就 是 不 易 被 察 覺 隱 藏 在 系 統 中 的 木 馬 程 式 平 時 可 與 使 用 者 和 平 共 處, 讓 使 用 者 難 以 察 覺 但 一 經 發 動, 木 馬 程 式 不 僅 可 進 行 資 料 的 破 壞, 也 可 做 為 攻 擊 者 的 跳 板 來 對 目 標 進 行 攻 擊 此 外, 透 過 網 路 發 布 假 消 息 或 是 謠 言, 不 僅 可 以 造 成 民 眾 不 滿 或 恐 慌, 也 不 易 追 查 其 來 源 (D) 不 易 遭 受 司 法 審 判 : 在 法 律 逐 步 完 備 之 下, 許 多 網 路 攻 擊 行 為 已 有 法 可 管 但 對 資 訊 戰 而 言, 有 時 發 動 攻 擊 的 主 體 就 是 政 府 本 身, 因 此 可 依 附 在 國 家 羽 翼 之 下, 不 受 到 法 律 的 約 束 再 者, 透 過 網 路 攻 擊 也 並 非 僅 透 過 單 一 國 家, 一 旦 透 過 多 個 國 家 所 進 行 的 攻 擊, 勢 必 會 引 起 複 雜 的 法 律 問 題 不 僅 不 易 逮 捕 或 起 訴 攻 擊 者, 更 遑 論 進 行 審 判 (E) 傳 統 的 界 線 模 糊 化 : 在 傳 統 戰 爭 中, 會 因 地 域 之 別 而 有 軍 事 區 與 非 軍 事 區, 或 有 前 線 與 後 方 之 別 但 在 資 訊 戰 中, 由 於 網 路 的 建 置, 會 使 得 這 種 界 線 隨 之 模 糊, 攻 擊 者 可 以 直 接 透 過 網 路 攻 擊 任 何 一 端 有 網 路 連 線 的 設 備, 而 無 須 親 身 犯 險 任 何 人 只 要 有 電 腦 或 能 接 觸 到 網 際 網 路, 不 管 是 在 何 處 都 可 以 使 用 搜 尋 工 具 下 載 攻 擊 軟 體 刪 除 資 料 竊 取 機 密 資 訊 散 布 不 實 消 息 發 送 木 馬 與 病 毒 或 垃 圾 郵 件, 甚 至 進 行 阻 絕 服 務 攻 擊 攻 擊 者 無 須 護 照 或 身 分 證 明 就 能 穿 越 國 界, 更 能 直 接 攻 擊 敵 對 國 家 全 國 境 內 所 有 的 資 訊 系 統, 這 使 得 以 往 戰 爭 中 的 所 認 定 的 前 線 後 方 都 必 須 重 新 定 義 界 線 的 模 糊, 也 會 使 得 在 防 護 重 要 資 訊 時, 不 是 只 面 對 敵 方 的 攻 擊, 還 需 考 量 來 自 四 面 八 方 可 能 的 攻 擊 行 為 (F) 資 訊 能 力 是 資 訊 戰 決 勝 的 基 礎 : 在 傳 統 戰 爭 中, 軍 隊 素 質 武 器 精 良 程 度 國 家 經 濟 力 作 戰 指 揮 決 策 等 所 構 成 的 綜 合 戰 力 是 決 勝 的 基 礎 ; 但 在 資 訊 6

戰 中, 資 訊 可 以 制 人, 卻 也 可 能 制 於 人, 愈 是 依 賴 資 訊 的 社 會, 戰 爭 所 造 成 的 損 害 還 可 能 愈 大 資 訊 可 以 是 用 來 進 行 攻 擊 的 工 具, 也 可 以 是 攻 擊 的 目 標 ; 故 資 訊 能 力 愈 強 者, 當 然 也 愈 能 主 宰 戰 場 (2) 資 訊 戰 的 形 式 : 進 行 資 訊 戰 除 了 以 資 訊 做 為 盜 取 與 破 壞 目 標 外, 尚 包 括 實 體 上 的 攻 擊 與 加 解 密 的 攻 防, 大 致 上 可 分 為 下 列 幾 種 [7]: (A) 竊 取 機 密 資 料 : 攻 擊 者 通 常 可 利 用 網 路 入 侵 間 諜 軟 體 社 交 工 程 人 身 接 觸 等 方 式 來 竊 取 重 要 機 密 資 料, 例 如 帳 號 密 碼 等, 其 主 要 手 法 分 析 如 下 : (i) 系 統 入 侵 : 藉 由 找 尋 已 知 與 未 知 的 系 統 弱 點 來 進 入 未 獲 他 人 同 意 的 電 腦 系 統 這 也 是 以 往 駭 客 攻 擊 最 常 見 的 方 式, 一 旦 政 府 機 關 電 腦 系 統 被 入 侵, 往 往 造 成 國 家 機 密 外 洩, 有 危 及 國 防 安 全 之 虞 (ii) 間 諜 軟 體 : 間 諜 軟 體 不 同 於 電 腦 病 毒, 主 要 是 用 來 追 蹤 或 竊 取 使 用 者 資 料, 並 非 以 擴 散 為 目 的 部 分 間 諜 軟 體 會 被 嵌 入 到 正 常 的 軟 體 中, 在 使 用 者 不 易 察 覺 的 情 況 下 進 行 資 料 竊 取 (iii) 身 分 竊 取 : 身 分 就 是 你 能 夠 證 明 自 己 是 自 己 的 一 種 方 法 也 就 是 你 自 己 才 能 夠 提 供 可 以 證 明 自 己 身 分 的 獨 特 資 訊, 例 如 : 身 分 證 統 一 編 號 或 是 一 串 密 碼 攻 擊 者 可 透 過 賄 賂 內 部 人 員 竊 取 所 屬 單 位 員 工 資 料, 或 是 透 過 運 用 社 交 工 程 法 從 銀 行 政 府 機 關 騙 取 資 料, 透 過 網 路 釣 魚 (Phishing), 或 甚 至 於 直 接 進 行 住 宅 竊 盜 取 得 證 件 (B) 癱 瘓 系 統 : 利 用 惡 意 程 式 (Malicious Code), 如 病 毒 (Viruses) 木 馬 (Trojan Horse) 網 路 蠕 蟲 (Worm) 等 針 對 特 定 系 統 或 主 機 進 行 攻 擊, 達 到 讓 系 統 癱 瘓 資 料 消 失 等 目 的 其 手 法 如 下 : (i) 病 毒 攻 擊 : 藉 由 已 知 或 未 知 的 系 統 弱 點 來 產 生 病 毒, 系 統 一 旦 感 染, 此 電 腦 病 毒 便 會 自 動 複 製 並 擴 散 到 所 有 可 連 結 的 系 統 而 受 到 感 染 的 電 腦 系 統 愈 快, 攻 擊 的 速 度 就 愈 快, 最 後 在 大 量 的 複 製 下, 系 統 終 會 因 不 堪 負 荷 而 當 機 7

(ii) 網 站 入 侵 : 電 腦 病 毒 廣 義 來 說, 尚 包 含 木 馬 蠕 蟲 等 具 有 危 害 或 干 擾 系 統 運 作 的 程 式 不 論 是 那 一 種, 使 用 者 都 不 希 望 碰 到 (iii) 分 散 式 系 統 阻 絕 服 務 (Distributed Denial of Service): 常 見 的 方 法 為 事 先 透 過 散 布 木 馬 程 式 來 取 得 大 量 網 路 系 統 的 主 控 權, 時 機 一 到, 便 透 過 這 些 系 統 聯 合 對 目 標 系 統 發 動 攻 擊, 同 樣 可 以 讓 系 統 不 堪 負 荷 而 當 機, 或 無 法 對 正 常 連 線 進 行 回 應 (C) 訊 息 偽 造 : 現 今 已 有 許 多 人 透 過 網 路 來 閱 讀 新 聞 或 是 吸 收 知 識, 許 多 資 訊 也 是 透 過 網 路 而 快 速 地 傳 遞 因 此, 對 於 重 要 資 訊 除 了 竊 取 或 破 壞 之 外, 尚 可 進 行 資 料 竄 改 或 是 偽 造 電 子 郵 件, 例 如 偽 造 指 揮 官 指 示 事 項 或 是 敵 方 領 導 人 已 遭 挾 持 等 訊 息, 藉 此 造 成 敵 方 因 錯 誤 的 訊 息 而 犯 錯 恐 慌 與 混 亂 (D) 實 體 破 壞 : 在 資 訊 戰 中, 攻 擊 的 目 標 不 光 是 電 腦 系 統 中 的 無 形 資 產, 還 包 括 對 各 重 要 的 資 訊 系 統 進 行 實 體 破 壞 尤 其 是 對 軍 事 經 濟 國 防 外 交 等 重 要 資 訊 系 統, 直 接 進 行 破 壞, 就 足 以 嚴 重 影 響 政 府 運 作 機 能 此 外, 對 重 要 的 基 礎 建 設, 如 電 訊 交 通 廣 播 電 台 電 視 台 航 空 航 海 等 指 揮 系 統 進 行 摧 毀 或 干 擾, 造 成 人 民 的 恐 慌, 也 是 一 大 威 脅 (E) 加 解 密 的 攻 防 : 二 次 大 戰 期 間, 德 軍 為 了 傳 遞 秘 密 訊 息, 製 造 了 奇 謎 (Enigma) 密 碼 機 來 將 訊 息 編 碼, 避 免 重 要 訊 息 曝 光 [5] 而 在 傳 聞 中, 在 911 事 件 之 前, 歐 薩 瑪 賓 拉 登 等 恐 怖 份 子, 就 是 利 用 偽 裝 法 (Steganography) 來 將 他 們 所 要 聯 絡 的 訊 息 隱 藏 在 圖 片 之 中, 再 放 到 網 路 上 的 新 聞 群 組, 藉 以 避 免 被 情 報 單 位 發 現 另 外, 更 證 實 在 1998 年 的 兩 座 東 非 美 國 大 使 館 的 炸 彈 攻 擊 事 件, 就 是 賓 拉 登 等 恐 怖 份 子 透 過 聊 天 室 佈 告 欄 和 特 定 的 網 站 將 所 要 進 行 攻 擊 的 目 標 地 圖 照 片 恐 怖 活 動 命 令 等 藏 入 所 發 佈 的 圖 片 中 因 此, 不 論 那 一 方 的 重 要 訊 息 都 會 使 用 密 碼 進 行, 所 以 資 訊 戰 在 情 報 上 就 是 另 一 場 的 密 碼 戰 除 了 常 見 的 加 密 法 如 DES (Data Encryption Standard) AES (Advanced Encryption Standard) 外, 現 今 最 值 得 注 意 的 就 是 這 種 將 訊 息 隱 藏 於 不 易 察 覺 媒 體 的 加 密 法 --- 偽 裝 法 如 圖 3 中, 狒 狒 偽 裝 8

圖 就 嵌 入 了 約 42 Kb 左 右 的 Word 檔, 六 千 多 個 中 文 字 的 內 容 隱 藏 於 此 圖 檔 之 中, 在 圖 檔 大 小 一 樣 的 情 形 下, 用 肉 眼 根 本 難 以 分 辨 出 來 這 兩 張 圖 的 差 異 原 圖 偽 裝 圖 圖 3 原 圖 與 偽 裝 圖 三 資 訊 鑑 識 從 以 上 的 分 析 中, 我 們 可 以 發 現, 資 訊 戰 事 實 上 就 是 資 訊 犯 罪 行 為 的 擴 大 化 換 句 話 說, 當 資 訊 犯 罪 以 大 規 模 方 式 或 是 以 國 家 力 量 來 進 行 時, 就 形 成 了 資 訊 戰 因 此, 在 防 範 資 訊 戰 上, 我 們 就 要 重 視 到 資 訊 安 全 的 問 題 而 資 訊 安 全 問 題 的 兩 大 關 鍵 : 一 為 人, 二 為 系 統 資 訊 操 之 於 人, 所 以 人 有 時 會 是 系 統 安 全 的 最 大 漏 洞 而 系 統 常 見 的 問 題 在 於 系 統 本 身 的 漏 洞 與 缺 陷, 以 及 設 定 失 當 而 人 非 完 美, 系 統 也 非 完 美, 故 無 法 完 全 隔 絕 資 訊 戰 的 侵 襲 因 此 對 抗 資 訊 戰, 我 們 需 要 強 化 本 身 的 資 訊 能 力, 方 能 建 構 安 全 的 體 系 但 除 了 安 全 的 體 系 之 外, 我 們 還 要 能 主 動 察 覺 潛 在 攻 擊 分 析 攻 擊 型 態 追 查 攻 擊 來 源 與 了 解 攻 擊 的 影 響, 所 9

以 我 們 需 要 加 強 資 訊 鑑 識 / 電 腦 鑑 識 (Information/Computer Forensics) 的 能 力 以 上 所 稱 資 訊 鑑 識 或 稱 之 為 數 位 鑑 識 (Cyber Forensics), 就 是 以 科 學 的 方 法 從 新 科 技 產 物 中 取 得 法 庭 所 需 之 證 據, 並 專 門 負 責 蒐 集 檢 驗 及 分 析 證 據, 藉 以 證 明 犯 罪 事 件 的 發 生, 並 連 結 犯 罪 者 受 害 者 與 證 物 的 關 係 簡 言 之, 所 謂 資 訊 鑑 識, 即 是 一 門 有 效 地 解 決 資 訊 / 電 腦 犯 罪 難 題 的 科 學, 也 是 追 查 攻 擊 行 為 中 不 可 或 缺 的 一 門 知 識 而 將 資 訊 鑑 識 技 術 應 用 於 資 訊 戰 中, 其 方 法 與 基 本 原 則 如 下 [10]: (i) 在 不 改 變 或 破 壞 證 物 的 情 況 下 取 得 原 始 證 物 (ii) 證 明 所 抽 取 的 證 物 來 自 扣 押 的 證 物 (iii) 在 不 改 變 證 物 的 情 況 下 進 行 分 析 而 在 進 行 數 位 證 據 的 採 證 與 鑑 識 的 程 序 包 含 以 下 步 驟 : (1) 事 件 辨 別 事 件 辨 別 即 情 報 蒐 集 與 案 件 分 析 其 目 的 在 於 取 得 我 們 所 需 的 資 訊 與 相 關 資 料, 也 在 於 預 先 了 解 案 件 的 挑 戰 與 可 採 取 的 因 應 之 道 事 件 辨 別 在 於 了 解 : (i) 是 什 麼 事 件? 何 時 發 生? 是 否 已 結 束? (ii) 那 些 資 訊 遭 攻 擊 破 壞 或 竊 取? (iii) 受 調 查 單 位 的 業 務 資 產 受 到 那 些 影 響 或 損 失? (iv) 事 件 是 如 何 發 動 的? 在 何 處 發 動? (v) 是 否 會 遇 到 法 律 方 面 的 問 題? 是 否 已 得 到 允 許? (vi) 要 對 那 些 作 業 系 統 進 行 蒐 證? (vii) 要 用 到 那 些 工 具? 在 事 件 發 生 後, 以 及 在 進 行 蒐 證 與 鑑 識 之 前, 要 能 找 到 上 述 問 題 的 答 案, 以 找 出 具 體 可 行 的 方 法 來 完 成 資 訊 鑑 識 工 作 (2) 保 存 證 據 進 入 現 場 後, 最 重 要 的 便 是 保 存 證 據 在 調 查 之 前, 首 先, 要 確 保 得 到 允 許 後 再 開 始 調 查 這 一 點, 對 於 電 腦 犯 罪 案 件 中 脆 弱 的 數 位 證 據 尤 其 重 要, 因 為 數 10

位 證 據 隨 時 都 有 可 能 因 為 鍵 盤 或 滑 鼠 的 一 按 而 改 變 所 以 到 現 場 的 第 一 步, 就 要 控 制 好 現 場, 並 開 始 記 錄 時 間 與 進 行 偵 查 及 鑑 識 人 員 對 證 據 的 操 作, 也 就 是 針 對 證 物 鏈 (Chain of Custody) 的 管 理 : (i) 誰 取 得 這 些 證 據? (ii) 如 何 取 得? 在 那 裡 取 得? (iii) 誰 持 有 這 些 證 據? (iv) 證 據 是 如 何 在 儲 存 媒 介 中 回 存 及 保 護? (v) 是 誰 及 為 什 麼 要 將 證 據 取 出? 同 時, 亦 應 注 意 : (i) 在 移 動 或 拆 卸 任 何 設 備 之 前 都 要 拍 照 (ii) 在 調 查 中 要 遵 循 兩 人 法 則, 以 防 止 調 查 人 員 篡 改 或 破 壞 訊 息 (iii) 應 記 錄 所 採 取 的 所 有 步 驟 及 對 配 置 設 置 的 任 何 改 變, 要 把 這 些 紀 錄 保 存 在 可 以 找 到 的 安 全 地 方 (iv) 在 必 要 時 才 關 閉 電 腦 在 進 行 蒐 證 程 序 時, 關 掉 電 腦 電 源 並 非 是 在 現 場 所 要 做 的 第 一 件 事, 因 為 立 即 關 掉 電 腦 電 源 將 無 可 避 免 的 會 使 得 正 在 記 憶 體 中 運 行 的 程 式 與 資 料 流 失, 這 有 時 就 會 破 壞 到 證 據, 或 是 直 接 影 響 到 受 調 查 單 位 的 正 常 運 作 例 如 當 我 們 在 調 查 攻 擊 者 是 否 進 行 阻 絕 服 務 攻 擊 (Denial of Service, DoS) 時, 遽 然 關 掉 電 腦 電 源, 就 會 使 得 程 式 與 網 路 連 線 立 即 中 斷, 連 帶 使 得 證 據 受 損 因 此, 在 需 要 進 行 電 腦 關 機 作 業 時, 尤 應 審 慎 考 量 ; 在 開 機 時, 亦 應 注 意 不 可 使 用 可 疑 的 磁 片 光 碟 驅 動 程 式 拷 貝 電 腦 內 的 證 據 資 料 需 要 特 殊 的 工 具, 必 須 是 一 個 接 一 個 位 元 來 進 行, 也 就 是 要 進 行 字 元 串 流 拷 貝 (Bit Stream Copy), 其 與 一 般 的 拷 貝 方 式 最 大 的 不 同 在 於 這 種 拷 貝 方 式 可 以 使 拷 貝 所 得 與 原 始 資 料 完 全 相 同 使 用 字 元 串 流 拷 貝 方 式 可 以 使 拷 貝 所 得 資 料 具 有 證 據 力, 也 就 是 說 如 果 把 這 些 資 料 交 給 其 他 調 查 人 員, 他 們 也 能 發 現 相 同 的 證 據 最 重 要 的 是, 在 拷 貝 的 過 程 中 不 能 修 改 變 更 到 證 據 11

(3) 檢 驗 證 據 在 現 場 取 得 證 據 後, 下 一 步 就 是 如 何 去 分 析 這 些 證 據 一 般 電 腦 文 書 資 料 圖 片 聲 音 等 都 可 以 利 用 許 多 工 具 軟 體 來 檢 視 然 而, 最 大 的 問 題 在 於 被 刪 除 的 檔 案, 這 些 被 攻 擊 者 所 刪 除 的 檔 案 有 時 會 是 重 要 的 證 據 資 料 因 此, 便 要 對 磁 碟 中 的 剩 餘 空 間 (Slack Space) 進 行 檢 視, 這 也 就 是 為 何 一 定 要 使 用 字 元 串 流 拷 貝 的 原 因 之 一 在 此 就 須 利 用 工 具 軟 體 來 進 行 字 串 搜 尋 與 檔 案 重 建 (4) 案 件 分 析 與 陳 述 在 取 得 證 據 並 分 析 完 成 之 後, 就 是 如 何 將 鑑 識 結 果 與 攻 擊 者 之 間 的 關 係 進 行 分 析 藉 由 對 證 據 進 行 分 類 比 對 與 個 化 (Individualization), 檢 驗 鑑 識 所 得 是 否 可 連 結 到 攻 擊 者, 並 藉 由 所 得 之 證 明 來 推 斷 出 攻 擊 者 的 行 為 例 如 : 攻 擊 者 是 否 經 常 連 線 到 某 個 網 站, 或 經 常 撥 打 那 些 電 話 這 也 就 是 說, 我 們 要 將 證 據 與 犯 罪 者 受 害 人 現 場 的 關 係 建 立 起 連 結 (5) 呈 現 結 果 結 果 必 須 清 楚 地 陳 述 在 探 究 證 據 的 來 源 成 因 與 攻 擊 者 的 關 係 時, 要 去 排 除 掉 所 有 可 能 的 替 代 解 釋, 避 免 造 成 維 護 或 反 擊 的 目 標 錯 誤, 造 成 指 揮 系 統 的 混 亂 在 遭 受 攻 擊 後, 重 要 的 是 必 須 要 能 夠 追 蹤 攻 擊 者 的 蹤 跡, 並 做 好 數 位 證 據 的 保 留 與 鑑 識 工 作, 進 一 步 做 為 指 揮 系 統 進 行 攻 防 的 重 要 情 報 四 證 據 留 存 在 以 往, 當 司 法 與 執 法 人 員 在 對 犯 罪 案 件 進 行 調 查 時, 有 刑 事 鑑 識 專 家 可 以 就 現 場 的 物 理 證 據 (Physical Evidence) 進 行 分 析 並 提 出 證 明, 進 而 成 為 在 法 庭 上 證 明 被 告 有 罪 抑 或 是 無 罪 的 參 考 依 據 而 司 法 與 執 法 人 員 的 訓 練 過 程 中 也 將 刑 事 鑑 12

識 納 入 犯 罪 偵 查 的 訓 練 項 目 中, 藉 此 學 習 了 解 如 何 去 確 認 蒐 集 與 保 存 證 物 的 基 本 程 序 然 而, 時 至 今 日, 當 犯 罪 行 為 與 證 據 是 出 現 在 電 腦 中, 或 是 網 路 上 時, 司 法 與 執 法 人 員 在 進 行 偵 查 時, 卻 面 臨 到 不 知 從 何 著 手 的 困 境 也 就 是 說, 網 路 犯 罪 與 傳 統 犯 罪 在 偵 查 上 最 大 的 不 同, 在 於 一 旦 證 據 來 源 取 得 已 轉 為 數 位 型 式, 而 這 些 證 據 因 為 具 有 容 易 隱 藏 轉 寄 擴 散 與 消 失 等 各 式 特 性, 使 得 不 同 角 度 的 偵 查 證 據 需 求 增 加 了 困 難 度, 因 此 我 們 需 要 資 訊 鑑 識 來 協 助 我 們 進 行 證 據 的 擷 取 與 留 存 擁 有 資 訊 鑑 識 技 術, 我 們 還 要 能 分 辨 證 據 到 底 藏 於 何 處 在 學 術 研 究 領 域 中, 將 國 內 電 腦 犯 罪 案 件 的 研 究 中 所 指 的 司 法 機 關 所 掌 握 到 的 主 要 證 物 經 整 理 共 計 有 四 類 : 電 磁 紀 錄 ( 列 印 報 表 ) 郵 局 ( 快 遞 ) 單 據 銀 行 單 據 其 他 物 品 等, 而 其 中 電 磁 紀 錄 一 項, 就 是 所 謂 的 數 位 證 據 (Digital Evidence) [2] 簡 言 之, 數 位 證 據 係 指 電 腦 儲 存 媒 體 中 任 何 足 以 證 明 犯 罪 構 成 要 件 或 關 聯 的 電 子 數 位 資 料, 為 物 理 證 據 的 一 種 換 言 之, 就 是 在 電 腦 儲 存 媒 體 上, 以 電 磁 紀 錄 方 式 儲 存 而 可 供 佐 證 犯 罪 之 資 料 其 特 性 如 下 : (i) 易 於 複 製 與 修 改, 但 不 易 保 留 其 原 始 狀 態 : 電 磁 紀 錄 係 以 0 與 1 存 在 於 電 腦 系 統 之 中, 在 檔 案 複 製 時 可 確 保 與 原 始 檔 案 內 容 相 同, 也 易 於 被 使 用 者 修 改 然 而 也 因 這 項 特 質, 使 得 檔 案 的 原 始 狀 態 不 易 保 留, 因 為 每 次 存 取 都 會 改 變 到 檔 案 的 狀 態, 使 得 電 磁 紀 錄 的 證 據 力 易 受 質 疑 (ii) 不 易 證 實 其 來 源 及 完 整 性 : 電 磁 紀 錄 的 製 作 極 為 容 易, 也 因 此 易 被 複 製 或 修 改, 使 得 在 進 行 鑑 識 時 不 易 直 接 將 所 得 證 據 與 攻 擊 者 的 關 係 進 行 聯 結, 也 就 是 難 以 達 到 個 化, 不 如 指 紋 或 是 去 氧 核 糖 核 酸 (Deoxyribonucleic Acid, DNA) 擁 有 極 佳 的 個 化 能 力 在 易 遭 到 修 改 的 特 性 下, 要 證 明 其 完 整 性, 亦 即 未 受 篡 改 或 刪 除, 就 較 為 困 難 (iii) 無 法 直 接 被 人 類 所 感 知 理 解 的 內 容 : 電 磁 紀 錄 係 以 電 磁 方 式 記 錄 於 儲 存 媒 體 之 中, 若 沒 有 透 過 電 腦 設 備 就 無 法 檢 視 或 了 解 其 內 容 (iv) 不 易 蒐 集 取 得 : 電 磁 紀 錄 隱 藏 於 電 腦 中, 可 輕 易 透 過 網 路 連 線 散 布 到 世 13

界 各 地, 完 全 無 視 現 實 世 界 中 國 界 的 存 在 然 而, 現 實 世 界 中 國 界 卻 會 是 偵 查 與 蒐 證 過 程 中 的 一 大 困 擾 (v) 連 結 關 係 不 易 建 立 : 要 將 電 磁 紀 錄 做 為 證 據 的 另 一 大 難 題, 就 是 在 於 證 據 與 證 據 間, 以 及 證 據 與 當 事 人 之 間 的 連 結 關 係 不 易 建 立 例 如 單 單 是 要 追 查 一 封 洩 密 的 電 子 郵 件, 所 需 連 結 的 就 包 含 當 事 人 在 場 的 時 間 使 用 的 電 腦 主 機 上 網 連 線 紀 錄 上 線 時 間 使 用 的 郵 件 收 發 軟 體 與 寄 信 紀 錄 所 登 入 的 郵 件 主 機 與 主 機 上 的 寄 信 紀 錄 等 缺 少 其 中 之 一, 都 會 使 得 證 據 的 證 明 力 受 到 挑 戰 若 是 要 追 查 不 易 察 覺 或 立 即 發 現 的 犯 罪 行 為, 於 犯 罪 時 間 地 點 目 標 當 事 人 不 明 確 的 情 況 下, 對 於 證 據 之 間 的 關 聯 就 更 加 不 易 建 立 了 而 在 電 腦 與 網 路 犯 罪 證 據 之 中 最 大 的 問 題 就 在 於 數 位 證 據 的 取 得 數 位 證 據 是 扮 演 輔 助 性 功 能 的 角 色, 是 用 來 加 強 罪 犯 的 犯 罪 事 實 除 了 數 位 證 據 之 外, 證 人 證 言 當 事 人 的 陳 述 鑑 定 結 論 與 勘 驗 紀 錄 均 是 左 右 數 位 證 據 的 關 鍵 而 就 數 位 證 據 本 身 而 言, 法 庭 上 所 特 別 關 心 的 在 於 數 位 證 據 是 否 與 原 始 的 紀 錄 相 同 是 否 曾 遭 人 為 因 素 竄 改 抑 或 其 他 因 素 變 更 原 始 內 容, 以 及 該 證 據 能 證 明 什 麼 簡 言 之, 就 是 證 據 的 能 力 與 證 明 力 的 問 題 證 據 有 能 力 方 能 在 法 庭 上 視 為 合 格 的 證 據 ; 證 明 力 則 是 這 個 具 有 能 力 的 證 據 能 證 明 的 事 實 數 位 證 據 完 全 視 其 內 容 來 分 辨 是 傳 聞 證 據 (Hearsay), 還 是 直 接 證 據 (Direct Evidence) 而 數 位 證 據 與 物 理 證 據 的 不 同 之 處 在 於 每 次 檢 核 的 動 作 都 可 視 為 是 存 取 (Access), 會 因 此 改 變 數 位 證 據 的 內 容 因 此, 要 透 過 凍 結 狀 態 的 方 式 來 保 存 數 位 證 據, 才 能 使 其 更 能 獲 得 法 庭 採 納 而 無 論 傳 統 犯 罪 亦 或 電 腦 犯 罪 型 式, 對 於 犯 罪 現 場 的 立 即 偵 查 與 蒐 證 皆 是 破 案 的 首 要 證 據 來 源 證 據 的 功 用 在 於 : (i) 提 供 犯 罪 訊 息 : 現 場 遺 留 的 證 物 種 類, 毀 壞 情 形 與 存 留 狀 況 可 提 供 有 關 犯 罪 動 機 及 做 案 手 法 等 訊 息 (ii) 研 究 犯 罪 模 式 : 調 查 受 害 對 象, 詳 細 檢 查 現 場 遺 留 物 證 的 性 質 種 類 及 相 14

對 關 係, 便 可 理 出 頭 緒, 研 判 犯 罪 模 式, 確 定 偵 查 對 象 (iii) 聯 結 攻 擊 者 與 被 害 者 的 關 係 : 檢 驗 物 證 最 常 見 的 功 能 在 於 建 立 攻 擊 者 與 受 害 者 間 的 關 聯 性 (iv) 聯 結 個 人 與 犯 罪 現 場 的 關 係 : 透 過 對 證 物 的 分 析, 可 以 驗 證 攻 擊 者 與 犯 罪 的 關 係 (v) 證 明 證 言 之 真 實 性 : 分 析 物 證 的 結 果 所 得 的 結 論 往 往 能 證 明 證 人 陳 述 之 可 靠 性 (vi) 證 明 攻 擊 者 : 物 證 或 多 或 少 均 具 有 機 率 以 證 明 攻 擊 者 (vii) 提 供 偵 查 方 向 : 透 過 物 證 的 分 析 可 以 解 釋 物 證 形 成 的 方 式, 進 而 推 斷 犯 罪 的 手 法 過 程, 提 供 犯 罪 偵 查 方 向 這 些 功 用, 事 實 上 即 是 希 望 將 現 場 物 證 與 被 害 人 及 攻 擊 者 聯 結 起 來, 形 成 四 個 面 相 間 連 接 方 式 之 基 本 原 則, 如 圖 4 所 示 現 場 被 害 人 嫌 犯 物 證 圖 4: 四 個 面 相 間 連 接 電 腦 系 統 的 證 據 多 發 現 在 硬 碟 或 儲 存 媒 體 上 的 檔 案 檔 案 可 能 包 括 [1]: (i) 使 用 者 建 立 的 檔 案 : 在 使 用 者 建 立 的 檔 案 中 可 能 包 含 了 許 多 犯 罪 活 動 的 重 要 的 證 據 例 如 : 通 訊 錄 與 資 料 檔 可 證 明 犯 罪 關 連 圖 片 與 影 像 可 做 為 戀 童 癖 者 的 證 據 而 犯 罪 者 間 的 通 訊 如 電 子 郵 件 信 件 等 也 是 重 要 證 據, 此 外, 販 毒 者 名 單 也 可 能 在 試 算 表 中 見 到 綜 合 來 說, 使 用 者 建 立 的 檔 案 可 能 包 括 通 訊 錄 電 子 郵 件 檔 案 聲 音 / 影 像 檔 圖 片 檔 行 事 曆 網 路 書 15

籤 ( 如 :IE 中 我 的 最 愛 ) 資 料 庫 檔 案 試 算 表 檔 案 文 件 檔 等 (ii) 使 用 者 保 護 的 檔 案 : 使 用 者 可 能 將 證 據 以 許 多 方 式 來 隱 藏 例 如 : 將 重 要 資 料 加 密 或 以 密 碼 保 護 也 可 能 將 檔 案 隱 藏 在 硬 碟 或 其 他 檔 案 中, 亦 或 將 檔 名 改 為 不 會 引 起 懷 疑 的 檔 名 這 些 檔 案 包 括 壓 縮 檔 錯 誤 檔 名 的 檔 案 加 密 檔 密 碼 保 護 檔 隱 藏 檔 偽 裝 法 (Steganography) 隱 藏 後 的 檔 案 (iii) 系 統 建 立 的 檔 案 : 系 統 建 立 的 檔 案 包 括 : 備 份 檔 紀 錄 檔 組 態 (Configuration) 檔 印 表 機 平 行 處 理 檔 Cookies 交 換 暫 存 檔 (Swap File) 隱 藏 檔 系 統 檔 歷 史 檔 暫 存 檔 等 其 他 可 能 的 資 料 隱 藏 區 域 包 括 : 損 壞 磁 區 電 腦 日 期 / 時 間 / 密 碼 已 刪 除 檔 案 未 使 用 磁 碟 空 間 隱 藏 分 割 區 其 他 分 割 區 保 留 區 域 剩 餘 空 間 軟 體 註 冊 資 訊 系 統 磁 區 未 分 配 區 域 等 證 據 可 能 被 發 現 在 這 些 由 電 腦 系 統 所 建 立 / 儲 存 的 檔 案 或 資 料 區 塊 中 使 用 者 有 時 不 易 察 覺 到 資 料 被 寫 入 到 這 些 區 塊 中 如 網 路 瀏 覽 紀 錄 暫 存 備 份 檔 也 是 經 常 被 回 復 來 檢 驗 這 些 檔 案 非 常 具 有 證 據 上 的 價 值 除 了 檔 案 的 內 容 之 外, 尚 包 括 檔 案 的 修 改 存 取 建 立 的 時 間 刪 除 紀 錄 使 用 者 名 稱 檔 案 屬 性 等 然 而, 在 處 理 這 些 檔 案 時, 必 須 謹 慎 小 心, 因 為, 就 算 是 在 開 機 的 同 時, 也 會 影 響 到 其 中 某 些 檔 案 的 相 關 資 訊 此 外, 隨 著 電 腦 的 功 能 日 益 強 大, 一 些 可 與 電 腦 連 結 以 進 行 其 他 工 作 處 理 的 週 邊 裝 置 也 不 斷 地 被 開 發 出 來 而 電 腦 系 統 中, 所 包 含 的 元 件 不 僅 在 功 能 上 日 益 提 昇, 也 更 趨 複 雜 化 以 下, 我 們 就 常 見 的 電 腦 系 統 組 成 元 件 與 週 邊 裝 置 做 一 探 討 (1) 電 腦 系 統 組 成 元 件 : 一 台 電 腦 的 組 成 元 件 大 致 上 有 以 下 幾 種 可 做 為 數 位 證 據 : (i) 中 央 處 理 器 : 電 腦 中 的 微 處 理 器 主 要 在 執 行 所 有 的 數 字 與 邏 輯 運 算, 以 及 控 制 系 統 運 作 在 竊 取 偽 造 電 腦 零 件 的 犯 罪 中, 此 元 件 本 身 即 為 證 據 (ii) 記 憶 體 : 電 腦 內 的 電 路 板 當 電 腦 關 機 後, 所 儲 存 在 記 憶 體 中 的 資 訊 也 會 跟 著 消 失 主 要 在 於 電 腦 運 作 時, 做 為 儲 存 使 用 者 的 程 式 和 資 料 的 媒 介 在 竊 取 偽 造 零 件 的 犯 罪 行 為 中, 此 元 件 本 身 即 為 證 據 16

(iii) 硬 碟 : 外 觀 像 是 一 個 密 封 的 小 盒 子, 內 有 數 個 磁 盤 用 以 儲 存 資 料 硬 碟 可 以 是 內 接 於 電 腦 中, 或 是 以 外 接 的 形 式 與 電 腦 相 連 主 要 用 途 為 儲 存 電 腦 程 式 文 件 資 料 影 像 影 片 等 數 位 化 資 料 (2) 電 腦 週 邊 裝 置 : (i) 存 取 控 制 裝 置 : 如 智 慧 卡 (Smart Card) 保 護 鎖 (Dongle) 生 物 特 徵 掃 描 器 (Biometric Scanner) 智 慧 卡 是 指 一 小 型 裝 置 內 嵌 有 微 處 理 器, 可 以 儲 存 數 位 貨 幣 加 密 金 鑰 或 認 證 資 訊 數 位 憑 證 等 保 護 鎖 是 一 種 可 插 到 電 腦 連 接 埠 的 一 種 裝 置, 同 樣 可 儲 存 加 密 金 鑰 認 證 資 訊 數 位 憑 證 等 生 物 特 徵 掃 描 器 則 是 一 種 可 連 接 到 電 腦 系 統, 用 來 辨 識 人 體 特 徵 ( 指 紋 掌 形 虹 膜 等 ) 的 裝 置 存 取 控 制 裝 置 主 要 是 提 供 電 腦 或 程 式 的 存 取 控 制 功 能 或 做 為 加 / 解 密 金 鑰 可 視 為 證 據 的 包 括 裝 置 上 的 使 用 者 識 別 / 認 證 資 訊 存 取 層 級 設 定 等 (ii) 答 錄 機 : 可 與 電 話 連 接 的 一 種 記 錄 裝 置, 可 透 過 磁 帶 或 錄 音 帶 等 儲 存 資 料 主 要 用 途 在 於 記 錄 來 話 者 的 語 音 留 言 與 擁 有 者 的 回 應 語 音 訊 息 因 電 池 壽 命 有 限, 資 訊 可 能 會 因 電 量 不 足 而 遺 失 因 此, 鑑 識 人 員 可 能 會 需 要 電 力 裝 置 來 維 持 其 資 訊 答 錄 機 可 記 錄 語 音 訊 息 與 時 間 做 為 證 據, 我 們 亦 可 藉 此 建 立 時 間 點 (iii) 數 位 相 機 / 攝 影 機 : 相 機 數 位 錄 影 裝 置 等 儲 存 照 片 影 像, 也 可 將 這 些 資 料 轉 換 到 電 腦 之 中 主 要 用 途 : 數 位 相 機 以 數 位 形 式 捕 捉 相 片 影 像, 因 此 易 於 轉 換 為 電 腦 中 做 為 可 儲 存 / 瀏 覽 / 編 輯 的 資 料 可 做 為 證 據 的 包 括 影 像 時 戳 影 帶 影 片 及 聲 音 等 (iv) 手 持 裝 置 個 人 數 位 助 理 : 個 人 數 位 助 理 (Personal Digital Assistant, PDA) 是 一 種 可 提 供 運 算 通 訊 網 路 連 線 儲 存 資 訊 等 功 能 的 裝 置, 通 常 會 做 為 個 人 的 行 程 規 劃 之 用 主 要 用 途 : 手 持 運 算 通 訊 儲 存 資 訊 可 做 為 證 據 的 包 括 通 訊 錄 行 事 曆 文 件 電 子 郵 件 手 寫 文 件 密 碼 電 話 簿 文 字 訊 息 語 音 訊 息 等 17

(v) 數 據 機 : 內 接 和 外 接 式 數 據 機 無 線 網 路 數 據 機 數 據 機 是 用 來 讓 電 腦 與 電 腦 得 以 建 立 通 訊 的 設 備 裝 置 本 身 即 為 潛 在 證 據 (vi) 網 路 元 件 : 路 由 器 (Router) 集 線 器 (Hub) 交 換 器 (Switch), 這 些 電 子 裝 置 用 於 網 路 電 腦 系 統 路 由 器 交 換 器 和 集 線 器 提 供 連 線 到 不 同 電 腦 或 網 路 的 方 式 這 些 元 件 用 來 協 助 傳 送 網 路 間 流 通 的 封 包 資 訊 可 做 為 證 據 的 有 裝 置 本 身 路 由 器 的 設 定 資 料 具 網 路 管 理 功 能 的 交 換 器 中 的 設 定 資 料 (vii) 手 機 (Cellular Phone) 與 呼 叫 器 (Pager): 呼 叫 器 用 來 傳 送 和 接 收 電 子 訊 息, 包 括 文 數 字 與 符 號 手 機 則 除 了 擁 有 呼 叫 器 的 功 能 之 外, 還 提 供 了 如 電 話 一 般 的 雙 向 即 時 通 話 功 能, 並 可 儲 存 姓 名 電 話 號 碼 和 使 用 者 的 識 別 資 訊 此 外, 一 些 手 機 尚 能 儲 存 行 事 曆 電 子 郵 件 傳 呼 通 話 紀 錄 密 碼 來 電 者 資 料 通 訊 錄 電 子 序 號 文 字 訊 息 語 音 郵 件 備 忘 錄 網 路 瀏 覽 資 訊 等 而 這 些 記 錄 於 手 機 與 呼 叫 器 中 的 資 訊, 皆 可 做 為 證 據 (viii) 印 表 機 : 許 多 印 表 機, 包 括 雷 射 噴 墨 點 矩 陣 與 熱 昇 華 印 表 機 均 可 透 過 連 結 埠 ( 序 列 埠 平 行 埠 USB) 等 與 電 腦 連 接 或 者 透 過 紅 外 線 存 取 一 些 印 表 機 內 配 有 記 憶 緩 衝 器, 以 利 列 印 時 可 以 先 儲 存 文 件 資 訊 於 其 中 等 待 列 印 主 要 用 途 為 列 印 電 腦 的 文 字 圖 片 等 可 做 為 證 據 的 包 括 印 表 機 可 能 有 維 護 紀 錄 時 間 資 訊 網 路 識 別 資 訊 等 ; 此 外, 尚 包 括 列 印 的 文 件 硬 碟 墨 水 盒 時 戳 使 用 者 使 用 紀 錄 等 (ix) 掃 描 器 : 一 台 可 與 電 腦 連 接 的 光 學 裝 置, 可 以 將 文 件 進 行 掃 瞄 以 傳 送 影 像 到 電 腦 中 進 行 處 理 主 要 用 途 為 將 文 件 圖 片 等 轉 換 成 電 子 檔 案, 讓 使 用 者 可 以 透 過 電 腦 進 行 編 修 此 裝 置 本 身 即 為 證 據, 做 為 色 情 偽 幣 身 分 竊 取 等 非 法 活 動 的 證 明 ; 此 外, 玻 璃 片 上 的 刮 擦 痕 跡 亦 可 為 掃 描 的 特 有 識 別 資 訊 (x) 行 動 儲 存 裝 置 與 媒 體 : 用 以 儲 存 電 磁 紀 錄 的 媒 體, 如 軟 碟 光 碟 DVD 磁 帶 記 憶 卡 等 主 要 可 用 來 儲 存 電 腦 程 式 文 字 影 片 圖 片 等 資 訊 18

的 輕 便 裝 置 可 抽 取 式 電 子 儲 存 裝 置 與 記 憶 體 不 同 的 地 方 在 於, 它 不 會 因 失 去 電 力 或 抽 離 電 腦 連 接 埠 後 就 會 失 去 原 先 所 儲 存 的 資 料, 甚 至 於 可 透 過 軟 體 來 回 復 所 刪 除 的 檔 案 資 料 而 隨 著 數 位 相 機 PDA 的 流 行, 記 憶 卡 亦 已 廣 泛 地 被 使 用 主 要 用 途 同 樣 在 於 提 供 可 新 增 修 改 移 除 儲 存 資 料 的 空 間 鑒 於 這 些 資 料 就 如 同 電 腦 系 統 中 的 檔 案, 因 此, 其 可 做 為 證 據 的 部 分 也 與 電 腦 系 統 相 同, 在 此, 就 不 再 複 述 而 在 犯 罪 現 場, 除 了 電 腦 系 統 會 是 關 注 的 焦 點, 事 實 上, 尚 有 許 多 其 他 的 電 子 裝 置 或 系 統 值 得 注 意, 例 如 : 信 用 卡 刷 卡 機 傳 真 機 等 在 這 些 裝 置 中 的 記 憶 體 就 有 可 能 隱 含 著 有 力 證 據 簡 述 如 下 : (i) 信 用 卡 刷 卡 機 (Credit Card Skimmer): 信 用 卡 刷 卡 機 用 於 讀 取 塑 膠 卡 片 上 磁 條 的 資 料 潛 在 證 據 為 磁 條 上 所 包 含 的 持 卡 人 資 料, 如 信 用 卡 到 期 時 間 使 用 者 住 址 信 用 卡 號 碼 使 用 者 姓 名 (ii) 傳 真 機 : 傳 真 機 能 儲 存 預 先 設 定 的 電 話 號 碼 和 文 件 傳 送 與 接 收 的 訊 息 此 外, 某 些 包 含 記 憶 體 的 傳 真 機 允 許 先 將 文 件 掃 描 進 記 憶 體, 之 後 再 傳 送 出 去 潛 在 證 據 為 文 件 電 話 號 碼 影 片 匣 寄 / 收 紀 錄 五 討 論 與 前 瞻 作 為 在 探 討 資 訊 戰 中 的 證 據 時, 主 要 目 的 並 不 是 要 將 攻 擊 者 逮 捕 與 起 訴, 因 為 即 使 能 進 行 逮 捕 也 不 一 定 能 進 行 司 法 審 判 運 用 資 訊 鑑 識 技 術 在 於 就 證 據 來 發 現 潛 在 的 攻 擊 者 來 源 手 法 目 的 破 壞 的 範 圍 與 影 響, 藉 此 才 能 做 好 進 一 步 的 防 衛 與 反 制 而 若 要 防 範 敵 對 勢 力 可 能 發 動 的 資 訊 戰, 可 建 立 起 三 道 防 線 : (i) 首 先 就 要 建 立 起 安 全 的 體 系, 建 置 好 資 訊 基 礎 建 設, 並 在 管 理 面 上 落 實 人 19

員 與 資 產 的 管 理, 在 技 術 面 上 做 好 國 家 機 密 與 資 訊 安 全, 並 研 擬 安 全 應 變 計 畫, 安 全 防 護 目 標 必 須 根 據 安 全 政 策 與 評 估 威 脅 的 重 點 來 考 量, 採 取 相 對 應 的 必 要 作 為 [6] 同 時, 在 避 免 核 心 技 術 和 涉 及 機 密 的 工 程 技 術 資 料 都 是 來 自 他 國 的 技 術, 造 成 他 國 有 機 可 乘, 我 們 必 須 發 展 我 國 資 訊 安 全 人 才 與 技 術, 研 究 和 開 發 自 有 資 訊 產 品 與 技 術, 具 體 規 劃 和 協 調 國 家 關 鍵 資 訊 基 礎 設 施 建 設 工 作, 不 可 讓 所 有 的 技 術 研 發 都 得 由 其 他 國 家 提 供 而 所 擁 有 的 人 才 與 技 術 屆 時 也 能 在 發 生 資 訊 戰 之 際, 成 為 最 強 大 的 戰 力, 並 提 供 最 大 的 支 援 (ii) 隨 著 資 訊 化 日 深, 未 來 的 戰 爭 將 可 能 以 資 訊 戰 做 為 前 哨 戰, 並 結 合 其 他 傳 統 戰 爭 形 式 來 進 行 因 此, 在 對 抗 資 訊 戰 的 同 時, 也 不 能 忽 略 傳 統 戰 爭 的 威 脅, 例 如 敵 方 所 進 行 的 心 理 戰 內 部 滲 透 實 體 資 產 破 壞 等 所 以 在 戰 事 發 生 之 際, 必 須 有 明 確 的 指 揮 體 系 與 組 織, 用 以 判 讀 敵 方 進 行 的 攻 擊 形 式, 妥 善 運 用 各 項 資 源 進 行 防 禦 或 反 擊 (iii) 在 建 立 起 安 全 體 系 的 同 時, 也 需 要 以 資 訊 鑑 識 技 術 為 基 礎 的 事 件 應 變 小 組, 以 資 訊 鑑 識 技 術 對 攻 擊 進 行 分 析 與 調 查, 方 能 減 少 受 害 範 圍 並 避 免 攻 擊 者 進 一 步 的 攻 擊 同 時, 亦 可 建 立 蜜 罐 (Honeypot) 系 統, 藉 此 觀 察 並 學 習 敵 方 攻 擊, 以 因 應 未 來 的 攻 擊 行 為 六 結 論 在 本 文 中, 首 先 就 駭 客 攻 擊 演 進 至 資 訊 戰 進 行 瞭 解, 再 就 資 訊 戰 的 特 點 與 攻 擊 進 行 分 析 之 後, 就 資 訊 鑑 識 與 證 據 進 行 探 討, 探 討 進 行 的 方 式 與 證 據 的 留 存, 並 提 出 因 應 之 道 千 年 以 前, 孫 子 有 云 : 兵 者, 國 之 大 事 也 ; 死 生 之 地, 存 亡 之 道, 不 可 不 察 也 其 意 在 於 提 醒 著 面 對 戰 爭 需 謹 慎 應 對, 因 為 這 是 關 乎 生 死 20

大 事 我 們 都 不 願 意 戰 爭 的 發 生, 但 不 幸 一 旦 戰 爭 發 生, 對 國 家 人 民 都 會 造 成 莫 大 的 傷 害, 因 此, 我 們 必 須 去 面 對 資 訊 戰 所 帶 來 的 影 響, 藉 著 建 立 起 安 全 體 系 明 定 指 揮 系 統 建 立 資 訊 鑑 識 專 業 小 組, 使 得 在 戰 事 發 生 時 先 立 於 不 敗 之 地 最 後, 針 對 資 訊 能 力 競 爭 優 勢 的 因 應 作 法 上, 更 應 前 瞻 包 括 世 界 各 國 的 資 訊 戰 與 電 子 戰 發 展 趨 勢, 研 擬 相 關 戰 術 戰 法, 並 應 強 化 精 進 國 家 與 軍 隊 整 體 網 路 危 機 管 理 與 安 全 作 為, 有 效 確 保 網 際 網 路 及 重 要 國 家 基 礎 建 設 之 安 全, 進 而 達 到 鞏 固 國 家 安 全 之 目 的 致 謝 本 研 究 部 分 在 行 政 院 國 家 科 學 委 員 會 NSC 95-2221-E-015-002-MY2 及 NSC 95-2221-E-128-004-MY2 計 畫, 以 及 NSC 95-3114-P-001-001-Y02 NSC 95-3114-P-001-002-Y02 NSC 96-3114-P-001-002-Y 之 icast 計 畫 的 支 助 下 完 成, 特 此 致 謝 參 考 文 獻 1. 王 旭 正 柯 宏 叡 ICCL 資 訊 密 碼 暨 資 料 建 構 實 驗 室, 資 訊 與 網 路 安 全 - 秘 密 通 訊 與 數 位 鑑 識 新 技 法, 博 碩 文 化,2006 年 2. 王 旭 正 柯 永 瀚 ICCL 資 訊 密 碼 暨 資 料 建 構 實 驗 室, 電 腦 鑑 識 與 數 位 證 據 --- 資 安 技 術 科 技 犯 罪 的 預 防 鑑 定 與 現 場 重 建, 博 碩 文 化,2007 年 6 月 3. 陳 志 誠, 資 訊 戰 及 其 對 國 家 社 會 安 全 之 影 響, 資 通 安 全 分 析 專 論,2005 年 4. 喬 良 王 湘 穗, 超 限 戰, 左 岸 文 化,2004 年 5. 劉 燕 芬 譯, 賽 門 辛 (Simon Singh) 著, 碼 書 : 編 碼 與 解 碼 的 戰 爭, 台 灣 商 務,2000 年 9 月 15 日 6. Andrew, R., Protecting Critical Information Infrastructures, Computers & Security, Vol. 20, 2001, pp. 43-52. 21

7. Denning, D. E., Information Warfare and Security, Addison Wesley, 1999. 8. Forno, R. and R. Baklarz, The Art of Information Warfare: Insight into the Knowledge Warrior Philosophy, Universal Publishers, 1999. 9. Jones, A., Information Warfare-What Has Been Happening?, Computer Fraud & Security, Nov. 2005, pp. 4-7. 10. Kruse, G., II and J. G. Heiser, Computer Forensic: Incident Response Essentials, Addison Wesley, 2002, pp. 2-8, 163-174. 22