數位鑑識 / 電腦鑑識介紹 中華電信數據通信分公司 吳明峰 1
講師簡介 姓名 職稱 學歷 資訊安全相關年資 專長 經歷 相關經驗 吳明峰 資深研發工程師 國立清華大學資訊工程所碩士 8 年 專業證照 滲透測試資安事件緊急回應 惡意程式分析資安技術測試 安全檢測工具與系統開發 中華電信數據分公司事件處理團隊中華電信數據分公司滲透測試團隊中華電信數據分公司新資安技術測試與研發團隊 CEH(Certified Ethical Hacker) CHFI(Computer Hacking Forensics Investigator) 滲透測試 : 大專院校 政府單位 金控公司以及中選會選舉專案資安事件緊急回應服務 : 政府機構以及各大專案客戶系統開發 : 網頁掛馬檢測系統 網頁竄改偵測系統 社交工程演練系統 弱點掃描管理系統等
Outline 數位鑑識與資安趨勢 數位鑑識介紹 資安事件處理 VS 數位鑑識 數位鑑識之要素 數位鑑識標準作業
2013 全球資安威脅依然無所不在 Websense 安全專家表示 : 支援 Java 的瀏覽器非常脆弱 Verizon 於 2012 年資料外洩事件調查報告指出, 企業資料外洩事件中 99% 是來自外部威脅所引起的, 其中比例最高的即為駭客入侵與惡意程式感染 DDOS 分散式阻斷服務攻擊可導致企業每小時損失 1 萬美元以上 資料來源 : Websense How are Java attacks getting through? 2012 Data Breach Investigations Report Verizon DDoS Survey: Q1 2012 - Neustar Insights
2013 Web Application 2013 Web 應用層面的攻擊仍然以 Injetion 37% 與 PHP 86% 為主,OWASP Top 10 2013 前五名仍然沒有變動 整體應用程式漏洞趨勢看似降低, 但實際上 2013 年才過了 1/3 勝負未定 漏洞出現趨勢 From exploit-db & freebuf 應用程式語言漏洞排名 漏洞種類排名
國際大廠紛紛中箭落馬
2013 駭客攻擊事件頻傳 Twitter 遭匿名駭客攻擊! 約 25 萬帳戶資訊恐被竊取 韓國遭受大規模網路攻擊 諾基亞台灣官網被土耳其黑客 Turkish Ajan 入侵, 洩露銷售細節 帳號 IP 地址 性別 電子郵件地址 2013 4/8 2013 2/1 2013 2/8 2013 2/15 2013 2/20 Facebook 對外證實, 駭客利用 Java 漏洞入侵員工的筆電 Apple 公司內部最近被駭客攻擊, 有部分的 Mac 被惡意軟體感染 2013 2/22 2013 3/2 2013 3/4 2013 3/20 2013 3/26 駭客入侵 Bit9 旗下某伺服器, 並以竊取自該公司之合法數位憑證來簽署惡意程式 雲端筆記服務 Evernote, 難逃駭客魔爪, 呼籲全球 5000 萬名用戶儘快重新設定密碼 惡意軟體 Darkleech 大肆感染 Apache 服務器 對 Spamhaus 的 DDoS 攻擊流量超過了 300Gbps! 攻擊流量吞沒了整個網站 媒體紛紛宣佈 Internet 歷史上最大規模 DDoS 攻擊的到來 微軟內部電腦因 Java 遭受駭客攻擊
資料外洩與入侵案例 (1/2) 2011 年 4 月 Sony PSN 遭駭外洩超過 2000 萬筆使用者資料,2013 年遭英國罰款 25 萬英鎊 ( 約 1,150 萬台幣 ) 2012 年 6 月 LinkIn 因 SQL Injection 漏洞, 洩漏超過 600 萬筆帳號, 面臨將近 5 百萬賠償金額的集體訴訟 2012 年 7 月 Dropbox 遭受入侵, 洩漏大量客戶 email 帳號與密碼 Yahoo! Voice 遭受 SQL Injection 攻擊, 洩漏 450 萬筆明文帳號密碼以及資料庫 2,700 個資料表 2012 年 8 月 駭客透過 AppleCare 盜取 icloud 密碼, 並清空受害者 Mac 主機上 iphone 上以及 Gmail 裡面的所有資料 2013 年 知名雲端儲存網站 Mega 為了強化系統安全性, 對外發出現金懸賞, 第一周就被找到七個高風險漏洞
資料外洩與入侵案例 (2/2) 2013 年 台灣 Nokia 遭駭,150 萬筆個資遭竊 太子汽車被發現網站洩漏 1,330 筆台灣政要手機號碼 台灣三星子公司鵬泰顧問公司內部行銷文件外流
內部資料外洩 企業內部行銷文件外流造成商譽受損 TaiwanSamsungLeaks 事件
案例分享 - 南韓 ( DarkSeoul) 大規模 APT 攻擊事件
4/12 - 韓國 320 駭客事件調查出爐 北韓花 8 個月潛入企業千次部署攻擊
回憶一下南韓 3/20 發生哪些事? 農協銀行 :30 分行 2000 台電腦受害, 櫃檯業務停止, 半數 ATM 停機 新韓銀行 :57 分行受害全資料庫停止, 全服務停 2 小時, 簽帳卡無法刷 濟州銀行 : 受害狀況不明行員電腦為主, 全部 ATM 停止 KBS 電視 :5000 電腦受害, 廣播電台停播, 釜山晚間停播, 官方網站關閉 MBS 電視 :800 電腦受害, 半數員工停機, 外部片源斷線一律筆電作業 YTN 電視 :500 電腦受害, 電視播送正常, 新聞系統停機 LG UPlus ISP: 內部電腦被破壞, 網站被置換 特徵 Disk Wiper MBR 寫入字串 HASTATI, PRINCPES, PR!NCPES 透過 \\.\PhysicalDrive 存取 MBR 建立 Section, JO840112-CRAS8468-11150923-PCI8273V 攻擊設定於 2013-03-20 1400~1500 發作 幹掉防毒程式 AhnLab Policy Agent - pasvc.exe Hauri ViRobot - clisvc.exe 攻擊與 "Whois Team" 有關連
南韓遭受攻擊後的主機
如果說南韓距離有點遠, 那生活中有甚麼狀況可能使用到數位鑑識?
爾虞我詐的 FB 攝影 Yahoo 攝影聯合會
防不勝防的 FB 社團 高達 30 萬人
帳號被盜已成了每個人的共同經驗 使用者往往被駭客利用而不自知
數位鑑識介紹 在牛津辭典中 Computer Forensics 的定義為 the application of forensic science technique to computer-base material., 主要的過程在於應用嚴謹的程序及科技的方法去處理數位資訊設備相關鑑識工作, 當公司或個人遇到資訊相關緊急事故時, 如何還原事情發生的真相, 即為數位鑑識領域的範疇 如何以科技的方法, 在具有證據力的前題下將所有的數位資訊證據正確搜集及分析, 則為數位 / 電腦鑑識之主要工作項目 程序上可以分為下列 : 判斷 (Identify) 搜集 (Collect) 保存 (Preserve) 研究分析 (Analysis) 完整鑑識報告 (Present)
需要數位鑑識的狀況
數位證據的範疇 數位證據可能存在的領域範疇非常的廣泛, 只要是存在使用紀錄的電子設備均屬於數位證據搜集的目標, 包含的範疇舉例如下 : 個人隨身資訊產品例如 :PDA MP3 Player Mobile Phone USB Disk Digital Camera 電子書及電子相簿等 各型式電腦 : 例如個人電腦 筆記型電腦 掌上型電腦 工業用電腦等 網路設備 : 防火牆 路由器 交換器及各型式網路匝道設備 大型伺服器系統 : AIX Solaris HP Unix AS 400 等 資料貯存媒體 : Tape SAN NAS DAS 光碟 Flopy Disk ZIP 等
為何數位鑑識不同於一般鑑識 數位證據 一種以二進位 (( 數位 )) 的方式儲存 傳輸的各種可能資訊, 包含 :: 圖片 音樂 簡訊 檔案 封包 影像等 數位證據的特性 容易複製 能無痕跡的修改 不易證實來源及製作人難以確定 非屬人類可直接感知 理解的內容 無法使用傳統鑑識方式 在現場處理證物時, 必須在不改變原始數位證據 (( 最小更動 )) 的原則下, 將證物加以紀錄 保存 送往鑑驗等, 且務必保持證物鏈之完整
資安事件處理與數位鑑識之差異 作業項目資安事件處理數位鑑識 用戶授權 鑑識計畫 現場測繪 證物封存 作業系統狀態檢視 網路流量分析 惡意樣本分析 磁碟映像檔活化 記憶體映像檔分析 撰寫報告
簡單來說事件處理與數位鑑識的差異在? 目的不同 資安事件處理 : 盡快解決問題, 派送解毒程式, 恢復系統上線運作 數位鑑識 : 保留原始證據, 詳細調查事件發生原因, 未來可供法律需求使用 時間不同 資安事件處理 : 以韓國為例 - 恢復正常運作約 7 天 數位鑑識 : 事件鑑識報告從 3/20-4/12 才完成
數位鑑識之要素
數位證據映像檔 由於為了保護數位證據的原始證物資料避免遭到破壞, 在鑑識的過程中首先會先製作原始證物的映像檔, 而此映像檔的數位內容將必需與原始證物的數位內容一模一樣 製作映像檔時只允許使用 Bit-Stream 將原始證物磁碟的第一個位元一直複製到磁碟的最後一個位元資料, 而所複製到的目的端是一個檔案, 即統稱為證據映像檔, 使用 MD5 或 SHA1 的摘要運算 驗證是否所產出的摘要檔一致, 而隨後的鑑識過程則大多會利用此映像檔來進行
數位鑑識標準作業程序 鑑識標準作業程序可分為 4 個階段 準備階段 取證階段 ( 事件現場 ) 取證階段 ( 事件鑑識實驗室 ) 呈現階段 準備階段 資安事件鑑識標準作業程序 取證階段 ( 事件現場 ) 1. 判斷事件類型流程 1. 消逝性資料取證流程 2. 非消逝性資料取證流程 取證階段 ( 事件鑑識實驗室 ) 1. 快速分析流程 2. 進階鑑識流程 呈現階段
數位鑑識標準作業程序
準備階段
取證階段 ( 事件現場 )
取證階段 ( 鑑識實驗室 )
呈現階段
數位鑑識所需工具 工具類型 功能說明 使用時機 鑑識實驗室 建議使用工具 現場勘查與記錄工具 記錄事件現場原始狀態 作業階段 ( 事件現場 ) 1.) 數位攝影機 2.) 數位錄影機 3.) 三角架 4.) 外接式閃光燈 證物扣押與保存工具 標示證物與妥善包裝 作業階段 ( 事件現場 ) 1.) 數位證物標籤紙 2.) 抗靜電證物袋 3.) 堅固的證物箱 消逝性資料取證工具 非消逝性資料取證工具 Memory Dump 與作業系統狀態資料擷取 網路封包側錄 快速磁碟複本 映像檔製作與磁碟抹除 (wipe) 磁碟防寫 (write blocker) 可開機的鑑識 Live CD 作業階段 ( 事件現場 ) 作業階段 ( 事件鑑識實驗室 ) *LiveDetector NetWitness Niksum *Logicube Dossier *Logicube Ultra Kit Helix DEFT Linux
數位鑑識所需工具 工具類型 功能說明 使用時機 鑑識實驗室 建議使用工具 分析與鑑識工具關鍵字搜尋作業階段 ( 事件鑑識實驗室 ) *Encase 日誌檔案 (Log) Parser 記憶體分析 磁碟映像檔掛載 磁碟映像檔活化 ( 虛擬化 ) 分散式密碼破解 IM 與瀏覽紀錄分析 E-Mail 關聯分析 綜合分析與鑑識 Microsoft Log Parser HB Gary Responder Pro Mount Image Pro VMware Workstation 1.)NVIDIA Tesla S1070 2.)ElcomSoft Password Recovery Bundle *Belkasoft Forensics Studio *Vound Intella EnCASE FTK TCT
個人資料保護法與數位鑑識 個人資料保護法 ( 以下簡稱新個資法 ) 即將施行, 新法適用行業別擴增至各行各業, 甚至蒐集個人資料的自然人也成為受規範對象 新個資法定有每人每一事件 500 元以上 2 萬元以下之賠償範圍, 對於同一原因事件造成之損害, 最高賠償額更可達 2 億元 新版個資法上路後, 由於企業一旦面臨賠償責任, 依規定需要證明 無故意或過失責任 才能免責 數位鑑識可以幫助企業在日後舉證時提出更有力的證據, 也能預先規劃, 幫助企業知道要怎麼 凡走過必留下痕跡 以鄰近的日本觀察, 日本個資法施行於 2005 年, 而損害賠償案件高峰在施行後 2 年發生, 接下來損害賠償總額即逐年降低 保有個資單位在施行前幾年遭求償成功後, 即學習導入資安系統 數位鑑識等等, 以降低個資外洩事件或減輕賠償責任
數位鑑識面臨的挑戰 硬碟空間不斷增加 40G->120G->1T->2T 智慧行動裝置的鑑識 雲端時代的來臨 反鑑識技術的挑戰
THE END Q&A