建構行動鑑識標準作業程序與整合國際鑑識標準

林宜隆/
元培醫事科技大學(YUMT)資訊管理系暨數位創新管理碩士班教授
台灣數位鑑識發展協會(ACFD)創會理事長

近年來,行動互聯網(Mobile Internet)及行動裝置(Mobile Devices)的出現讓人們生活對它的依賴度與日俱增,大量網路使用者湧入網路世界(如2017年12月止全球人口約74億人,而全球網際網路用戶已突破41億人大關,且行動網路用戶(Mobile Users)也已突破36億人大關,其所占全球人口之比例已超50%),各行各業無不透過行動互聯網及行動裝置方式來進行資料的輸入、處理、儲存、保管及使用,使得人類與各類資訊零距離,然而「水能載舟,亦能覆舟」,經過電腦數位化處理後,網路資通安全事件(ISIM)亦隨之不斷發生,嚴重影響人民智慧生活。

因此,如何在資安事件(ISIM)發生前建立及妥善保存數位證據的準備,以及事件發生中和發生後,透過各種管道蒐集有利之數位證據、資安現場、鑑識資安事件之本質與歷程,對於維護我國整體網際網路(互聯網)安全之必要性與急迫性甚為重要。以目前我國的執法現況,符合國際標準的蒐證程序尚未明確建立,使得司法官對於蒐集數位證據的證據能力及證據力明顯不足(如今(107)年2月11日台灣高檢署開始在8個地檢署,成立<數位採證中心>),以致無法由蒐證的數位證據中直接判斷,導致法庭上之爭議不斷,再加上目前我國對於數位行動鑑識方面,較少有相關研究及標準作業程序。

本文探討以國內學者林宜隆教授所提出的數位證據鑑識標準作業程序(DEFSOP)與整合國際鑑識相關標準ISO27037:2012、ISO27041:2015、ISO27042:2015及ISO27043:2015及比較分析,藉此強化及整合數位證據鑑識標準作業程序的有效性,供檢、警、調偵查人員在處理數位證據時的參考,最終目的在協助執法單位對於數位證據之處理時遵循之依據,確保所蒐集到的證據具有效性(含證據能力及證明力),使其證據在法庭上更具公信力外,更可在未來針對資安事件(ISIM)做有效之預防機制及應變處置。

有鑑於我國的現行法規制度下,數位(資安)鑑識尚未明確專章立法(雖然資通安全管理法於今(107)年05月11日立法院三讀通過),偵查機關對於數位(資安)鑑識之規範、標準、程序及方法論亦無從遵循,藉由蒐集國內外數位(資安)證據、數位(資安)鑑識機制(如DEFSOP, Forensics Computing 4P’s Model)、國際標準作業程序等文獻,並參考ISO/IEC27037:2012、ISO/IEC27041:2015、ISO/IEC 27042:2015及ISO/IEC 27043:2015等國際標準程序之管理要項及指引,整合數位鑑識作業程序進行研究及探討對應,以國內學者林宜隆教授所提出數位證據鑑識標準程序(DEFSOP)四個階段(原理概念階段、準備階段、操作階段、報告階段)為基礎,建立一套完整行動鑑識標準作業程序(DEFSOP for Mobile Forensics,DEFSOP-MF),透過刑事警察局局破獲之實際案例加以驗證,輔以標準作業程序來驗證、還原整個資安(犯罪)事件,希冀讓偵查及資安人員從整個案件之偵查流程(What to do)、偵查作為(How to do ),來瞭解鑑識的重點及方向(Why to do ),提供資安(犯罪)事件處置的原則與準則證明不僅強化數位(資安)證據蒐集和舉證,並確保資安落實,提升數位(資安)證據在法庭上之有效性(含證據能力及證明力)及公信力之目標外,更可在未來針對資安事件(如ISIM:ISO27035:2016)做有效之預防機制及應變處置。

 @數位證據與行動鑑識

  • 數位證據
    數位證據具有易修改性、無限複製性、不易個化性、無法直接以感官知覺和理解等特性,呈現之方式亦有多種型態,另外,數位證據係網路犯罪案件中非常重要的線索對於數位證據概念的界定,常存在不同認識,國外著名學者Casey在其著述「Digital Evidence and Computer Crime」一書中談論到有關於數位證據的定義,認為任何使用電腦儲存或傳輸的數據資料,用於支持或反證犯罪,或可以用來表達犯罪動機、犯罪現場等關鍵要素,為物理證據的一種,包含文字、圖片、聲音、影像等類型,具有可無限無差異複製、不易銷毀、原始作者不易確定、資料完整性驗證等性質,亦稱電腦證據或電子證據。
  • 行動鑑識
    數位鑑識(Digital Forensics),又稱資安鑑識(Cyber Forensics ),統稱為資安數位鑑識科學,主要是針對數位裝置中的內容進行調查與復原,提到資安數位證據鑑識不單僅限於電腦鑑識、網路鑑識,凡是以數位方式儲存的相關設備都應包含在數位鑑識的領域中,數位鑑識包括涉及不同技術的各個領域,包括:電腦、手機、iPad、數位相機、記憶卡、網路設備等數位設備,另外亦包含通訊軟體Line message、Skype message、Twitter等。我國學者林宜隆教授認為資安數位鑑識範圍應該包含電腦鑑識(Computer Forensics)、軟體鑑識(Software Forensics)、資料鑑識(Data Forensics)、網路鑑識(Network Forensics)、行動鑑識(Mobile Forensics)以及雲端鑑識(Cloud forensics)等6大類(林宜隆,2012)(如圖1)。行動鑑識工作除了必須具備高水準的鑑識工具及相當程度的網路犯罪手法的分析外,還必須熟悉各種複雜的數位鑑識工作、流程,因此,對於數位鑑識人員而言,數位鑑識的知識管理及精進訓練課程顯得相當重要。

    圖1 資安數位鑑識類型

@國際鑑識標準作業程序

  • ISO27037:2012 Guidelines for identification, collection, acquisition and preservation of digital evidence
    國際標準ISO/IEC 27037係針對資訊安全事件發生時,對於調查數位證據各個階段提供明確的具體實作及證據價值的保護準則,處理數位證據程序分成四個階段(如圖2),分別為識別階段(Identification)、蒐集階段(Collection)、萃取階段(Acquisition)及保存階段(Preservation)。

    (1) 識別階段(Identification)
    (2) 蒐集階段(Collection)
    (3) 萃取階段(Acquisition)
    (4) 保存階段(Preservation)
圖2 ISO/IEC 27037: 2012 數位證據處理程序

 

  • ISO/IEC27041:2015 Guidance on assuring suitability and adequacy of incident investigative method
    國際標準ISO/IEC 27041提出資安事件調查方法指引,以確保調查中所使用的過程和方法是適當的,包括如何使用提供廠商和第三方之測試,以保證過程的審查。為確保調查事件中使用的方法及流程,其開發和部署程序包括需求獲取和分析、工具設計、程序實行、程序驗證(可選擇與非必要)、過程驗證、確認、部署、檢討和維護等共8階段(如圖3),各階段分述如下:

    (1) 需求獲取與分析(Requirements capture and analysis)
    (2) 程序設計(Process design)
    (3) 程序實行(Process implementation)
    (4) 程序驗證(Process verification)
    (5) 過程驗證(證明)(Process validation)
    (6) 確認(Confirmation)
    (7) 部署(Deployment)
    (8) 審查和維護 (Review and maintenance)
圖3 ISO/IEC 27041: 2015 資安事件調查方法指引

 

  • ISO/IEC 27042:2015 guidelines for the analysis and interpretation of digital evidence
    國際標準ISO27042:2015提供對於數位證據分析與解釋方式的指引,適用於每個案件的證據分析過程,並作適當的資訊記錄,使提出這些程序時受到獨立的審查。(如圖4)
    (1) 調查(investigation)
    (2) 分析(analysis)
    (3) 解釋與審查(interpretation)
    (4) 報告(reporting)
    (5) 資格能力(Competence)
    (6) 熟悉程度(Proficiency)
圖4 ISO/IEC 27042數位證據分析與解釋指引
  • ISO/IEC27043:2015 Incident investigation principles and processes
    國際標準ISO/IEC 27043提供基於常見資安事件調查原則與程序理想化模型與涉及各種資安事件(數位證據)調查方案的指導方針,包含準備程序、開始程序、獲取程序、調查程序、及其各項子程序(如圖5),各項執行程序如下:
    (1)    準備程序
    (2)    開始程序
    (3)    獲取程序
    (4)    調查程序
圖5 ISO/IEC 27042資安事件調查原則與程序

 

@建立行動鑑識標準作業程序整合國際鑑識標準

  •  數位證據鑑識標準作業程序
    由國內學者林宜隆教授所提出的數位證據鑑識標準作業程序(DEFSOP),可分為原理概念階段、準備階段、操作階段及報告階段等四大階段(如圖6):

    圖6數位鑑識標準作業程序(林宜隆,2012)
  • 原理概念階段:本階段分為原則、法規及認知三項規範,說明如下:

(1)原則:數位證據鑑識工作(Digital Evidence Forensic)的指導原則如下:

  1. 應制定大方向之原則,不宜過度細膩。(ex.ISO27041 之General Principles of Requirements)
  2. 不變更、影響數位證據內容或之原則。(ex.ISO27037之Acquisition and Preservation and ISO 27041之Requirements capture and analysis)
  3. 電腦鑑識程序完整記錄原則。(ex.ISO27037 Identification、ISO/IEC 27043之documentation process)
  4. 運送與保存應符合安全性原則,須用安全設備保護。(ex.ISO 27037之5 4.5 Preservation and 27043之potential digital evidence transportation process)

(2)法規

  1. 法規規範是重要的且程序合法始有證據能力。(刑法、刑事訴訟法)
  2. 符合證據法中對於真實性、可靠性之要求。(傳聞法則、自白法則)
  3. 應規範人員資格、設備及鑑定環境之要件。

(3)認知:數位證據鑑識不應限於資訊犯罪發生後,才來做數位證據鑑識,應該是把數位證據鑑識當作是資安犯罪預防的一項重要的工作,且分為:

  1. 事前鑑識:安全防護機制及應變計畫。
  2. 事中鑑識:處置及保留證據。
  3. 事後鑑識:鑑定及資料復原。
  •  準備階段
    實施程序包括:授權執法人員或系統管理人員在執行數位證據、資訊安全政策、蒐集對象基本資料、確定人、事、時、地、物及理由及準備工具、資料及勤教。
  • 操作階段
    人員到達現場依其任務展開蒐集、分析及鑑定的工作,本階段是展開鑑識流程及數位鑑識實驗室數位證據鑑識標準作業程序流程。
  1. 蒐集:現場勘查與攝影、識別與記錄、保存與保全、收集與備份、搜索與扣押。
  2. 分析:備份及記錄、檢查與搜尋、分析與保管。
  3. 鑑定:資料萃取、比對、個化、重建犯罪現場。
  • 報告階段
    DEFSOP報告階段可分為:撰寫報告、呈現及簡報、驗證鑑識結果、法庭準備、案件建檔及學習。
  1. 整合國際鑑識標準
    歸納以上,ISO27041是為確保資訊安全調查事件所使用的方法及程序的適當性,並且要求處理結果符合預期,其定義需求,說明方法,提供證據,透過第三方檢驗確保處理程序(事前、事中、事後);ISO27042是提供對於數位證據分析與解釋方式的指引,側重於解決問題的連續性、有效性、再現性及可重複性,適用於每個案件的證據分析過程,並作適當的資訊記錄,使提出這些程序時受到獨立的審查,以作為展現研究團隊執行的能力,並提供調查小組的熟練程度和能力適當的指導機制(事中、事後),與數位證據鑑識標準作業程序(DEFSOP)中之操作與報告階段相符合。另外,ISO27043是提出全面、協調的程序實現標準化領域應遵循執行資安事件取證調查時的模型,以供資安事件數位證據調查程序高等級及明確的指導方針,包含準備程序、開始程序、獲取程序、調查程序及其各項子程序 (事前、事中、事後),對照國內學者林宜隆教授所提出的數位證據鑑識標準作業程序(DEFSOP) 是從資安事件發生前的預防,到資安事件發生後將數位證據蒐集、分析、鑑定、報告之後進入法院與案件建檔為止,其各項處理程序規範均與DEFSOP四大階段完全符合(如圖7)。

    圖7 DEFSOP與ISO27041、ISO27042、ISO27043對照圖

     

  2. 建立整合國際鑑識標準行動鑑識標準作業程序
    本文參照國內學者林宜隆教授所提出的數位證據鑑識標準作業程序(DEFSOP),以及整合國際標準ISO/IEC 27037、ISO/IEC 27041、ISO/IEC 27042、ISO/IEC 27043等作業程序,以建構行動鑑識標準作業程序架構雛型(Digital Evidence Forensics Standard Operating Procedure , DEFSOP for MF),並分別對原理概念階段、準備階段、操作階段及報告階段作探討,以提供未來資安鑑識人員在偵查犯罪的流程、方向和準則。(如圖8)

    圖8行動鑑識標準作業程序(DEFSOP for Mobile Forensics)

     

參考文獻

  • 方彥霏,2016,建構行動裝置數位證據鑑識標準作業程序之研究-從智慧型手機萃取數位證據分析,國立宜蘭大學多媒體網路通訊數位學習碩士在職專班碩士論文。
  • 林宜隆、藍添興,2003,『數位證據蒐證程序之初探』,資訊管理學術暨警政資訊 實務研討會, 中央警察大學主辦。
  • 林宜隆,2006,建構網路犯罪行為模式之探討,檔案與微縮,第82期,頁9-22。
  • 林宜隆,2007,數位證據標準作業程序(DESOP)之建構,電腦稽核,第十六期。
  • 林宜隆、歐啟銘,2008,手持式行動通訊裝置數位鑑識工具比之較與案例分析,第十屆「網際空間:資安、犯罪與法律社會」學術研究暨實務研討會,輔仁大學主辦。
  • 林宜隆,2009,網路犯罪理論與實務第三版,中央警察大學出版,桃園。
  • 林宜隆、顏雲生、吳柏霖、蕭勝方,2010,「VoIP攻擊分析與數位證據鑑識機制之研究」,第二十一屆國際資訊管理學術研討會(ICIM 2010),台南市:成功大學。
  • 林宜隆、李政謙、陳靜玉、張志汖,「數位證據鑑識標準作業程序與ISO27037數位證據處理程序之比較分析」,2013 第十九屆資訊管理暨實務研討會。
  • 林宜隆,「建構數位證據鑑識標準作業程序」,司法新聲101期_第 4 篇,2012,1 月。
  • 林宜隆、張文耀、劉耿旭,「建構個人資料保護之數位證據鑑識標準作業程序」,電腦稽核 27 期,2013 年 1 月。
  • 劉秋伶,2010,數位證據之刑事證據調查程序,國立政治大學法律學研究所碩士論文。
  • 陳詰昌,2016,數位鑑識「原件不可變動原則」之適用—由行動裝置鑑識與電腦鑑識差異探討,第119期司法新聲季刊。
  • 黃志龍,2006,建構數位證據鑑識標準作業程序規範之研究,中央警察大學碩士論文。
  • 黃敬博,2011,因應個資法之數位鑑識案例,第十屆台北國際資訊安全科技展暨亞太資訊安全論壇。
  • 楊鴻正,2003,我國資通安全鑑識科技能量規劃之研究,中央警察大學資訊管理所論文。
  • ISO/IEC 27041:2015, “Information technology — Security techniques — Guidance on assuring suitability and adequacy of incident investigative method”, international standard, 2015.
  • ISO/IEC 27042:2015,“Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence”, international standard, 2015.
  • ISO/IEC27043:2015, “Information Technology — Security Techniques —Investigation principles and processes”, international standard, 2015.
  • Timothy Wright, The Field guide for investigation Computer Crime: search and seizure basic part three, security focus,
  • United States of Justice, Federal Guidelines for Searching and Seizing Computers, 1994.
  • Warren G. Kruse II and Jay G. Heiser, Computer forensics-Incident Response Essentials, 2002, Addison-Wesley corporation.

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *