1

數位鑑識/電腦鑑識介紹

中華電信數據通信分公司吳明峰

講師簡介講師簡介

姓名 吳明峰職稱 資深研發工程師 專

業證照

CEH(Certified Ethical Hacker)CHFI(Computer Hacking Forensics Investigator)

學歷 國立清華大學資訊工程所碩士

資訊安全相關年資

8年

專長滲透測試資安事件緊急回應、惡意程式分析資安技術測試、安全檢測工具與系統開發

經歷中華電信數據分公司事件處理團隊中華電信數據分公司滲透測試團隊中華電信數據分公司新資安技術測試與研發團隊

相關經驗

滲透測試:大專院校、政府單位、金控公司以及中選會選舉專案資安事件緊急回應服務:政府機構以及各大專案客戶系統開發:網頁掛馬檢測系統、網頁竄改偵測系統、社交工程演練系統、弱點掃描管理系統等

OutlineOutline

• 數位鑑識與資安趨勢• 數位鑑識介紹• 資安事件處理 VS 數位鑑識• 數位鑑識之要素• 數位鑑識標準作業

2013 全球資安威脅依然無所不在2013 全球資安威脅依然無所不在

• Websense安全專家表示：支援Java的瀏覽器非常脆弱• Verizon於2012年資料外洩事件調查報告指出，企業資料外洩事件中

99%是來自外部威脅所引起的，其中比例最高的即為駭客入侵與惡意程式感染

• DDOS分散式阻斷服務攻擊可導致企業每小時損失1萬美元以上

資料來源：Websense How are Java attacks getting through?2012 Data Breach Investigations Report – Verizon DDoS Survey: Q1 2012 - Neustar® Insights

2013 Web Application2013 Web Application

應用程式語言漏洞排名 漏洞種類排名

漏洞出現趨勢

From exploit-db & freebuf

• 2013 Web應用層面的攻擊仍然以Injetion 37%與PHP 86%為主，OWASP Top 10 2013前五名仍然沒有變動

• 整體應用程式漏洞趨勢看似降低，但實際上2013年才過了1/3勝負未定。

國際大廠紛紛中箭落馬國際大廠紛紛中箭落馬

2013 駭客攻擊事件頻傳2013 駭客攻擊事件頻傳

20132/1

Twitter遭匿名駭客攻擊！約25萬帳戶資訊恐被竊取

20132/15

Facebook對外證實，駭客利用Java漏洞入侵員工的筆電

20132/20

Apple 公司內部最近被駭客攻擊，有部分的Mac 被惡意軟體感染。

20132/22

微軟內部電腦因Java遭受駭客攻擊。

20133/2

雲端筆記服務Evernote，難逃駭客魔爪，呼籲全球5000萬名用戶儘快重新設定密碼。

20133/4

駭客入侵Bit9旗下某伺服器，並以竊取自該公司之合法數位憑證來簽署惡意程式。

20132/8

諾基亞台灣官網被土耳其黑客Turkish Ajan入侵，洩露銷售細節、帳號、IP地址、性別、電子郵件地址

20133/20

韓國遭受大規模網路攻擊

20133/26

對Spamhaus的DDoS攻擊流量超過了300Gbps！攻擊流量吞沒了整個網站。媒體紛紛宣佈Internet歷史上最大規模DDoS攻擊的到來

20134/8

惡意軟體Darkleech大肆感染Apache服務器

資料外洩與入侵案例(1/2)資料外洩與入侵案例(1/2)

• Dropbox遭受入侵，洩漏大量客戶email帳號與密碼• Yahoo! Voice遭受SQL Injection攻擊，洩漏450450萬萬筆明文

帳號密碼以及資料庫2,700個資料表

2012年7月20122012年年77月月

2012年6月20122012年年66月月 LinkIn因SQL Injection漏洞，洩漏超過600600萬萬筆帳號，面臨將近5百萬賠償金額的集體訴訟

2011年4月20112011年年44月月 Sony PSN 遭駭外洩超過2000萬筆使用者資料，2013年遭英國罰款25萬英鎊(約1,150萬台幣)

2012年8月20122012年年88月月 駭客透過AppleCare盜取iCloud密碼，並清空受害者Mac主機上、iphone上以及Gmail裡面的所有資料。

2013年20132013年年 知名雲端儲存網站Mega為了強化系統安全性，對外發出現金懸賞，第一周就被找到七個高風險漏洞。

資料外洩與入侵案例 (2/2)資料外洩與入侵案例 (2/2)

2013年20132013年年 台灣Nokia遭駭，150萬筆個資遭竊 太子汽車被發現網站洩漏1,330筆台灣政要手機號碼 台灣三星子公司鵬泰顧問公司內部行銷文件外流

內部資料外洩內部資料外洩

• 企業內部行銷文件外流造成商譽受損–TaiwanSamsungLeaks事件

案例分享-南韓 ( DarkSeoul) 大規模APT攻擊事件案例分享-南韓 ( DarkSeoul) 大規模APT攻擊事件

4/12 - 韓國320駭客事件調查出爐4/12 - 韓國320駭客事件調查出爐

• 北韓花8個月潛入企業千次部署攻擊

回憶一下 南韓3/20 發生哪些事 ?回憶一下 南韓3/20 發生哪些事 ?• 農協銀行：30 分行 2000台電腦受害，櫃檯業務停止，半數 ATM 停機• 新韓銀行：57 分行受害全資料庫停止，全服務停2小時，簽帳卡無法刷• 濟州銀行：受害狀況不明行員電腦為主，全部 ATM 停止• KBS 電視：5000 電腦受害，廣播電台停播，釜山晚間停播，官方網站關閉• MBS 電視：800 電腦受害，半數員工停機，外部片源斷線一律筆電作業• YTN 電視：500 電腦受害，電視播送正常，新聞系統停機• LG UPlus ISP：內部電腦被破壞，網站被置換

• 特徵 Disk Wiper• MBR 寫入字串 HASTATI,

PRINCPES, PR!NCPES• 透過 \\.\PhysicalDrive 存取MBR• 建立Section, JO840112-CRAS8468-

11150923-PCI8273V• 攻擊設定於 2013-03-20 1400~1500 發作• 幹掉防毒程式

• AhnLab Policy Agent - pasvc.exe• Hauri ViRobot - clisvc.exe

• 攻擊與 "Whois Team" 有關連

南韓遭受攻擊後的主機南韓遭受攻擊後的主機

如果說南韓距離有點遠，那生活中有甚麼狀況可能使用到數位鑑識?

爾虞我詐的FB攝影爾虞我詐的FB攝影

• Yahoo攝影聯合會

防不勝防的FB社團防不勝防的FB社團

高達30萬人

帳號被盜已成了每個人的共同經驗帳號被盜已成了每個人的共同經驗

使用者往往被駭客利用而不自知

數位鑑識介紹數位鑑識介紹

• 在牛津辭典中 Computer Forensics 的定義為 “the application of forensic science technique to computer-base material.” ，主要的過程在於應用嚴謹的程序及科技的方法去處理數位資訊設備相關鑑識工作，當公司或個人遇到資訊相關緊急事故時，如何還原事情發生的真相，即為數位鑑識領域的範疇。

• 如何以科技的方法，在具有證據力的前題下將所有的數位資訊證據正確搜集及分析，則為數位/電腦鑑識之主要工作項目。程序上可以分為下列：

– 判斷 (Identify) – 搜集 (Collect)– 保存 (Preserve) – 研究分析 (Analysis) – 完整鑑識報告 (Present)

需要數位鑑識的狀況需要數位鑑識的狀況

數位證據的範疇數位證據的範疇

• 數位證據可能存在的領域範疇非常的廣泛，只要是存在使用紀錄的電子設備均屬於數位證據搜集的目標，包含的範疇舉例如下:

– 個人隨身資訊產品例如:PDA、MP3 Player、Mobile Phone、USB Disk、Digital Camera、電子書及電子相簿等

– 各型式電腦:例如個人電腦、筆記型電腦、掌上型電腦、工業用電腦等– 網路設備:防火牆、路由器、交換器及各型式網路匝道設備– 大型伺服器系統: AIX、Solaris、HP Unix、AS 400等– 資料貯存媒體: Tape、SAN、NAS、DAS、光碟、Flopy Disk、ZIP等

為何數位鑑識不同於一般鑑識為何數位鑑識不同於一般鑑識

• 數位證據– 一種以二進位((數位))的方式儲存、傳輸的各

種可能資訊，包含::圖片、音樂、簡訊、檔案、封包、影像等。

• 數位證據的特性– 容易複製。– 能無痕跡的修改。– 不易證實來源及製作人難以確定。– 非屬人類可直接感知、理解的內容

• 無法使用傳統鑑識方式– 在現場處理證物時，必須在不改變原始數位證據

((最小更動))的原則下，將證物加以紀錄、保存、送往鑑驗等，且務必保持證物鏈之完整。

資安事件處理與數位鑑識之差異資安事件處理與數位鑑識之差異

作業項目 資安事件處理 數位鑑識用戶授權

鑑識計畫

現場測繪

證物封存

作業系統狀態檢視

網路流量分析

惡意樣本分析

磁碟映像檔活化

記憶體映像檔分析

撰寫報告

簡單來說事件處理與數位鑑識的差異在?簡單來說事件處理與數位鑑識的差異在?

• 目的不同– 資安事件處理:盡快解決問題，派送解毒程式，

恢復系統上線運作– 數位鑑識:保留原始證據，詳細調查事件發生原

因，未來可供法律需求使用

• 時間不同– 資安事件處理:以韓國為例-恢復正常運作約7天– 數位鑑識:事件鑑識報告從3/20-4/12才完成

數位鑑識之要素數位鑑識之要素

數位證據映像檔數位證據映像檔

• 由於為了保護數位證據的原始證物資料避免遭到破壞，在鑑識的過程中首先會先製作原始證物的映像檔，而此映像檔的數位內容將必需與原始證物的數位內容一模一樣

• 製作映像檔時只允許使用 Bit-Stream– 將原始證物磁碟的第一個位元一直複製到磁碟的最後一個位元資料，而所複製到

的目的端是一個檔案，即統稱為證據映像檔，

• 使用 MD5 或 SHA1 的摘要運算– 驗證是否所產出的摘要檔一致，而隨後的鑑識過程則大多會利用此映像檔來進

行。

數位鑑識標準作業程序數位鑑識標準作業程序

• 鑑識標準作業程序可分為4個階段– 準備階段– 取證階段(事件現場)– 取證階段(事件鑑識實驗室)– 呈現階段

資安事件鑑識標準作業程序準備階段 取證階段

(事件現場)

取證階段(事件鑑識實驗室)

呈現階段1.判斷事件類型流程 1.消逝性資料取證流程

2.非消逝性資料取證流程

1.快速分析流程

2.進階鑑識流程

數位鑑識標準作業程序數位鑑識標準作業程序

準備階段準備階段

取證階段(事件現場)取證階段(事件現場)

取證階段(鑑識實驗室)取證階段(鑑識實驗室)

呈現階段呈現階段

數位鑑識所需工具數位鑑識所需工具

工具類型 功能說明 使用時機 鑑識實驗室建議使用工具

現場勘查與記錄工具 記錄事件現場原始狀態 作業階段(事件現場) 1.)數位攝影機2.)數位錄影機3.)三角架4.)外接式閃光燈

證物扣押與保存工具 標示證物與妥善包裝 作業階段(事件現場) 1.)數位證物標籤紙2.)抗靜電證物袋3.)堅固的證物箱

消逝性資料取證工具 Memory Dump 與作業系統狀態資料擷取

作業階段(事件現場) *LiveDetector

網路封包側錄 NetWitness、Niksum

非消逝性資料取證工具 快速磁碟複本、映像檔製作與磁碟抹除(wipe)

作業階段(事件鑑識實驗室) *Logicube Dossier

磁碟防寫(write blocker) *Logicube Ultra Kit

可開機的鑑識Live CD Helix、DEFT Linux

數位鑑識所需工具數位鑑識所需工具

工具類型 功能說明 使用時機 鑑識實驗室建議使用工具

分析與鑑識工具 關鍵字搜尋 作業階段(事件鑑識實驗室) *Encase

日誌檔案(Log) Parser Microsoft Log Parser

記憶體分析 HB Gary Responder Pro

磁碟映像檔掛載 Mount Image Pro

磁碟映像檔活化(虛擬化) VMware Workstation

分散式密碼破解 1.)NVIDIA Tesla S10702.)ElcomSoft Password

Recovery Bundle

IM 與瀏覽紀錄分析 *Belkasoft Forensics Studio

E-Mail 關聯分析 *Vound Intella

綜合分析與鑑識 EnCASE、FTK、TCT

個人資料保護法與數位鑑識個人資料保護法與數位鑑識

• 《個人資料保護法》（以下簡稱新個資法）即將施行，新法適用行業別擴增至各行各業，甚至蒐集個人資料的自然人也成為受規範對象。

• 新個資法定有每人每一事件500元以上2萬元以下之賠償範圍，對於同一原因事件造成之損害，最高賠償額更可達2億元。新版個資法上路後，由於企業一旦面臨賠償責任，依規定需要證明「無故意或過失責任」才能免責。數位鑑識可以幫助企業在日後舉證時提出更有力的證據，也能預先規劃，幫助企業知道要怎麼「凡走過必留下痕跡」。

• 以鄰近的日本觀察，日本個資法施行於2005年，而損害賠償案件高峰在施行後2年發生，接下來損害賠償總額即逐年降低。保有個資單位在施行前幾年遭求償成功後，即學習導入資安系統、數位鑑識等等，以降低個資外洩事件或減輕賠償責任

數位鑑識面臨的挑戰數位鑑識面臨的挑戰

• 硬碟空間不斷增加40G->120G->1T->2T• 智慧行動裝置的鑑識• 雲端時代的來臨• 反鑑識技術的挑戰

THE ENDTHE END

• Q&A