資料來源:iThome
用電腦鑑識為企業保全網路犯罪現場
文/黃彥棻 (記者) 2008-06-27
除了軍警調人員適合取得電腦駭客鑑識偵查員的CHFI認證外,企業內的IT人員、資安人員網站管理人員,甚至是法務人員,都適合取得該認證。
刑事案件有犯罪偵查員作相關跡證的採樣與保存,但隨著網路犯罪的盛行,不論是政府、企業甚至是一般人,面對這種新型的犯罪型態,往往是束手無策。對於資安事件的電子證據採樣與保存,在臺灣不論是政府的軍、警、調人員,或者是企業的法務或IT部門同仁,都可以透過取得電腦駭客鑑識偵查員的認證(Computer Hacking Forensic Investigator,CHFI),了解完整鑑識流程,做到最好電子跡證的保存。
電腦駭客鑑識偵查員的認證是由EC –Council推出的,在臺灣總代理是翊利得資訊,包括翊利得資訊、資策會都有開CHFI的課程。資策會數位教育研究所資技中心組長吳念祖表示,因為 CHFI是EC-Council道德駭客認證(CEH)的進階認證,為了滿足資安技術人員的進階需求,從3年前剛推出的1年1班,到最近的1年3~4班。顯見,資安技術人員也開始意識到,資訊安全不能只作一半。
鑒真數位資深鑑識顧問黃敬博,長期在資策會教授CEH和CHFI認證課程。他認為,企雖然對於「資安鑑識」感到陌生,但其實很多企業早已經與鑑識沾上邊,例如,企業有智慧財產或專利資料外洩時,除了找律師準備提出訴訟外,企業也會找熟悉的系統廠商協助保全相關的犯罪跡證。
吳念祖表示,目前有很多軍警調職執法人員和工作上有接觸安全的資安人員、稽核人員、安全專家、網站管理者或網站架構整合者,都會來考取CHFI這張資安技術進階課程的證照。但黃敬博認為,「企業的法務人員,則是另外一群可以進一步了解資安鑑識流程的專業人士。」
目前資策會推出的CHFI 是2007年7月推出的3.0版,整個課程主要是從觀念、法規、Lab實作、流程、程序完整了解鑑識過程。因為所有的鑑識都與系統與網路相關,黃敬博也建議,若要更容易取得CHFI認證,除了官方規定必須先取得CEH認證外,他認為,事先取得微軟MCSE、Linux的LPI 1、思科包括CCNA、CCNP以及CCSP網路與資安認證,也有助於取得CHFI認證。
CHFI是1個5天的課程,認證課程面向較廣,首先是了解何謂鑑識,從基本設備、鑑識實驗室的環境規畫等;再者,就得先了解檔案與系統格式,才知道怎麼把已經被刪除或消失的證據找出來。接下來,鑑識人員就得知道如何按部就班做鑑識,並了解進行鑑識時,所有會發生的困難與挑戰。而怎麼寫鑑識報告,甚至進一步成為法庭上的專家證人,也都會在CHFI的篇章中詳細介紹到。
由於目前儲存裝置和手持設備的多元與複雜,連PDA、iPod還有黑莓機都有專章介紹如何進行鑑識。至於在鑑識工具的介紹篇章中,黃敬博表示,目前最常使用的鑑識軟體EnCase,有授權EC-Council推出CHFI的課程光碟,所有蒐證過程與內容都包含在課程光碟中。其他課程中教授的著名鑑識工具,包括Helix和其他Linux的鑑識工具。目前CHFI可以透過VUE及Prometric報名考試。
中華電信資安技術研發組組長李倫銓已取得CEH和CHFI兩張認證,他認為這是非常偏實務的資安認證考試,不過,CHFI考的人較少,除了CEH的門檻外,英文程度也是另外的門檻。文⊙黃彥棻