IT業界社群及資訊平台

【電子鑑證實錄】緝兇前 先要重建人與電子設備的關係

香港的資訊科技鑑證(Digital Forensics)專家,大部分都集中在政府執法部門內,坊間的專家數量少得有如特務般神秘,原來有段古。提供鑑證服務的網絡安全公司 eWalker 首席顧問楊思聰 (Ricci),是香港第一代資訊科技鑑證專家,更是首位以IT人員身份於法庭提供專家證供。「大約在 2000 年,當時執法部門開始想培訓本地鑑證人才,我們(資訊保安及法證公會, ISFS)的創會主席 (已故的陳天雄教授) 好有前瞻性,便接受邀請籌備香港第一個鑑證訓練課程,定義鑑證的內容及如何做鑑證,所以現時執法部門內有很多我們的學生。」

他解釋說,以往執法部門也會外判鑑證服務,但如鑑證專家在審訊期間離職,便難以找其他專家「執手尾」,所以執法部門現已傾向交由內部人員搜證,更羅致了本港大量人才。另一方面,他說懂得使用電子證供的律師亦不多,如其他證供在庭上已可穩贏,律師便不會考慮使用,變相令坊間的鑑證行業生存空間有限,專門從事這行業的人不多,才會變得如此神秘。

Ricci說全球有三間公司有出售破解工具,甚至亦成功破解新的智能手機,但這些公司只會將工具賣給執法部門,我們雖然也有購買這些工具,但秘技功能卻只有執法部門才可以使用。
鑑證過程等多過做

事實上,Ricci 說資訊科技鑑證一點也不神秘,調查過程也沒有一般人想像中的驚險刺激,投放得最多的時間,反而是前置作業。「處理跟裁判有關的電腦鑑證,首先要合規地完整複製證物內的數據,才可用這份副本進行調查,複製過程中不可改動到正本內的任何數據,否則有可能令這份證物失效。」Ricci 說單是如何取證及保管證物已有一定程序需要遵守,再加上現時儲存設備的容量動輙以 TB 計,以複製一隻 1TB 容量數據為例,便要 6 至 8 小時,令前置作業變得相當耗時。另外,他說配置在手提電腦及平板電腦內的SSD,由於硬件結構愈來愈精密, 要在不影響證物的合法性下讀取內容,也是一件令人頭痛的事,而他相信隨著科技進步,上述情況只會愈來愈差複雜。

Ricci 笑說另一普遍謬誤是以為電腦搜證的工具一定好高科技,但他們選擇使用的工具,某程度上卻與科技高低無關,最重要反而是可否用來上court。「基本上搜證沒有指定使用哪種工具,但因為取證後要方便法官理解及相信,所以搜證工具最好有一定的 reputation,例如執法部門亦在使用,就可提升取證的可信性。」他舉例其中一款最出名的工具 X-Ways Forensics,原本只是用作讀取儲存內容的工具,後來因不少鑑證專家用於取證,並在法庭上陳述證據,久而久之,便變成其中一款最被行內人士採納及使用的鑑證工具。

「解剖」使用習慣 用家個性現形

資訊科技鑑證最有趣的地方,在於可重建人與電子設備的關係,證明進行的活動是否本人所為。Ricci 以管有兒童色情物品為例,起訴的門檻很低,只要設備內存有這些照片,就可以被起訴,同時刑罰亦很重,所以被告都想知有否脫罪方法。「其實只要用心去睇,就可從個人使用習慣中可到這些照片是否有心下載,例如當事人平時會看什麼網站?每日的上網習慣?主要看哪類型網站?如被告兩年內只去過兩三次跟色情照有關的網站,這些兒童色情照片便有可能只是不慎被下載,或被黑客入侵所導致。」他說如真的有收看習慣,通常被告也會習慣性將照片儲存在同一位置,甚至會系統性地分門別類。通過分析電子設備的使用習慣,就可赤裸裸地顯示機主的個人行為,這些證供都可應用於裁判之上。

鑑證、網絡安全易混淆

不少人以為從事 IT 行業,特別是網絡安全,識得睇 log,就等於懂得做資訊科技鑑證。Ricci 說雖然兩者有一定關連,但實際上有很大差距。「做鑑證的確要懂得網絡安全,因為如要判斷電腦有否被入侵,就要知道有什麼漏洞可被利用,以及有哪些攻擊方法。我常說做鑑證跟做醫生差不多,客人(病人)覺得電腦(身體)好像被hack(有毛病),但又說不出問題所在,我們就要從客戶所提供的徵狀去做假設,然後去適當位置檢證,例如覺得可能是防火牆被攻擊,就去查看防火牆有否留有蛛絲馬跡,去證實自己的假設。」不過,他說做鑑證還要更多額外的訓練,包括法律、現場取證技術,而且還要熟悉各種不同的作業系統,才能作出合理的推斷,並搜集可支持論點的證據,「如果是實戰型的 IT 人,鍾意睇 log 睇系統,的確會較易上手,但做鑑證更著重有耐性及長期增值,而且要識得如何解釋給外行人聽。」Ricci 說有「基礎」的 IT 人會較易入行,大約 4 至 5 年便能上手。

關於電子搜證,相信不少人也對是否可破解智能手機感到興趣,Ricci 說要破解智能手機沒有想像中容易,至少私營機構便較難破解,「可能大家都有聽過全球有三間公司有出售破解工具,甚至亦成功破解新的智能手機,但這些公司只會將工具賣給執法部門,我們雖然也有購買這些工具,但秘技功能卻只有執法部門才可以使用。」他說有些功能更不會出售,執法部門如用手上的工具也無法破解,便要將手機寄給對方處理。「一般來說,這些公司都未必可以破解最新的智能手機作業系統,所以保持將系統版本更新,的確有一定安全性。」不過,他補充說就如同加密演算法難以破解一樣,隨著電腦硬體技術(如量子電腦)的發展,運算能力將會大增,現時無法破解的數據,將來或可在秒速之間解讀,就連其他電腦技術也一樣,所以鑑證人員需要不停增值,才能掌握第一手技術,絕不是一份簡單的工作。

相關文章:【手機鑑證實錄】火燒水浸無用 借晶還魂走唔甩

 

Privacy Preference Center