常言道:「商場如戰場」,每個企業除了戰戰兢兢經營之外,也必須要留意是否有妥善保護研發技術或與營業秘密相關的資料,以維繫競爭力不墜。倘若研發心血遭到破壞或竊取,對一個企業所造成的傷害及損失,將大到令人無法想像且難以估計。
前情提要,某日警方接獲報案,D0tc0m科技疑似遭到駭客入侵,其研發技術文件遭到大量刪除。該公司高層研判,這些研發心血甚至可能已被駭客全數傳送至遠端C&C主機上並遭到刪除,以達成破壞的目的,目前警方已展開調查以釐清相關案情。
高層試圖掩蓋
據了解,案發之初D0tc0m科技並未立即尋求警方協助,而是內部成立小組自行調查,原因恐怕是不希望併購案受到此事件所影響。
日前外傳某全球知名科技大廠看上了D0tc0m科技的研發成果及研發能量,因此有意以鉅資併購。
內部調查小組起初是將焦點放在是否遭到駭客入侵,但經調查,這台存放相關研發技術文件的檔案伺服器只有對內部開放連線存取,且該伺服器上並未找到任何自外部以遠端連線工具連入的痕跡。加上亦未發現任何可疑惡意程式曾經存在的跡證,因此相關調查可說是毫無進展。那為何說是被駭客入侵呢?據IT部門表示,通常要是遇到像這類不知是何原因造成的事件,都推說是駭客所為,似乎是個較合適的說詞。
內部調查徒勞無功
此時調查小組內部也因意見分歧而爭論不休,目前主要有幾種看法:
1. 認為可能是內部某台電腦被植入惡意程式,成了駭客的跳板,駭客便可以透過該台電腦竊取及刪除資料。
2. 認為可能是內部人員所為,原因是併購案的進展隱晦不明,擔心一旦併購成功將會有一番人事變動,在掂量可能面臨的變局之後所展開的破壞行為。
3. 認為可能是內部人員所為,主要目的是企圖將公司研發心血攜出,售予競爭對手陣營,以謀求一己之利。
公司高層眼見案情並無任何進展,反而愈發造成各部門及人員之間的相互猜忌和不信任,為了不使公司營運受到影響,決定報警以求早日水落石出。
案情一度膠著
警方展開調查,在以工具掃描所有的伺服器和個人電腦之後,並未發現可疑的惡意程式或是遭到駭客做為跳板的相關跡證,因此初步排除了自外部入侵的可能性。再把調查方向轉向內部,鑑識團隊在對可疑目標電腦進行仔細過濾分析之後,仍未有任何斬獲,案情一度陷入膠著。
這一日鑑識人員R受邀前往支援,來到D0tc0m科技的IT部門進行蒐證,不經意瞥見一名IT人員將一台電腦送進角落的一個小房間內。R走近一看,裡頭堆放了數百台的桌上型電腦及筆電。經向IT部門主管了解之後,原來這裡頭堆放的全是離職員工的電腦,在完成交接程序之後,離職者會將電腦繳回並由IT人員簽收。之後IT人員會再把這些電腦拿出來重灌,好讓新進人員使用。但為何累積了數百台之多呢?那是因為IT部門平常就忙得焦頭爛額,怎還會有時間花在這些離職員工的電腦上。
在回程的路上,一個念頭在R的腦海中一閃而過,R一方面立刻要鑑識團隊再調出檔案伺服器的相關蒐證內容準備重新檢視,另一方面,R請D0tc0m科技的人資部門調出事發當日前後的離職人員名單。
重新檢視證物
R檢視了當初鑑識團隊針對該檔案伺服器的蒐證結果,只有一份記憶體傾印檔及偵測惡意程式工具的掃描結果。R心裡清楚會如此的原因即在於,當鑑識人員發現檔案伺服器的掃描結果顯示無異常程序或服務,便不打算再進一步查看,但如此一來便可能因此錯失了重要線索。
此時,R收到人資部門所寄來的名單,映入眼簾的名單有點長,顯示D0tc0m科技的人員流動率似乎也是挺高的。其中名單當中的幾個人,引起了R的高度關注。此時,R心中已大概有譜了。
R立刻驅車前往D0tc0m科技,開始於該檔案伺服器進行蒐證,另一方面要求IT部門依照R所列出的離職人員名單,將其離職前所使用的電腦自庫房中領出,但不得開機,保持其關機狀態即可。
呼之欲出的答案
接著,R將檔案伺服器的蒐證結果置於鑑識工作站上進行分析,不一會兒工夫,有了驚人的發現。此時IT部門送進了3台筆電,D0tc0m科技的高層忍不住問R:「嫌疑犯便是這3台電腦的使用者之一嗎?」R點點頭並拿出工具,將其中一台筆電的硬碟卸下,準備進行鑑識分析。R望了這位高層一眼說:「差不多知道是誰了,但為了慎重起見,再等幾個小時,明天就可以給出答案。」
隔天一早,D0tc0m科技的高層收到警方通知,得知R目前鎖定涉嫌刪除公司研發技術文件的人便是Sandy。警方前往Sandy住處進行搜查,將Sandy及相關證物帶回。警方在訊問Sandy為何要刪除檔案伺服器上的資料時,Sandy神色自若地大聲喊冤並堅決否認犯行。