隨著高科技的蓬勃發展,人們的生活早已與智慧型手機、電腦及網路密不可分,伴隨而來的便是層出不窮的資安事件與電腦犯罪案件。大多數的使用者在資安相關議題上所知有限,確有必要提升資安意識及加強防護,才不致輕易成為駭客或惡意程式的俎上肉。
掛載Ghost檔以查明內容
鑑識人員以工具掛載bkp.old檔進行深入分析,得知其為自Linux平台主機所產生的Ghost映像檔之外,竟發現該檔案之中存在與外洩資料相關的檔案,如圖6所示。此一發現令警方士氣大振,也使得原本膠著的案情露出一線曙光。鑑識人員進一步追蹤那些檔案,與機房中一台檔案伺服器上的檔案內容相近,研判這就是Larry竊取資料的來源。
 |
| ▲ 圖6 發現與外洩資料相關的檔案。 |
警方認為Larry可疑的主要原因在於「檔案特徵值分析結果不符」,亦即Larry是透過竄改副檔名.gho為.old的方式,企圖達到混淆視聽的效果,以為能讓鑑識軟體在發現副檔名為.old的檔案時,會因為無法辨識其檔案類型而略過不理。但鑑識軟體不是僅憑副檔名叫什麼來看待一個檔案,而是在進行分析時,藉由檔案特徵值的比對,察覺檔案特徵值與副檔名不相符的情況,鑑識人員便可依此資訊,進一步追查該檔案是否與案情有所關連。
承辦此案的檢警連忙與Seahawk高層開會,並將相關證據出示,Seahawk高層亦認同檢警觀點,咸認為此案已罪證確鑿,內鬼便是Larry。隔天檢警便召開記者會宣告此一社會矚目的案件已順利破案,媒體亦大篇幅報導渲染,劇情的精彩程度比起CSI簡直可說是有過之而無不及。
法院攻防激烈 犯嫌矢口否認
警方亦將相關物證出示給Larry,希望他能認罪,但Larry堅稱他不是內鬼,他未曾偷竊公司資料,更不曾將公司機密外洩給競爭對手陣營。檢警依法起訴Larry,在法庭上展開激烈攻防。檢方質疑的部分主要有以下兩點:
1. 為何Larry要對檔案伺服器進行Ghost備份?是否意圖將公司機密攜出藉以牟利?
2. 為何刻意將備份檔bkp.gho的副檔名.gho改成.old?是否想掩人耳目,以規避調查?
至於被控方這一方面,Larry供稱檔案伺服器的備份檔的確是他以Symantec Ghost進行備份所產生。但他的本意是為了公司好,由於那台伺服器在那一陣子曾頻繁出現過當機掛點的現象,經檢測判斷主因是硬碟不定時出現無法辨識的狀況所致。
他擔心若一旦這台伺服器掛點,其上的兩個重要服務包括客服系統的SMTP Server及檔案伺服器的Samba Server都將停擺,因此他便利用某一天下班後的離峰時間以「disk-to-image」模式進行備份,將作業系統區及資料區均完整保留,產生副檔名為.gho的映像檔,儲存目的地為一顆外接式的USB大容量抽取式硬碟,之後再複製到自己的電腦內留存,妥善保管以備不時之需。
當Larry被問到為何要將副檔名刻意改成.old時,Larry表示,由於先前曾有病毒會鎖定副檔名為.gho的備份檔進行破壞,他為了避免此一風險,才會刻意改副檔名。
檢方痛斥Larry上述說詞乍聽之下冠冕堂皇,實則是脫罪之詞,且因為Larry本身為IT人員,深諳如何進行滅證,以致警方未能在其公司用及私人電腦之中找到將資料外洩的直接證據。但確已在Larry的公司電腦中找到與外洩資料相關的檔案及資料夾,不容Larry抵賴。檢方以Larry狡言善辯,毫無悔意,請求法官求處重刑。
整起案件疑點重重
鑑識人員R看到新聞報導,以及聽參與此案的其他鑑識人員私下討論時,部分疑點引起了他的好奇。R認為此案的疑點在於,既然未能自Larrry的公司電腦及私人筆電中找到外洩資料的跡證,怎麼可以僅憑他的公務用電腦中的一個Ghost檔之中包含那些疑似遭到外洩的資料,就斷定他必是內鬼,這樣的鑑識分析未免失之草率。
其他有參與此案的鑑識人員也無奈地表示,當初只是向長官報告Larry電腦中的.gho檔裡存在與外洩資料有關的檔案,沒想到長官們見獵心喜,就迫不及待宣佈破案了,事已至此,他們也不好說些什麼。
R不禁嘆了一口氣,心想若是真如Larry所述,當時只是好心幫公司進行備份,以維繫重要系統不致停擺,那如今被誤認為外洩公司營業機密的內鬼且遭到起訴,豈不是蒙受了不白之冤?
R在調出證物映像檔進行查看,確實完全找不到Larry曾將資料透過可能途徑外流的相關跡證。當然,也許有人會說會不會是因為Larry用了什麼反鑑識的工具及手法進行滅證,才會都找不到。但是別忘了,若有使用那些所謂反鑑識的工具及手法,仍會在不經意之間於證物電腦中殘留相關跡證。
決定重啟調查
R心懸此案,便以討論案情為由前往拜訪Seahawk集團的董事長。董事長感到訝異,心想案子不是結束了嗎?內鬼也抓到了,還有什麼要談的呢?R便表明來意,將他在證物上的發現向董事長說明。至此,董事長也不再一味認定Larry就是內鬼,開始認真地和R討論相關案情。
中間過程也會閒話家常幾句,R想藉此了解董事長閒暇之餘的去處及從事哪些活動。董事長表示,假日偶爾會去打高爾夫球,但周日下午會固定在一家咖啡廳喝咖啡,唯有此刻才能真正不受打擾,靜下心來思考。而為了在手機上亦可存取公司郵件,董事長亦要求IT部門設妥自動轉發至其私人郵箱。
當此之時,董事長也會將手機中的SIM卡取出,暫時刻意讓自己失聯,專注地看郵件並回覆相關裁示,等到晚餐時間才會再插入SIM卡恢復通訊。
R一聽便連忙便請董事長帶他去那家咖啡廳品嘗一下,此時沒有比喝杯香濃的咖啡更為愜意的享受了。
回到案發現場 破案胸有成足
董事長帶R到那家每周日下午必造訪的咖啡廳裡品嘗咖啡,邊喝邊習慣性地拿出了手機,按照往例取出SIM卡,連上Wi-Fi後開始看郵件。R也拿出筆電,又突然向董事長表示想看一下他的手機。
董事長便將手機遞了過去,直說這手機雖舊,但他用得很習慣還捨不得換。R查看了一下之後,便交還給董事長,但此刻R已了然於胸,大膽向董事長表示,他已知道犯嫌的手法,接下來便要還原犯罪經過和手法。
還原犯罪手法
董事長喜出望外,連忙問R是怎麼知道的。R指著董事長的手機,答案便是「它」,犯嫌是藉由這支手機才擷取到那些公司營業秘密。
R接著向董事娓娓道來,首先R注意到董事長是用瀏覽器登入Web Mail以檢視郵件,如圖7所示。
 |
| ▲ 圖7 用瀏覽器登入Web Mail以檢視郵件。 |
R請董事長登出再登入並留意手機螢幕上的變化,然後告訴R他看到了什麼。
董事長緊盯手機螢幕,結果在登入時看到一則錯誤訊息,如圖8所示。
 |
| ▲ 圖8 登入時出現一則錯誤訊息。 |
 |
| ▲ 圖9 不斷按下「繼續」,好讓郵件能夠順利載入以檢視內容。 |