在資通訊科技逐漸改變一般人日常生活的同時,以資訊科技為基礎的不法活動則更加氾濫與難以應付。單一個人、企業組織或政府機關,均須認真看待資訊安全問題。過去個別病毒、蠕蟲、木馬等惡意程式雖造成財產損失,卻遠不及近年APT對各國政府、跨國公司所引發的威脅及問題。本文以APT威脅為事件主軸,從大自然裡的生態棲息觀點進行鑑識分析,得以找出證據的蛛絲馬跡。
這樣的方法同樣適用於駭客入侵的調查事件,受限於駭客數量稀少或條件特殊,須透過人際關係網絡,蒐集待調查之可疑駭客嫌犯的潛在名單,名單裡可依順位(調查急迫性、事件重要性)或條件(技術熟悉度、查獲可能性),選擇或過濾對象,節省不必要調查時間。
 |
| ▲圖3 滾雪球的類別。 |
例如,線型滾雪球法指每個對象(或線索)間都能一個接著一個地有效銜接,在累積調查對象上最有效率,呈現線性關係的線索提供過程。
而指數型無鑑別度滾雪球法是因推薦者無法確定對象,僅有較寬鬆的調查對象名單(如駭客網站的論壇成員),使得調查者須費時調查、過濾名單找出有效對象。
指數型具鑑別度滾雪球法則是受訪者(嫌犯、調查者或資安業者)在給可疑對象時,可依待調查條件,給予條件、排序或區隔等建議,使調查過程可依過濾順位或挑選對象,節省不必要拜訪、查察時間。
社會網絡
人難以離群索居,即使虛擬網路世界也是如此,相同興趣者會不斷呼朋引伴,為共同目標不斷前進。為學習新知或成名,駭客會於駭客網站或特定論壇流連,定時或不定時於駭客年會等特定場所(即棲息地)聚集。
透過社會網絡分析嫌犯,逐一清查嫌犯周圍頻繁接觸的人士,大幅降低逮錯人的疑慮,同時把握時效。並在事件發生後,透過平時建立的人物資料,經由網路針對單一事件或單一人物蒐集資訊,加以交叉比對,拼湊事件真相,最後拼湊出涉嫌事件的細節和個人資料。
俗話說「凡走過必留下痕跡」,網路上各式各樣的服務,使用者為方便存取、記憶,常是「萬用帳號、萬用密碼」,可能同時使用於LINE、WhatsApp、WeChat、IRC、臉書、部落格、網路相簿、微網誌等,當掌握關鍵詞,便可在不同的網路服務搜索與其相關的資料。
即便是鮮少使用網路的人,因網際網路背後數量龐大的使用者,其個人資料仍常不經意被分享至各處,往往一張相片、一段影片或任何蛛絲馬跡,就能迅速挖掘出事情的來龍去脈和關鍵人物的資料,成為所謂「人肉搜尋」的對象。社會網絡如在事件調查方面加以善用,不但費用少、期間短且簡單有效,同時無須過多的事前規劃,與投入太多調查人力,兼具成本及實效之利。
實例解說
APT威脅的調查事件中,「甲」被駭組織發現電腦資料庫疑似有未經授權存取現象,由網管及資安人員清查歷史稽核紀錄的同時,也向執法機關尋求協助。
由於APT威脅的攻擊人員多具有相同犯罪棲息地特性,輔以網路、3G服務的普遍性,使社會網路的發展變得更加快速。然後,利用鎖定棲息地(如駭客網站及駭客年會等)、滾雪球式調查(如清查參加或與會人員)及解析人際網絡(如清查可疑對象的彼此通聯或通訊情形)等特性,能有效鑑識APT威脅事件的始末。
鎖定棲息地
鑑識單位根據「甲」被駭組織電腦資料庫的異常存取紀錄,反向追查至網址登記美國地址之「乙」公司(該電腦主機置於台灣),登記者實為「丙」網路駭客組織的站長。
在虛擬的網路世界,雖無法如現實世界一般巡邏,但利用網路身分的隱匿特性,保持低調地進出駭客群聚地(如駭客網站及駭客年會等)蒐集情資,亦可有效釐清疑點。
例如,本事件「丙」網路駭客組織會於網路上號召對網路安全、駭客入侵與防護有興趣者,參加特定駭客年會或駭客攻防模擬擂台(War Game)活動,這些活動場所本身便是一種棲息地。
滾雪式調查
經清查「丙」網路駭客組織站長的「丁」代理伺服器稽核紀錄,知悉歷經該代理伺服器的網路連線動作,知悉存取被駭組織電腦資料庫的歷史紀錄(含「甲」組織),亦得知可疑涉入網路入侵的「戊」網路駭客。
駭客為避免身分曝光,在網路上的活動很少留下足以直接識別其真實世界身分的資訊,欲從網路上的資訊直接逮住駭客的難度頗高。但若由現有的資源(如已被捕的駭客)介紹、提供資訊,輾轉整理情資,即可有效滲透入駭客組織。
例如,本事件查獲「丙」網路駭客組織站長的「丁」代理伺服器稽核紀錄,出現許多入侵其他主機的紀錄痕跡,他為解釋未涉入的情節,供出實際執行網路入侵行為的「戊」網路駭客及其他組織成員的真實身分及分工情形。整個過程如同滾雪球般追查程序步驟,循序漸進查察真相。
解析人際網絡
透過上述滾雪球地追查程序步驟,得以循序漸進清查相關關鍵人士的人際網絡。如同自然生態一樣,會發現駭客間也存在著合作、競爭等關係。滾雪式調查,除了分析犯罪事證外,可建立這些相關人士間的相對關係,可能彼此友好、仇視;於情資的蒐集與事證的調查過程,充分利用駭客之間的關係,可加速調查的程序。例如,清查發現「丙」網路駭客組織站長、「戊」網路駭客及其他組織成員,不約而同地與國內外其他駭客組織成員,或多或少有著不同程度的接觸。
以每個人的社交網絡觀察,交友廣闊或人際關係較佳者,則會成為各駭客組織間的重要聯繫節點,並成為各不同駭客組織間的核心人物,一舉一動都會牽動駭客組織活動的消長,自然也就成為執法機關密切關切、注意的可能犯罪者。如能適時導引,走向正途,可先一步攔截阻止資安事件危害的發生與擴大,對社會的幫助,也將更為明顯。
結語
近年,政府機關、企業電腦系統遭阻斷式服務攻擊、資料庫遭竊取屢有所聞,種種跡象顯示現今的駭客已不是為滿足追求刺激、成名為目的,而是攻擊對象其背後所潛藏的政治、經濟利益。科技發展的同時,資訊安全議題越顯重要,無論是政府機關、企業組織或個人在享受資訊科技帶來的方便,都必須注意資訊科技的安全管理,避免公務機密、商業秘密、個人資料外洩,造成重大的安全威脅或鉅額的經濟損失。
本文從探討APT威脅出發,如同自然生態一樣,駭客間也存在著合作、競爭等關係。充分利用之間的關係於情資的蒐集與事證的調查,主動發掘潛在的資訊安全威脅與鑑識追蹤,即可先一步攔截阻止資安事件危害的發生與擴大。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>