什麼是數字取證?如何在這個熱門領域站穩腳跟?
數字取證定義
數字取證(Digital forensics),有時也稱作「計算機取證」,是將科學調查技術應用於數字犯罪和攻擊領域的一門學問。它是法律和商業在互聯網時代的一個重要體現方面,可以是一個有益且有利可圖的職業道路。
DFIRLABS的首席取證科學家Jason Jordaan將數字取證定義為「數字證據的識別、保存、檢查和分析,使用經過科學認可和驗證的過程,並在法庭上最終呈現該證據以回答某些法律問題。」
這是一個非常好的定義,但需要注意的一點是,該術語有時用於描述任何類型的網路攻擊調查,即使不涉及執法或法院系統。數字取證專家可以在公共以及私營部門工作。擁有自己的數字取證計劃的尚普蘭學院(Champlain College)對於數字取證有一個更為籠統的描述,「一旦發生數據泄露事件,數字取證專業人員就會採取行動,並努力識別黑客攻擊,了解事故原因並恢復任何受到破壞的數據。」
數字取證的歷史
執法機構對於"將取證技術應用於計算機和高科技設備"的必要性理解有些緩慢。在20世紀70年代和80年代的在大多數情況下,早期的數字取證先驅者是在警察或聯邦執法機構工作的人員,他們大多也恰好是計算機愛好者。引起執法部門注意的首批領域之一是數據存儲,因為調查人員長期以來一直在努力抓住、保留和分析嫌疑人的文件;數字取證的曙光開始在這群人身上浮現,大部分文件都不再是紙上談兵了。1984年,聯邦調查局啟動了磁介質計劃(Magnet Media Program),專註於這些數字記錄,這是執法機構的第一個官方數字取證計劃。
與此同時,許多用於追蹤和識別黑客入侵計算機系統的技術也在私營部門中開發出來。一個普遍認同的開創性時刻出現在1986年,當時勞倫斯伯克利國家實驗室的Unix系統管理員Cliff Stoll試圖在會計日誌中找出0.75美元的差異,並最終指向一名闖入敏感系統並向其銷售數據的德國黑客。一路上,Stoll創造了可能是第一個蜜罐陷阱。
在90年代和00年代,數字取證的大部分特殊化和專業化都是針對兩個令人不快的現實做出的反應:在線傳播兒童色情內容,導致大量數字證據被查獲;在阿富汗和伊拉克的戰爭中,美國軍隊經常最終捕獲敵方叛亂分子的筆記本電腦和手機,並向他們提取有用的情報。里程碑事件發生在2006年,當時美國政府對「民事訴訟規則」進行了全面改革,以實施強制性的數字取證制度。
如何在調查中使用數字取證技術
數字取證有許多過程模型,它們定義了取證審查員應如何著手收集和理解證據。雖然這些過程可以根據具體情況進行調整,但大多數過程都遵循以下四個基本步驟:
·收集(Collection),該過程主要用於獲取數字證據。這通常涉及佔用物理資產,如計算機、電話或硬碟;必須注意確保沒有數據損壞或丟失。可以在此階段複製或成像存儲介質,以便將原件保持在原始狀態以供參考;
·檢查(Examination),該過程主要使用各種方法來識別和提取數據。該步驟可分為製備、提取和鑒定。在此階段做出的重要決定是,是否處理「活的」(例如,啟動已佔用的筆記本電腦)或「死的」(例如,將已佔用的硬碟驅動器連接到實驗室計算機)現場系統。識別意味著確定各個數據是否與手頭的案例相關 - 特別是在涉及權證時,允許信息審查員學習的可能是有限的;
·分析(Analysis),在該過程中收集的數據主要用於證明(或反駁)審查員正在建立的案例。對於每個相關數據項,審查員都將回答有關它的一些基本問題 - 誰創建了它?誰編輯了它?它是如何創建的?什麼時候發生的這一切?- 並試圖確定它與案件的關係;
·報告(Reporting),數據和分析會在該過程中被合成為一種可以被外行人理解的形式。能夠創建此類報告對於對數字取證感興趣的人來說絕對是至關重要的技能。
數字取證工具
任何數字取證從業者都會在其套件中使用各種工具。一方面來說,你可能有一個單一用途的開源工具,如數據包嗅探器Wireshark或HashKeeper,一個免費使用的程序,可以加快資料庫文件的檢查。另一方面,你可能擁有功能強大的商業軟體平台,具有多種功能和靈活的報告功能,如Encase或CAINE,這是一個專門用於取證工作的Linux發行版本。
美國信息安全研究所(InfoSec Institute,一家為信息安全和IT專業人士提供培訓的機構)將這些工具分解為多個類別,這些類別本身可以讓您了解他們可以完成的各種任務:
·磁碟和數據捕獲工具;
·文件查看器;
·文件分析工具;
·註冊表分析工具;
·互聯網分析工具;
·電子郵件分析工具;
·移動設備分析工具;
·網路取證工具;
·資料庫取證工具;
該研究所還保留了一份流行的取證工具清單,這些工具都會定期更新。有興趣的可以自行前往查看。
數字取證學位課程和認證
傳統上意義上來說,數字取證從業者來自更普遍的計算機科學背景,並且經常是經驗豐富的系統管理員,他們已經熟悉數字取證中使用的許多基本工具。然而,隨著行業內專業化程度的不斷提升,一些學校現在也開始提供專門針對數字取證的學位或專業 - 下面介紹的5個學校,其中兩個屬於傳統的校園環境,三個屬於在線資源:
·普渡大學(Purdue University)擁有網路安全和取證實驗室,提供網路取證專業碩士學位;
·尤蒂卡學院(Utica College)商業與司法研究學院提供網路安全和信息保障學士學位,其中也重點涉及網路犯罪調查和數字取證相關學科;
·尚普蘭學院(Champlain College)提供計算機取證的在線學士學位;
·紐約城市大學(City University of New York)約翰傑伊刑事司法學院提供數字取證和網路安全的在線碩士學位;
·馬里蘭大學(The University of Maryland)學院提供數字取證和網路安全的在線碩士學位;
如果您有更多的普通教育或專業背景,但希望在求職方面有所幫助,您可能需要考慮進行數字取證認證。《商業新聞日報》展示了五個最有價值的證書清單:
1. ACE(AccessData Certified Examiner)
國際著名電子取證廠家——美國AccessData公司基於其核心產品FTK(Forensic Tool Kits)使用水平測試的專業認證,是目前電子數據檢驗領域權威認證之一,為國外各執法機構及電子數據檢驗相關部門承認, 成為這些國家對其電子數據檢驗人員執業資格認證的重要依據,僅美國就有超過5000人通過ACE認證。
ACE認證由AD公司組織免費考試,合格者取得證書。申請ACE認證的技術人員,應是FTK用戶(考試需要使用FTK),並參加AD公司及其授權培訓機構專業培訓,培訓內容包括FTK操作專業培訓,及ACE認證考試輔導;同時高水平用戶也可根據ACE相關資料自學直接參加考試。
2. CFCE(Certified Forensic Computer Examiner)
中文一般翻譯為「認證計算機取證調查員」,該認證由計算機調查專家國際協會(IACIS)頒發,涵蓋了計算機和數字取證調查的基礎知識,專為時任執法專家和前任執法專家或從事數字取證工作的政府僱員而設。該認證曾經是執法部門或政府僱員的專屬,但它已經逐漸與執法機構的合同工和前僱員開放。
與其它認證不同,CFCE要求你首先完成同行評審階段,在此階段,你將與取證專家一起完成四個基於實際情景的問題。通過實踐演練的環節後,你就可以進入認證階段,包括獨立演練和筆試。你每隔三年要在繼續教育中保有40個學分,以保證你的認證有效,每年還要支付75美元的費用,其中包括計算機調查專家國際協會的會費。文憑還需要進行背景檢查。
3. CHFI(Computer Hacking Forensic Investigator)
中文一般翻譯為「計算機入侵調查取證專家」,由美國中立機構International Council of Electronic Commerce Consultants(下簡稱EC-Council)組織開展,是關於計算機入侵調查取證的專業認證。
EC-Council 是美國的專業組織,總部位於紐約,是世界 十 大 IT 認證機構之一。EC-Council認證體系由The Association of Internet Professionals(簡稱AIP)授信,AIP是國際知名的互聯網專家的重要組織。AIP認證授信委員會由廠商認證公司、教育機構、軟硬體公司以及其他一些非營利機構組成,主要是確定認證體系的標準並授信於符合該標準的認證項目。
CHFI課程主要圍繞黑客人侵、偵測、提取犯罪證據及發現潛在攻擊。除計算機安全外,CHFI 同時教授如何系統地及正確地獲取並記錄犯罪證據(例如通過恢復已刪除、加密或損毀的文件),在法庭起訴入侵者,並實施審計來防止未來的入侵。目前,CHFI 課程已經更新至V8版本,相比之前的版本,CHFI V8更強調實戰技術和方法,其精心組織的內容能有效確保學員充分理解取證調查的步驟和方法。此外,CHFI V8展示了調查中需要使用到的的新技術和新工具。
4. EnCe(EnCase Certified Examiner)
一般翻譯為「EnCase認證調查員」,由美國知名電子數據取證廠商Guidance Software(NASDAQ: GUID)組織開展,是國際上最具影響力的計算機取證認證,廣泛被全球執法部門、企業(如四大會計師事務所、諮詢及調查機構)認可。
根據國外機構的統計數據,在電子數據取證領域,EnCE是領英(Linkedin)社交網最受推崇、認證人數排行第一的商業計算機取證認證。獲得EnCE認證的調查員已具備計算機調查取證技能且能熟練使用EnCase取證軟體開展綜合的計算機調查取證工作。
5. GCFA And GCFE Certifications
GCFA是一個高級事件響應課程,考試為全英文,考生須在3個小時內完成115道題,考生必須取得71%以上的正確率才可通過考試。獲得認證後需要每4年更新1次;GCFE是一個中級Windows取證課程,考試為全英文,考生須在3個小時內完成115道題,考生必須取得71%以上的正確率才可通過考試。獲得認證後需要每4年更新1次。
最後,值得注意的是,正如數字取證專家John Irvine所說的那樣,
計算機取證是一種學徒訓練......一旦你和高級考官一起深入真正的案件中,你就真正學會了本事。
數字取證工作
數字取證中的工作往往具有「調查員」,「技師」或「分析師」等頭銜,具體取決於您的資歷和專業水平。數字取證領域的大多數工作都在公共部門——例如執法部門、國家機構或犯罪實驗室,儘管後者可能是私人經營並與公共機構簽訂合同。
然而,由於公共網路犯罪實驗室經常不堪重負——而且由於官僚主義的繁文縟節而不太靈活 ——大型公司開始運營自己的實驗室,為數字取證專業人士創造了另一條利潤豐厚的道路。截至2017年,已經有六家數字取證實驗室獲得了美國犯罪實驗室主任在私營公司的認可,包括Target、Walmart以及American Express等。
數字取證專業人員期望獲得什麼樣的薪水?根據PayScale的說法,取證計算機分析師平均每年的收入大約為7萬美元,不過相當寬泛的收入範圍可介於45,000美元到115,000美元左右。
數字取證職業道路
儘管如此,您可能會認為計算機取證是您的職業道路。不可否認,這是一個迷人的領域!但是值得注意的是,就像執法中的任何職業道路一樣,它可以讓你接觸到一些最惡劣的人性。約翰·歐文(John Irvine)曾經就計算機取證的黑暗面發表過一篇憂鬱的博文。還記得我們是怎麼說計算機取證領域在追捕兒童色情作品和恐怖分子時變得專業化了嗎?好吧,正如Irvine所描述的那樣,這可能會給調查人員帶來精神上的損失,因為他們必須檢查並觀察他們發現的大部分材料。這是一個發人深省的想法,但是當你考慮數字取證職業時,這個想法又是十分必要的。
