查找罪证需“融合取证”

    不久前，纽约一家金融服务公司的法务部接到了伦敦一家医院打来的电话: 你们为啥要闯入我们的网络？由于知道两个IP地址，这家金融公司的信息安全人员不难通过查看日志找出两家组织之间的通信记录。根据流量异常情况，没过多久就查出了闯入网络的那台电脑，原来罪魁祸首是之前在这家医院工作过的一位人员，医院人力资源部门的档案很快证实了这点。

    “那时候真是好日子啊！”安全培训认证公司SCIPP International的创办人Winn Schwartau说，他曾在国会前出庭作证，他表示，未来用这种方法调查系统被闯入的情况会越来越少见，因为纯粹用数字手段进行信息安全调查取证的方法越来越少用了。

    毫无疑问，抓住案件中的嫌疑犯或获取物证需要从全新的角度出发。这就是为什么越来越多的首席安全官（CSO）和首席信息安全官（CISO）声称，纯粹“数字化”的取证（如医院被闯事件）将成为明日黄花，纯粹“实物”的取证也是如此。如今，几乎每起重大调查都结合了这两种方法，而不管这些案件是否需要面对面的谈话、从财务取证、发现及审阅电子邮件、计算机和网络取证、查看手机记录、监控分析视频、审计访问日志和库存等其他相关方法。所以，在这样的环境下，CSO和CISO们面临着新问题: 如何为这种“融合”的取证方法配置人员、进行培训？融合取证如何取得成效？应当关注哪些方面问题？哪些环节存在陷阱？简而言之，安全人员如何驾驭这种融合取证？

    融合是明智之道

    Robert Huff以前是一名FBI特工，现在是总部设在芝加哥的怡安咨询公司负责调查取证服务的总经理兼全球主管。他认为，不管计算机取证做得多好，总会需要实物取证——有针对性的面谈和查看大楼门禁日志等信息，计算机取证总是需要实物取证的补充。

    Chris Boyd是总部设在英国霍利的Detica Forensics公司的取证业务主管，以前是一名警方专家。他认为，从另一方面来看同样如此。“实物取证已经走上了数字化道路，访问日志不再是物理纸张，而是数字记录; 闭路电视的录像信息也从VHS录像带变成了硬盘。过去是IT取证支持实物取证——但目前许多情况下，是实物取证支持IT取证。”

    纽约州网络安全和关键基础设施协调办公室主任William Pelgrin指出，实际上，信息安全调查人员早就记住了这一点: IT取证工作可能涉及到实物取证，反过来也如此。“单方面看问题往往会造成人为的约束。网络攻击发生时，要问问是否牵涉实物证据，反之亦然。现在有纯粹的网络安全事件，也有纯粹的物理安全事件——但在没有调查清楚另一方面的情况时，不要想当然地下结论。一定要从不同的角度分析问题，那样才能全面掌握情况。”

    Pelgrin解释: 在取证时，需要引入相关的技艺和才能。

    但具体需要哪些技艺和才能呢？“取证的最初阶段是关键阶段，往往需要培训。”David Brown说，他是咨询公司福赛思解决方案集团负责安全咨询服务的管理顾问。“展开调查的最初几分钟往往为后来的调查奠定了基调。在这个短暂的阶段，物理安全人员要明白IT人员的要求，反过来也如此，这很重要。要在减小事件影响和保留证据之间求得平衡——这种平衡关系常常取决于组织，每个团队都要知道自己采取的行动哪些会帮助另一个团队、哪些会妨碍对方。”

    信息安全论坛是一家非营利性的国际协会，成员包括300多家领先的国际安全组织。该组织高级研究顾问Adrian Davis补充说，团队彼此之间明白对方偏爱的工作方法也有帮助。“物理安全人员对调查往往采取自己的方法，IT人员可能觉得很奇怪。让他们彼此明白对方的方法很重要，这样可以让他们有助于、而不是有碍于另一方的调查工作。”

    除此之外，每个团队都有必要明白对方的强项和弱项，并明白这些特点与自身团队特点的吻合性。“比如，实物调查人员对盗窃案通常更有经验; 但如果有人在使用计算机系统来转移货物，那就需要双方介入。”

    让执法人员介入

    当然，有时候，负责调查的人员会是来自外部的执法人员。对这点，不同的地区有不同的规则和程序，但必须要做的是: 倘若发现了犯罪，必须通知地方执法部门。

    这时候，可能需要叫来人力资源部和法务部的人员。在取证调查中，“人”始终是最难处理的，人员管理是法务部和人力资源部人员的职责范围，但他们往往不懂技术。

    总之，调查取证时必须有法务部和人力资源部的人员参与; 要对调查人员进行培训，让他们知道要调查的对象以及不按章办事可能带来的后果—如雇员提起诉讼。

    正如来自网络和物理安全部门的内部调查人员要明白对方的工作程序和偏好一样，请来执法部的人员时同样如此。

    Howard Schmidt以前是微软和电子港湾的CSO，拥有执法经验，他提醒，物理安全人员往往熟悉证据连续性的要求，而IT安全人员则并不这样。

    在网络系统中，出了问题后控制系统直到执法人员出现并不切合实际，因为这往往很被动: 网络取证人员通常是边解决问题，边搜集证据，但这破坏了证据的连续性。因此需要对他们进行搜集和保留证据方面的培训。

    这一方面需要进行该做什么、不该做什么的具体培训，另一方面，需要在内部调查人员与外部执法部门之间建立相互信任的关系。

    举例说，Pelgrin在为纽约的信息安全人员组织一年一度的培训时，探讨的重点不仅仅在于不要妨碍调查，或者无意中破坏重要的证据，还传达了让证据连续性的指导原则。

    他说: “如果你收缴了一台机器或者硬盘镜像文件——随后可能会将它拿到法庭作为证据，但能够证明收缴上来后到底谁拥有控制权很重要。你所出示的证据必须处于原始状态，并且证明证据没有被人篡改过。”

    树立正确观念

    但有一个问题是，在融合取证时代，由于实物和IT取证人员合作更加紧密，还会不会真正区分这两种技能呢？简而言之，融合取证时代会需要混合型调查人员吗？

    现在还没有定论。总部设在康涅狄格州谢尔顿的安全咨询公司SSC的公司情报总经理Amit Gavish就曾经发问: “你对取证方面有深厚背景的人进行计算机取证方面的培训吗？或者对精通计算机取证工作的人员进行调查技能方面的培训吗？这是我们一直在努力解决的问题——我们通常发现，拥有出众IT取证技能的人并没有正确的调查观念。”

    Peter Yapp也认为有些地方需要注意。Yapp现在是业务风险咨询公司Control Risks的网络取证主管，实际上他在上世纪90年代为英国海关总署工作时，就组建过这样一支团队。

    他说: “我们在组建计算机取证团队时采取的做法是，向现有的海关调查人员传授IT取证方面的知识，而不是试图向IT取证人员传授海关调查方面的知识，并收到了成效; 我们也很幸运，因为我们已经有了IT背景相当扎实的人员。我拿不准可不可以对任何调查人员进行取证知识方面的培训——正如你没法随便把一名IT技术人员变成调查人员一样。”

    Yapp认为，“具备扎实的调查技能是实物取证和IT取证人员需要具备的重要技能。

    他说: “我找的是会说两种语言的人: 计算机语言和实物语言。更重要的是，我需要大家不放弃、认真查找及观察事态、发现异常情况后采取相应措施。这不单单指寻找磁盘上的关键字，而是找出表明犯罪的珠丝马迹。”

    SSC的Gavish同意这一观点。他强调，观念很重要。因为观念最终决定着是为调查派遣具有不同技能的两个人，还是调派具有两种技能的一个人。他说: “实物调查人员往往希望采用传统的调查方法，而IT取证人员往往在他们最熟悉的IT工具和技术方面得心应手。要是你没法让他们从事自己不擅长的领域，那么最好派两个人，让他们各自负责调查的不同部分。”