什么是数字取证(Digital forensics)? 如何在这个热门领域站稳脚跟?

数字取证定义

数字取证(Digital forensics),有时也称作“计算机取证”,是将科学调查技术应用于数字犯罪和攻击领域的一门学问。它是法律和商业在互联网时代的一个重要体现方面,可以是一个有益且有利可图的职业道路。

DFIRLABS的首席取证科学家Jason Jordaan将数字取证定义为“数字证据的识别、保存、检查和分析,使用经过科学认可和验证的过程,并在法庭上最终呈现该证据以回答某些法律问题。”

这是一个非常好的定义,但需要注意的一点是,该术语有时用于描述任何类型的网络攻击调查,即使不涉及执法或法院系统。数字取证专家可以在公共以及私营部门工作。拥有自己的数字取证计划的尚普兰学院(Champlain College)对于数字取证有一个更为笼统的描述,“一旦发生数据泄露事件,数字取证专业人员就会采取行动,并努力识别黑客攻击,了解事故原因并恢复任何受到破坏的数据。”

数字取证的历史

执法机构对于"将取证技术应用于计算机和高科技设备"的必要性理解有些缓慢。在20世纪70年代和80年代的在大多数情况下,早期的数字取证先驱者是在警察或联邦执法机构工作的人员,他们大多也恰好是计算机爱好者。引起执法部门注意的首批领域之一是数据存储,因为调查人员长期以来一直在努力抓住、保留和分析嫌疑人的文件;数字取证的曙光开始在这群人身上浮现,大部分文件都不再是纸上谈兵了。1984年,联邦调查局启动了磁介质计划(Magnet Media Program),专注于这些数字记录,这是执法机构的第一个官方数字取证计划。

与此同时,许多用于追踪和识别黑客入侵计算机系统的技术也在私营部门中开发出来。一个普遍认同的开创性时刻出现在1986年,当时劳伦斯伯克利国家实验室的Unix系统管理员Cliff Stoll试图在会计日志中找出0.75美元的差异,并最终指向一名闯入敏感系统并向其销售数据的德国黑客。一路上,Stoll创造了可能是第一个蜜罐陷阱。

在90年代和00年代,数字取证的大部分特殊化和专业化都是针对两个令人不快的现实做出的反应:在线传播儿童色情内容,导致大量数字证据被查获;在阿富汗和伊拉克的战争中,美国军队经常最终捕获敌方叛乱分子的笔记本电脑和手机,并向他们提取有用的情报。里程碑事件发生在2006年,当时美国政府对“民事诉讼规则”进行了全面改革,以实施强制性的数字取证制度。

如何在调查中使用数字取证技术

数字取证有许多过程模型,它们定义了取证审查员应如何着手收集和理解证据。 虽然这些过程可以根据具体情况进行调整,但大多数过程都遵循以下四个基本步骤:

·收集(Collection),该过程主要用于获取数字证据。这通常涉及占用物理资产,如计算机、电话或硬盘;必须注意确保没有数据损坏或丢失。可以在此阶段复制或成像存储介质,以便将原件保持在原始状态以供参考;

· 检查(Examination),该过程主要使用各种方法来识别和提取数据。该步骤可分为制备、提取和鉴定。在此阶段做出的重要决定是,是否处理“活的”(例如,启动已占用的笔记本电脑)或“死的”(例如,将已占用的硬盘驱动器连接到实验室计算机)现场系统。识别意味着确定各个数据是否与手头的案例相关 – 特别是在涉及权证时,允许信息审查员学习的可能是有限的;

· 分析(Analysis),在该过程中收集的数据主要用于证明(或反驳)审查员正在建立的案例。对于每个相关数据项,审查员都将回答有关它的一些基本问题 – 谁创建了它?谁编辑了它?它是如何创建的?什么时候发生的这一切? – 并试图确定它与案件的关系;

· 报告(Reporting),数据和分析会在该过程中被合成为一种可以被外行人理解的形式。能够创建此类报告对于对数字取证感兴趣的人来说绝对是至关重要的技能。

数字取证工具

任何数字取证从业者都会在其套件中使用各种工具。一方面来说,你可能有一个单一用途的开源工具,如数据包嗅探器Wireshark或HashKeeper,一个免费使用的程序,可以加快数据库文件的检查。另一方面,你可能拥有功能强大的商业软件平台,具有多种功能和灵活的报告功能,如Encase或CAINE,这是一个专门用于取证工作的Linux发行版本。

美国信息安全研究所(InfoSec Institute,一家为信息安全和IT专业人士提供培训的机构)将这些工具分解为多个类别,这些类别本身可以让您了解他们可以完成的各种任务:

· 磁盘和数据捕获工具;

· 文件查看器;

· 文件分析工具;

· 注册表分析工具;

· 互联网分析工具;

· 电子邮件分析工具;

· 移动设备分析工具;

· 网络取证工具;

· 数据库取证工具;

该研究所还保留了一份流行的取证工具清单,这些工具都会定期更新。有兴趣的可以自行前往 查看

数字取证学位课程和认证

传统上意义上来说,数字取证从业者来自更普遍的计算机科学背景,并且经常是经验丰富的系统管理员,他们已经熟悉数字取证中使用的许多基本工具。然而,随着行业内专业化程度的不断提升,一些学校现在也开始提供专门针对数字取证的学位或专业 – 下面介绍的5个学校,其中两个属于传统的校园环境,三个属于在线资源:

· 普渡大学(Purdue University)拥有网络安全和取证实验室,提供网络取证专业硕士学位;

· 尤蒂卡学院(Utica College)商业与司法研究学院提供网络安全和信息保障学士学位,其中也重点涉及网络犯罪调查和数字取证相关学科;

· 尚普兰学院(Champlain College)提供计算机取证的在线学士学位;

· 纽约城市大学(City University of New York)约翰杰伊刑事司法学院提供数字取证和网络安全的在线硕士学位;

· 马里兰大学(The University of Maryland)学院提供数字取证和网络安全的在线硕士学位;

如果您有更多的普通教育或专业背景,但希望在求职方面有所帮助,您可能需要考虑进行数字取证认证。《商业新闻日报》展示了五个最有价值的证书清单:

1. ACE(AccessData Certified Examiner)

国际著名电子取证厂家——美国AccessData公司基于其核心产品FTK(Forensic Tool Kits)使用水平测试的专业认证,是目前电子数据检验领域权威认证之一,为国外各执法机构及电子数据检验相关部门承认, 成为这些国家对其电子数据检验人员执业资格认证的重要依据,仅美国就有超过5000人通过ACE认证。

ACE认证由AD公司组织免费考试,合格者取得证书。申请ACE认证的技术人员,应是FTK用户(考试需要使用FTK),并参加AD公司及其授权培训机构专业培训,培训内容包括FTK操作专业培训,及ACE认证考试辅导;同时高水平用户也可根据ACE相关资料自学直接参加考试。

2. CFCE(Certified Forensic Computer Examiner)

中文一般翻译为“认证计算机取证调查员”,该认证由计算机调查专家国际协会(IACIS)颁发,涵盖了计算机和数字取证调查的基础知识,专为时任执法专家和前任执法专家或从事数字取证工作的政府雇员而设。该认证曾经是执法部门或政府雇员的专属,但它已经逐渐与执法机构的合同工和前雇员开放。

与其它认证不同,CFCE要求你首先完成同行评审阶段,在此阶段,你将与取证专家一起完成四个基于实际情景的问题。通过实践演练的环节后,你就可以进入认证阶段,包括独立演练和笔试。你每隔三年要在继续教育中保有40个学分,以保证你的认证有效,每年还要支付75美元的费用,其中包括计算机调查专家国际协会的会费。文凭还需要进行背景检查。

3. CHFI(Computer Hacking Forensic Investigator)

中文一般翻译为“计算机入侵调查取证专家”,由美国中立机构International Council of Electronic Commerce Consultants(下简称EC-Council)组织开展,是关于计算机入侵调查取证的专业认证。

EC-Council 是美国的专业组织,总部位于纽约,是世界 十 大 IT 认证机构之一。 EC-Council认证体系由The Association of Internet Professionals(简称AIP)授信,AIP是国际知名的互联网专家的重要组织。AIP认证授信委员会由厂商认证公司、教育机构、软硬件公司以及其他一些非营利机构组成,主要是确定认证体系的标准并授信于符合该标准的认证项目。

CHFI课程主要围绕黑客人侵、侦测、提取犯罪证据及发现潜在攻击。除计算机安全外,CHFI 同时教授如何系统地及正确地获取并记录犯罪证据(例如通过恢复已删除、加密或损毁的文件),在法庭起诉入侵者,并实施审计来防止未来的入侵。目前,CHFI 课程已经更新至V8版本,相比之前的版本,CHFI V8更强调实战技术和方法,其精心组织的内容能有效确保学员充分理解取证调查的步骤和方法。此外,CHFI V8展示了调查中需要使用到的的新技术和新工具。

4. EnCe(EnCase Certified Examiner)

一般翻译为“EnCase认证调查员”,由美国知名电子数据取证厂商Guidance Software(NASDAQ: GUID)组织开展,是国际上最具影响力的计算机取证认证,广泛被全球执法部门、企业(如四大会计师事务所、咨询及调查机构)认可。

根据国外机构的统计数据,在电子数据取证领域,EnCE是领英(Linkedin)社交网最受推崇、认证人数排行第一的商业计算机取证认证。获得EnCE认证的调查员已具备计算机调查取证技能且能熟练使用EnCase取证软件开展综合的计算机调查取证工作。

5. GCFA And GCFE Certifications

GCFA是一个高级事件响应课程,考试为全英文,考生须在3个小时内完成115道题,考生必须取得71%以上的正确率才可通过考试。获得认证后需要每4年更新1次;GCFE是一个中级Windows取证课程,考试为全英文,考生须在3个小时内完成115道题,考生必须取得71%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

最后,值得注意的是,正如数字取证专家John Irvine所说的那样,

计算机取证是一种学徒训练……一旦你和高级考官一起深入真正的案件中,你就真正学会了本事。

数字取证工作

数字取证中的工作往往具有“调查员”,“技师”或“分析师”等头衔,具体取决于您的资历和专业水平。数字取证领域的大多数工作都在公共部门——例如执法部门、国家机构或犯罪实验室,尽管后者可能是私人经营并与公共机构签订合同。

然而,由于公共网络犯罪实验室经常不堪重负——而且由于官僚主义的繁文缛节而不太灵活 ——大型公司开始运营自己的实验室,为数字取证专业人士创造了另一条利润丰厚的道路。截至2017年,已经有六家数字取证实验室获得了美国犯罪实验室主任在私营公司的认可,包括Target、Walmart以及American Express等。

数字取证专业人员期望获得什么样的薪水?根据PayScale的说法,取证计算机分析师平均每年的收入大约为7万美元,不过相当宽泛的收入范围可介于45,000美元到115,000美元左右。

数字取证职业道路

尽管如此,您可能会认为计算机取证是您的职业道路。不可否认,这是一个迷人的领域!但是值得注意的是,就像执法中的任何职业道路一样,它可以让你接触到一些最恶劣的人性。约翰·欧文(John Irvine)曾经就计算机取证的黑暗面发表过一篇忧郁的博文。还记得我们是怎么说计算机取证领域在追捕儿童色情作品和恐怖分子时变得专业化了吗? 好吧,正如Irvine所描述的那样,这可能会给调查人员带来精神上的损失,因为他们必须检查并观察他们发现的大部分材料。这是一个发人深省的想法,但是当你考虑数字取证职业时,这个想法又是十分必要的。

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章