調查局資安鑑識實驗室 - 挖掘數位跡證,帶動科技辦案再升級
凡走過必留下痕跡,挖掘出電腦儲存設備裡被刪除或隱藏的數位證據,讓犯罪無所遁形,正是調查局資安鑑識實驗室的使命,取得ISO/IEC 17025認證,更肯定其資訊重現的專業能力。
2014年2月,在行政院 張善政政務委員的見證之下,由財團法人全國認證基會(TAF) 陳介山董事長授證給調查局資安鑑識實驗室,與會貴賓還包括 周念陵執行長。因為這是我國第一家取得ISO/IEC 17025認證的資安鑑識科學實驗室,其具備電腦設備與儲存媒體的資訊重現能力,可獲得美、英、加在內等,全球69個經濟體與84個認證機構的認可。
落實國家政策,提升數位鑑識能力
調查局資安鑑識實驗室的籌備始於2004年,正式揭牌運作則在2006年年底,回顧當初成立的目的之一,旨在落實行政院科技會報五年計畫提出的國家政策,促進國家資訊安全的合作及維護,加強數位鑑識能力。
另一方面,則是因應愈來愈迫切的工作需求。資安鑑識實驗室成立以來,承接的案件數量節節攀升,從2008年的67案到2013年的156案,成長超過兩倍以上,顯見數位證據的保全、擷取、鑑識、分析與呈現,已經成為打擊犯罪的必備要件。
法務部調查局資通安全處 陳受湛科長表示:「合乎程序的證據能力和具法律效力的證明力,前提之一就是完備處理過程。」因此,資安鑑識實驗室成立之初,就著手為取得國際認/驗證系統的認可做準備,先是在2008年與資通安全處下轄數科共同取得英國標準組織(BSI)ISO 27001的資訊安全管理系統驗證。
緊接著投入ISO/IEC 17025實驗室認證的申請,並於2013年11月通過TAF認證。
值此同時,現為科技部部長的張政務委員善政,先前也透過政策指導,希望厚植網路犯罪鑑識能量,以提升數位證據的蒐集、處理與保全,並於2012年以跨部會署科發基金,補助調查局推動數位鑑識標準化,這也成為申請認證過程的一大助力。
授證當日人員合影(由左至右) 王局長福林,張政務委員善政,陳董事長介山
復原數位資料,重現關鍵證據
科技的進步帶動了犯罪手法的改變,當前許多案件都與數位證據有關,利用電腦和網路做為犯罪工具或進行犯罪行為的溝通聯繫者,更是不計其數,從毒品、肅貪、經濟犯罪、毒品,甚至是國安,都包括在內。
所以,資安鑑識實驗室除了協助調查局本部與各外勤單位偵辦案件,進行電腦及相關數位證據之搜索、扣押、鑑識,同時也會協助法院、檢察署辦理扣押電腦數位證物之擷取、搜尋、檔案復原、驗證、分析工作,並提供鑑識報告。
當案件由檢察官偵查或法院審理時,當事人亦可向法院聲請鑑定相關事證,不但可以分辨數位證據的真偽,還能找出隱藏在數位證據內的蛛絲馬跡。也正因為如此,不少備受社會注目的重大案件都有資安鑑識實驗室參與,提供專業的調查協助。
不只是電腦,包括手機、監視錄影器等數位設備,都可能有證據資料遭到無心或刻意的覆蓋、刪除與格式化,必須加以復原重現。也正因為如此,在授證當日,張善政部長就特別發言強調資訊重現能力對於犯罪情事的嚇阻作用,重申數位鑑識的大勢所趨,就連個人資料保護意識的提升,也讓數位資料鑑識更形重要。
尤其台灣的刑事訴訟制度採取「改良式當事人進行主義」,再加上現今講求科學辦案的民意要求,鑑定報告是否正確,必須接受各方檢驗甚至重複驗證,對資安鑑識實驗室而言,取得ISO/IEC 17025實驗室認證不僅是對實力的肯定,改善日常作業程序的嚴謹度、標準化和品質,更重要的是提升鑑定報告的公信力,藉以嚇阻犯罪及落實人權保障。
授證當日由TAF陳董事長介山代表致詞
確立標準制度,改善工作效率和品質
資料以數位化形式儲存在電腦裡,因為遭到刪除或損壞而不見,就必須利用工具去偵測資料可能的編碼,尤其中英文及其他語言各有不同的編碼形式、處理和儲存方式,必須仰賴鑑識人員的專業技術和工具,透過對檔案特徵值的解析與持續的偵測,儘可能地將資料復原回來。
在鑑識領域裡,資訊重現是很重要的一環,鑑識的目的就是讓檔案格式可以被相對應的工具找到及讀取,從電腦語言的0與1轉換成人眼可直接辨識與瞭解的內容。尤其對資安鑑識實驗室而言,每個案件都是個案,需要使用不同的工具和方法,認證的主要助益就在於提升各個案件的處理品質。
舉例來說,以往鑑識人員都是將個人負責案件的證物各自保管於自己的工作空間,但此舉可能會有證物遺失或被污染的問題。對此,資安鑑識實驗室成立專用的證物庫,搭配兩道門禁和專責的證物管理人員,而且明確規範證物歸還期限,不僅化解了前述的疑慮,標準化的作業程序也有助於提升鑑識人員的工作效率,避免發生意外或非預期的狀況。
陳受湛科長說:「以清楚明確的管理機制、責任分工與作業流程來建立制度與標準,長期而言必然可以減輕同仁的工作負擔,避免因為個人失誤或程序遺漏,導致必須修正或改進的重複作業。」
換言之,鑑識人員不能只以自己的習慣或喜好來工作,無論是每個作業程序、使用工具的維護與更新,甚至是報告的撰寫格式都必須統一。例如:資安鑑識實驗室新設品質主管,在鑑識人員上送報告之前,先行檢核其執行程序與佐證文件,確認符合規範才提交給科長審核,報告品質提升當然就能相對降低被要求修改甚或退件的比例。
授證當日人員合影留念
持續擴增認證範疇,目標朝向行動平台
陳受湛科長表示,在申請認證的過程裡,資安鑑識實驗室從TAF得到不少寶貴的建議與協助,像是針對設備提供商建立信靠度量化的指標、以及對工具的故障率或損壞率進行統計;相對地,TAF也更瞭解資安鑑識實驗室的工作與理念,雙方互有助益。
值得一提的是,通過認證的資安鑑識實驗室也進一步深化與TAF的合作,例如:周念陵執行長就提出由資安鑑識實驗室運用資訊重現能力,來協助調查TAF認證實驗室的造假弊端。
調查局王福林局長指出,資安鑑識實驗室是調查局第四個取得TAF認證的部門,在此之前,已有濫用藥物實驗室、DNA鑑識實驗室和問題文書鑑識實驗室通過認證。調查局將持續推動其他鑑定業務使其參與國際實驗室認證的評鑑,以打造符合國際標準的鑑識科學實驗室。
擴增認證範疇的計畫,將持續於資安鑑識實驗室進行中,除了先從電腦設備和儲存媒體切入,取得資訊重現能力的認證外,資安鑑識實驗室接下來鎖定熱門的智慧型手機平台,研習並運用最新的數位鑑識技術,符合犯罪偵查所需,持續為數位證物鑑定工作提供最先進而完整的支援。
小檔案 - 法務部調查局資通安全處資安鑑識實驗室
成立時間:2006年12月26日
TAF認證:ISO/IEC 17025
業務內容:協助調查局各外勤單位偵辦案件,進行電腦及相關數位證據之搜索、扣押、鑑識。此外;亦協助法院、檢察署辦理扣押電腦數位證物之擷取、搜尋、檔案復原、驗證、分析工作,並提供鑑識報告。
網址:請參考相關連結
