電腦鑑識實務分享

Anti-Forensics

MiTeC Forensic Tools







來源:MiTeC

CacheBack

Why are people using CacheBack?




CacheBack® is the leading forensic Internet cache and history analysis tool on the market today that supports all five (5) top browsers. Web pages are easily rebuilt offline by the simple click of the mouse which allows evidence to be presented "in its original state" thereby offering a more visual impact to courts and jurors.

Government and law enforcement agencies turn to CacheBack to quickly rebuild cached web pages, locate and identify photographic evidence, and comb through complex Internet histories. CacheBack has also become an indispensable tool for generating compelling visual reports, criminal activity timelines, and uncovering probative artifacts for criminal proceedings.
CacheBack is fast becoming the tool of choice to support investigations involving or revealing child exploitation offences, terrorism, criminal premeditation, social networking, crimes against persons, corporate fraud, and theft.

This second generation version of CacheBack features proprietary Link Analysis technology that quickly identifies relationships between History URLs and hyperlinks embedded in cache web pages. Pre-defined and user-definable SQL queries greatly increase performance which is critical in examining hundreds of thousands of records.

CacheBack® also accurately displays datestamps in user-selectable Time Zones (system-clock independent) which simplifies analysis for multi-jurisdiction based investigations.


GENERAL HIGHLIGHTS

1.Rebuild cached web pages and examine Internet histories for Internet Explorer (ver. 5-8), Firefox (ver. 2-3), Opera (ver. 9-10), Safari (ver. 3-4), and Google Chrome (ver. 1-5).
NOTE: Safari 4 is only partially supported at this time (cache using the Webpage Previews folder).

2.View cached web pages and pictures in a single consolidated thumbnail gallery making it easy to zero in on artifacts of interest.

3.Comb through complex histories and large cache repositories using the powerful multi-tabbed, multi-functional WYSIWYG interface.

4.Combine the built-in Query Manager window, Quick Queries and compound query filtering options to drill down efficiently on large datasets.

5.Produce visually compelling, rich HTML reports of rebuilt web pages and picture evidence with valuable metadata.

6.Publish reports to any destination folder or removable media keeping the evidence intact and portable.

7.Display timestamps in any selected time zone and choose to observe daylight savings for any region. Completely system independent.

8.Powerful Link Analysis to identify matches between history URLs and hyperlinks found in web pages (eg: which links might have been clicked or visited).

9.Multiple tabbed views of the same evidence (Browser, Text, Hex, Picture, Audit and Links).

10.** NEW IN VERSION 3: A video player tab that supports multiple video file formats including VOB, MOV, FLV, WMV, AVI, MPEG, 3GP and 3G2. Our CacheGrab® data mining tool will be updated to support Limewire downloads (e.g., pictures, movies), including the Limewire.PROPS file.

11.** NEW IN VERSION 3: Our CacheGrab® data mining tool will be updated to support Limewire downloads (e.g., pictures, movies), as well as, collect and parse the probative Limewire.PROPS file.


ADVANCED FEATURES

1.Use bookmarks and bookmark folders to categorize and manage evidence.

2.Create incredibly narrowed datasets using special Host Filtering option.

3.Import keyword lists to quickly create complex queries via the Query Builder.

4.Create highly structured and compound query filters by creating queries that reference other queries.

5.Use our powerful CacheGrab® standalone data mining tool to quickly locate and harvest cache and history artifacts. Comes in a Windows application form, as well as, an EnScript for EnCase users.

6.Project files (.CBP) use the Microsoft Access database engine. This allows examiners the flexibility of using Microsft Access and Microsoft Excel to leverage custom reporting features and data formatting, outside of CacheBack.


SPECIAL FEATURES

1.Full support for SQLite3 database file formats in use by Firefox and Google Chrome browsers.

2.Supports the extraction of GNU Zip (GZip) compressed data found in browser cache data files.

3.Pre-defined queries now available for common type investigations (eg: Child Exploitation, Web Mail, Social Networks, etc.)

4.New Quick Queries makes it easier to filter out specific data types (eg: Show Only Web Pages, Show Only History, Show Activity for Last Month, etc.)

5.Project files (.CBP) use the Microsoft Access database engine. This allows examiners the flexibility of using Microsft Access and Microsoft Excel to leverage custom reporting features and data formatting, outside of CacheBack!

6.Displays timestamps in any time zone using Coordinated Universal Time (UTC). Accurately applies Daylight Savings (DST) changes to "each individual timestamp" (for the selected time zone option). This is extremely important if an investigator's place of origin (city, country) is observing DST WHEN the actual timestamp evidence originated outside of DST!!

7.Use our proprietary Photograph Aspect Ratio Differential value to dramatically create smaller, more relevant picture galleries for investigations involving photographic evidence (e.g., cases involving child exploitation). Potentially reduces datasets by 85% to dramatically increase processing time.

來源:CacheBack

Forensic Discovery

Forensic Discovery


Preface
Introduction to Part 1
Chapter 1 - The spirit of forensic discovery
Chapter 2 - Time Machines
Introduction to Part 2
Chapter 3 - File sytem basics
Chapter 4 - File system analysis
Chapter 5 - Systems and subversion
Chapter 6 - Malware analysis basics
Introduction to Part 3
Chapter 7 - Persistence of deleted file information
Chapter 8 - Beyond Processes
Appendix A
Appendix B

Download




翻譯本


譯者序
前言
第一部分基 本 概 念
第1章計算機取證宗旨3
1.1引言3
1.2突顯異常活動4
1.3易失性順序 5
1.4層與假象7
1.5信息的可信度8
1.6被刪除信息的固化10
1.7數字考古學與地質學11
第2章時間機器15
2.1引言15
2.2故障的第一個特徵15
2.3MAC時間介紹16
2.4MAC時間的局限性18
2.5Argus:情況變得更為複雜19
2.6淘金:在隱蔽的地方尋找時間信息23
2.7DNS和時間25
2.8日誌文件系統和MAC時間28
2.9時間的缺陷31
2.10結論32
第二部分探討系統抽象
第3章文件系統基礎35
3.1引言35
3.2文件系統的字母表35
3.3UNIX文件組織結構36
3.4UNIX文件名39
3.5UNIX路徑名40
3.6UNIX文件類型41
3.6.1普通文件41
3.6.2目錄41
3.6.3符號鏈接42
3.6.4IPC(進程間通信)端點42
3.6.5設備文件42
3.7首次揭密——文件系統內部情況43
3.8UNIX文件系統佈局49
3.9揭開秘密——深入探索文件系統49
3.10模糊區——隱藏在文件系統接口之下的威脅51
3.11結論52
第4章文件系統分析53
4.1引言53
4.2初次接觸53
4.3準備分析被入侵的文件系統54
4.4捕獲被入侵的文件系統信息55
4.5通過網絡發送磁盤鏡像56
4.6在分析的機器上掛載磁盤鏡像59
4.7現存文件的MAC時間信息61
4.8現存文件的詳細分析63
4.9掩蓋現存文件分析65
4.10插曲:當一個文件被刪除時,將會發生什麼?66
4.10.1父目錄項67
4.10.2父目錄屬性68
4.10.3索引節點塊68
4.10.4數據塊68
4.11被刪除文件的MAC時間信息69
4.12被刪除文件的詳細分析69
4.13利用索引節點號發現異常文件71
4.14追踪一個被刪除文件的原始位置72
4.15通過被刪除文件的索引節點號來
追踪被刪除的文件73
4.16回到入侵的另外一個分支74
4.17喪失無辜74
4.18結論76
第5章系統與破壞77
5.1引言77
5.2標準計算機系統結構78
5.3UNIX系統從啟動到關閉的生命週期79
5.4案例研究:系統啟動的複雜性80
5.5內核配置機制81
5.6使用內核安全等級來保護計算機取證信息83
5.7典型的進程和系統狀態工具84
5.8進程和系統狀態工具是如何工作的87
5.9進程和系統狀態工具的局限性87
5.10用rootkit軟件進行破壞89
5.11命令級破壞89
5.12命令級的隱蔽和檢測90
5.13庫級破壞93
5.14內核級破壞94
5.15內核rootkit的安裝94
5.16內核rootkit的操作95
5.17內核rootkit的檢測與隱藏97
5.18結論101
第6章惡意攻擊軟件分析基礎103
6.1引言103
6.2動態程序分析的危險104
6.3硬件虛擬機的程序限制104
6.4軟件虛擬機的程序限制105
6.5軟件虛擬機限制的危險性106
6.6Jails和chroot()的程序限制107
6.7系統調用監控程序的動態分析109
6.8系統調用審查程序的限制111
6.9系統調用哄騙程序的限制114
6.10系統調用限制的危險116
6.11庫調用監控的動態分析117
6.12庫調用程序的限制117
6.13庫調用限制的危險120
6.14機器指令級的動態分析120
6.15靜態分析與逆向工程120
6.16小程序存在許多問題124
6.17惡意攻擊軟件分析對策124
6.18結論125
第三部分超 越 抽 象
第7章被刪除文件信息的持久性129
7.1引言129
7.2被刪除信息持久性舉例130
7.3測量被刪除文件內容的持久性131
7.4測量被刪除文件MAC時間的持久性132
7.5被刪除文件MAC時間的強力持久性133
7.6被刪除文件MAC時間信息的長期持久性136
7.7用戶活動對被刪除文件的MAC時間信息的影響138
7.8被刪除文件信息的可信度139
7.9為什麼被刪除文件信息能夠保持不變140
7.10結論142
第8章超越進程145
8.1引言145
8.2虛擬內存的基礎知識146
8.3內存頁的基礎知識147
8.4文件和內存頁148
8.5匿名內存頁149
8.6捕獲內存149
8.7savecore命令150
8.7.1內存設備文件:/dev/mem和/dev/kmem151
8.7.2交換分區152
8.7.3其他存儲單元153
8.8靜態分析:從文件中識別內存154
8.9在無密鑰的情況下恢復加密文件的內容155
8.9.1創建一個加密文件155
8.9.2從主存中恢復加密文件155
8.10文件系統塊VS.內存分頁技術156
8.11識別內存中的文件158
8.12動態分析:內存數據的持久性159
8.13內存中文件的持久性161
8.14非文件或匿名數據的持久性163
8.15交換分區的持久性164
8.16引導進程內存的持久性164
8.17內存數據的可信度和堅韌性165
8.18結論167
附錄ACoroner’s工具包及其相關
軟件169
附錄B數據收集和易失性順序175
參考文獻181


來源

Finding Digital Evidence In Physical Memory

免費下載 East-Tec Eraser 2010 完整版(含序號)

east-tec-eraser-2010



East-Tec Eraser 2010 主要功能為保護你的個人隱私,能刪除電腦內的身份資訊、使用網路後留下來的記錄及可能儲存在電腦內的私密訊息等等。Eraser 2010 在刪除網際網路紀錄、網頁、圖片、Cookies、聊天訊息、機密文件方面已經到達美國政府及其他行業的標準,可以算是一套相當好用的軟體。
雖然 East-Tec Eraser 2010 不是免費軟體,但在活動期間你可以免費獲得一組專屬的註冊碼(價值 $49.95 USD、時效六個月)。


軟體資訊

  • 軟體名稱:East-Tec Eraser 2010
  • 軟體語系:英文
  • 作業系統:Windows XP / 2000 / Vista / 7 
  • 官方網站East Technologies
  • 檔案下載點這裡 [8.09 MB]

主要功能
  • 銷毀你的使用記錄及網路活動:包括網頁、圖片、電影、視訊剪輯、聲音、電子郵件、聊天室對話記錄、自動完成等等。
  • 刪除敏感的個人資訊,能確保這些檔案都被完整移除
  • 刪除電腦裡儲存的 Cookies, 僅保存下你核准的 Cookies 紀錄
  • 支援常見瀏覽器,包括 Internet Explorer, Firefox, Google Chrome, Opera 等等
  • 支援所有常見的軟體,包括 MSN, E-Mail, P2P 程式

獲取免費序號

進入 East-Tec Eraser 2010 Promo 活動網頁,填入你的姓名、信箱,勾選同意使用條款後按下送出。
2010-08-19-[1]
接著會在信箱收到一封來自”EAST Technologies Support” <support@east-tec.com>” 的確認郵件,點擊信件中的「Get Free Key」獲取免費 key 。
2010-08-19-[2]
接著會出現一個畫面,提示你要選用的版本,選擇最左方下面的 Get Free Key! ,其他都必須付費購買。
2010-08-19-[3]
然後就能取得 East-Tec Eraser 2010 的免費註冊碼囉!
2010-08-19-[4]
此外,在最後一個步驟的網頁下方,有提示使用者如何安裝、使用註冊碼,使用圖文教學所以相當易懂,在這裡就不多作說明囉!希望這套軟體能夠協助一些使用者來清除電腦裡的隱私資訊,不讓其他有心人士能夠獲取這些重要記錄。




轉自免費資源網路社群

學習英國個資保護標準 從根本做好個資保護

轉自 ITHOME



企業可以參考英國個人資料保護標準BS 10012,從PDCA的循環落實企業的個資保護措施

由於新版個資法打破舊法行業別適用的限制,未來不論企業規模大小、個資數量多寡,都受到新版個資法嚴格規範,加上舉證責任倒置,企業必須負起證明企業本身 無過失的舉證責任。在距離新版個資法公告施行大約還有一年時間,企業可以參考英國在2009年6月頒布的英國個人資料保護標準BS 10012,從PDCA的循環落實企業的個資保護措施。


企業只剩下1年因應新版個資法(1)
最快在2011年中,新版《個人資料保護法》就可望施行,所有的公務與非公務機關受到《個人資料保護法》規範與衝擊,此時因應正是時候

企業只剩下1年因應新版個資法(2)
只要是主管機關對於企業個資使用狀況有疑慮,都可以派員進入公司查核,這也意味著,未來在個資使用狀況的查察上,多數企業都會面臨有2個以上有權查核的機關到場稽查

BS 10012個資保護標準的10大實務作法(1)
目前英國BSI推出的BS 10012英國個資保護標準的作法,符合臺灣新版個資法精神,企業可藉此作為因應新版個資法的最佳實務

BS 10012個資保護標準的10大實務作法(2)
《個人資料保護法》通過後,企業也必須回頭審視手邊擁有的個人資料,是否是當事人提供或間接蒐集而來,而這些個資使用目的是否已有變更,這些個資狀態都攸關企業未來在使用這些個資時,是否必須再取得當事人同意

BS 10012個資保護標準的10大實務作法(3)
企業參考個資類別和風險高低,選擇合適的個資防護措施之後,為了能夠保存每一筆個資異動的軌跡,重要資安設備和資安事件的Log檔(登錄檔)都必須留存


企業只剩下1年因應新版個資法

法務部正在緊鑼密鼓研擬新版《個人資料保護法施行細則》,法務部法律事務司科長黃荷婷表示,預計到8月底,各部會機關可以完成對施行細則的修改建議,接下 來的9月、10月為一期,進行第一階段會議;11月、12月為一期,進行第二階段會議,預計在2011年,可以完成第三階段公聽會。屆時,距離施行細則公 布的時間就更接近了。

看著政府公告施行細則的時程一天天接近,對於企業而言,這也意味著,企業面對新版個資法衝擊的日子也一天天逼近。

法務部法律事務司科長黃荷婷表示,距離新版個資法公告施行還有1年時間,相關企業應趁此做好因應措施,以免新法上路後而有違法之虞。

黃荷婷預估:「依照目前的時程安排,行政院最晚在1年或1年半後,公布完整施行細則後,新版個資法也將接著公告施行日期。」她認為,多數企業不能再以為新 版個資法距離自己還很遙遠,如果要真正因應新版個資法對企業造成的衝擊,並有充裕時間將這一些衝擊降到最低,現在正是開始著手因應新版個資法的時候。

所有機關企業都受新版《個人資料保護法》規範
舊版《電腦處理個人資料保護法》的規定,主要是規範公務機關,以及包括徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八大行業以及其他指定適用的行業,在處理經電腦處理的個人資料時,受到該法的規範;至於,其他的非公務機關,都不受該法限制。

但新版《個人資料保護法》刪除行業別的適用限制,也就是說,每一個公務機關、非公務機關和接受委託的機關企業以及個人等,對於所擁有的個人資料的蒐集、處理和利用等,都必須受《個人資料保護法》的規範。

勤業眾信(Deloitte)會計師事務所副總經理萬幼筠指出,這一波新法施行適用的影響,對於公務機關影響較小,因為多數公務機關都是依法行政,若因此 造成個資外洩或不當使用,可以直接循國賠途徑求償,若是公務員瀆職造成當事人個資外洩或不當使用,政府也可以向該公務員求償以填補國賠的金額。

但是,「新法施行後,受到衝擊最大的就是,先前沒有納入舊版《電腦處理個人資料保護法》的所有非公務機關,包括自然人、法人或其他團體等。」萬幼筠說,非 公務機關公司大小和營運規模差異甚大,擁有的個人資料不一樣,連可能遺失個人資料甚至因此造成當事人損失的方式也不一樣,一旦成為新版《個人資料保護法》 規範的對象,只要擁有1筆以上的個人資料,就必須遵照該法蒐集、處理、利用、傳輸甚至刪除的規範,否則,還有民、刑事的懲罰,對企業影響層面甚巨。

黃荷婷指出,新法通過後,公部門要制訂各機關個人資料保護政策,明確保護個人資料自主決定權,以及保護個人資料合理流通,並且制訂各目的事業主管機關,所 發布事業的個人資料保護標準指針(Guidelines )。對於私部門而言,則要依據政府公布的施行細則或個資保護指南等規範,制訂個人資料保護政策及遵守相關法令要求。

個資使用或目的變更,必須告知當事人
國巨律師事務所合夥律師朱瑞陽表示,以前企業對於個人資料的使用沒有任何強制規範,只有舊版《電腦處理個人資料保護法》規範經過電腦處理過的個人資料的處 理方式,甚至,擁有個人資料的公務機關和非公務機關,只要不販賣所擁有的個資、企圖營利,即使是非法擁有個人資料也沒有罪。

但是,最快在2011年新版《個人資料保護法》公布施行後,所有的個人資料,不論其存放的媒介與形式為何,只要是能夠辨別個人身分的個人資料,例如姓名加 上手機號碼,或者是姓名加上身分證字號等2個以上,能夠辨識個人身分的個人資料組合,企業對相關個資的使用,就必須事先告知並獲得當事人的書面同意。

朱瑞陽表示,公務機關和非公務機關直接向當事人蒐集個人資料,或者是透過間接蒐集資料的方式取得當事人的資料時,都必須依照法條規定,告知當事人相關蒐集 目的、機關企業名稱及個資使用方式等。他說,但若是間接蒐集個資,除了法律規定和公務執行等規定外,新聞媒體則可以基於新聞報導的公益目的去蒐集個人資 料。

新版個資法當中也明文規定,公務機關或非公務機關因為違反規定,導致當事人個人資料外洩或遭不當使用,機關企業都應該在查明後,以適當方式通知當事人。也就是說,機關企業未來若有個資外洩相關事宜,都必須主動告知當事人。

此外, 新版《個人資料保護法》擴大保護客體,納入人工紙本資料,萬幼筠說,新法的規範則解決以往個資外洩,只要不及於電腦處理,及不適用舊版《電腦處理個人資料保護法》甚至無罪的怪現象。

根據北檢檢察官統計,依照《電腦處理個人資料保護法》起訴成功率只有15%,許多詐騙事件的犯罪首腦,因為事先銷毀電腦內的資料,只剩下紙本資料,罪責最 後只剩下不當得利、妨害秘密罪等刑責較輕的罪。等到新法施行適用後,不論電子或紙本的個資外洩,都受到該法規範,就不會出現上述詐騙案件成功起訴的機率偏 低的怪現象。

個資使用必須獲得書面同意
勤業眾信副總經理萬幼筠指出,企業對於個人資料的保存責任是永久的,當企業想要永久保存個資,所需承擔個資外洩的風險就越高。

所有公務或非公務機關對當事人個人資料的蒐集、處理或利用,按照新法規定,都必須獲得當事人書面同意。「當事人書面同意是非常嚴謹的同意標準,」萬幼筠說,主要是讓當事人有充裕的時間,可以審慎評估是否同意個人資料被使用,這同樣也是一種人權保障的作為。

黃荷婷表示,嚴謹的書面同意對企業而言,當事人同意難度大為提升,另外也可能透過契約或類似契約的方式,作為另外一種書面同意的意思表達。另外,如果可以符合電子簽章法的法律效力,也同樣符合書面同意的規範。

除了蒐集個資前,必須徵得當事人的書面同意外,若原本蒐集個資的目的變更,按照新法規定,也必須徵得當事人的同意。例如,企業原先蒐集個資目的是A,後來要變更為B目的時,機關企業就必須告知當事人並徵得當事人的書面同意,才能在變更蒐集目的後,繼續使用該個資。

在新法中也規定,機關企業對蒐集、處理或利用的個人資料,只要經過當事人書面同意,非公務機關可以利用個人資料進行相關的行銷目的,但只要當事人表示拒絕 接受行銷時,企業就應該立即停止利用當事人的個人資料行銷。《個人資料保護法》法條中也明文規定,非公務機關進行首次行銷時,也應該供當事人表示拒絕接受 行銷的方式,企業也應該支付當事人拒絕行銷所需支付的費用。

新增敏感性個資類別

新版《個人資料保護法》除了舊版就有的一般個人資料,指自然人的姓名、出生年月日、國民身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動等,也將護照號碼列為一般個人資料項目中,更新增敏感性個資的資料類別。

敏感性個資包括:醫療、基因、性生活、健康檢查、犯罪前科等5項資料。這5項敏感性個資,除了法律明文規定,或者基於公務執行、學術研究且無法識別個人身分等前提下,可以做相關的蒐集、處理或利用外,即使是當事人同意,一般的公務或非公務機關都不能蒐集、處理或利用。

萬幼筠也說,以往有些企業會要求員工提供良民證,證明沒有犯罪記錄,或者是,掌握員工健檢報告、了解員工健康狀況等情況,基於新版《個人資料保護法》的規範,未來所有的機關企業,除基於法律規範的前提下,都不得跟客戶、員工和第三者合作夥伴蒐集上述的敏感性個資。


主管機關和地方政府皆有權查核企業個資使用狀態
新版個資法規定,包括中央目的事業主管機關或者是直轄市、縣市政府,為了確定企業是否有個資外洩或不當使用個資的情況下,都可以率同資訊、電信或法律等專業人士,都可以攜帶職務證明文件,進入企業作檢查的規定表達擔心之意。

電子商務業者Payeasy公共事務推廣部協理陳中興表示,新版《個人資料保護法》規定,只要是主管機關對於企業個資使用狀況有疑慮,都可以派員進入公司 查核,這也意味著,未來在個資使用狀況的查察上,多數企業都會面臨有2個以上有權查核的機關到場稽查。他擔心,「這種公公婆婆主管機關都有權查核企業的個 資使用狀況,將可能對機關企業的正常營運造成影響。」

萬幼筠則說,根據該法規定,包括中央目的事業主管機關或地方政府都有權派員對企業進行個資安全的檢查,這也意味著,政府將資料保護查察措施的權力,擴及到 非司法警察機構。萬幼筠提醒,根據地方自治的精神,民選首長必須對選民負責,如果出現民選首長為了為民眾謀福利,積極行使地方政府對企業查察資料保護作為 的權力,對於企業營運將造成一定程度的衝擊。

黃荷婷表示,以行政機關而言,類似的個資檢查不會出現主管機關或地方政府爭相主動請纓對企業進行個資檢查,最終會推派單一機關行使資料保護措施的權力。根 據個資法第22~26條,將規定行政機關規定執行檢查、扣留或複製的權限,期待能發揮執行效率;對於接受委任或委託執行事務而知道他人資訊的執行者,也都 應該肩負起個資保密的責任。

建立團體訴訟機制
從資料的蒐集、處理或利用、傳遞到刪除的生命周期來看,萬幼筠坦言,目前新版《個人資料保護法》中,對於資料刪除的部分提及不多,仍需要透過施行細則來補充。

所有的資料保存都有生命周期,而企業對於個資的擁有和使用,在新法中雖然沒有明確規定,依照法條規定,損害賠償期限自損害發生起5年內,或得知受損害的2 年內,受損害的當事人一定要進行求償,否則,將喪失求償權力。企業對於個人資料的保存責任雖然是永久的,但若針對法律上規範企業保存個資的年限訂於「受損 害事件發生的5年內」,萬幼筠指出,這也意味著,企業若要永久保存的個人資料,要承擔個資外洩的風險越高。

新法為了促進民眾參與,新增條文中,設立了「團體訴訟」的機制。根據立法意旨說明,為了便利被害民眾能行使《個人資料保護法》相關法律求償規定,也鼓勵民間公益團體能參與個人資料的保護,便增訂團體訴訟的相關規定,發揮民間團體的力量,做到個人資料保護的工作。

有些IT主管便感憂心,政府為了便民而開團體訴訟的大門,容易造成訟棍和濫訟的情形,但黃荷婷認為,能夠承攬團體訴訟的公益團體的門檻規定頗高,加上還有主管機關的把關,濫訟情形不容易發生。

加重刑事責任並提高民事損害賠償總額
現行《電腦處理個人資料保護法》在刑事責任上,只有蒐集個資並意圖營利者,會處2年以下的有期徒刑;妨害個人資料正確性者,則處3年以下有期徒刑。至於民事賠償,每一人每一案件賠償金額2萬元~10萬元,但最高賠償總額上限為2千萬元。

但朱瑞陽指出,新版《個人資料保護法》民、刑事的刑責,都較舊法大幅提高。不論是公務或非公務機關,不當蒐集、處理或利用個資時,如非有意圖營利者,將判 處2年以下有期徒刑,若有意圖營利或妨害個人資料正確性,都將處5年以下有期徒刑。至於民事求償上,每一個人每一案件的賠償為500元~2萬元,比舊法單 一案件賠償金額還低;但對民意賠償總額上限則提高為2億元。

新版《個人資料保護法》除了加重刑事與民事責任外,朱瑞陽說,對於非公務機關一旦有違法使用個資事實確認,其代表人和管理人除非能證明已經善盡防止的義務外,和公司一樣,都受到每次2萬元~50萬元行政罰鍰的處分。

企業只剩下1年因應時間
從1995年舊版《電腦處理個人資料保護法》暴露出種種不合時宜的法條規定後,新版《個人資料保護法》終於在今年4月27日在立法院三讀過關,並於5月26日由總統公布。但是,朱瑞陽說,《個人資料保護法施行細則》的制訂,才真正是挑戰的開始。

立法院在《個人資料保護法》三讀的附帶決議案中有規定,對於該法中包括「公共利益」、「一般可得之資料來源」等不確定的法律概念,必須邀集民間團體、專家學者召開公聽會進行討論、並納入相關施行細則中。

黃荷婷表示,目前施行細則修法上共識在於,不確定法律概念的具體化,可以透過建立次標準和定義性規定的方式進行;但若是不確定法律概念的內容,以個人資料保護與新聞自由或言論自由之界線為例,就得透過建立公共利益之概念的次標準,以及讓個案判斷回歸司法審查。

若是其他包括識別、刪除、銷燬、聯絡方式等技術性概念,或者是病歷、醫療、基因、性生活、健康檢查、犯罪前科、為單純個人或家庭活動目的等定義性概念,以 及書面同意、國際傳輸、行政檢查、團體訴訟等程序性概念等,法務部在施行細則制定時,都會提供程度性或定義性的明確規範,或者是建立標準化作業流程形塑相 關標準。

明沂律師事務所律師簡榮宗表示,新版個資法在制定時,為了強化企業或公務機關落實個資保護,而有舉證責任倒置的作法。他說,現行《電腦處理個人資料保護 法》採用一般民事賠償作法,提告的受害者必須證明,被告企業有外洩提告者個資的確切行為和證據,才能順利提告,要求企業支付相關的損害賠償責任。

但在新版個資法的規定中,簡榮宗指出,法務部為了保護原告,在個資法的求償規定,企業則必須反過來證明自己並無過失。這樣的法律設計,讓企業承擔更高的個資保護責任。但他說,「舉證之所在、敗訴之所在」,許多企業因為缺乏證據保存的概念,要證明企業無過失的難度更高。

根據新版《個人資料保護法》第55、56條規定,本法施行細則,由法務部定之;本法施行日期,由行政院定之。黃荷婷說,按照行政院期望的進度,希望最遲在 今年底前,法務部能完成施行細則的制訂,行政院最快可以在半年後,大約2011年年中,最遲則不拖過2011年年底,能順利公布《個人資料保護法》的施行 適用。

也因為《個人資料保護法》過關後,企業必須重新全盤審視手邊所擁有的個人資料到底有哪些,必須有個資清冊外,也必須擬定如何保護企業手邊的個人資料的保護 策略。根據法務部的規範,最遲1年到1年半後,行政院就會公佈實施《個人資料保護法》。那也意味著,多數企業,只剩下1年左右的時間,有時間去因應《個人 資料保護法》過關後對企業造成的挑戰與衝擊。


看大圖

BS 10012個資保護標準的10大實務作法

臺灣新版《個人資料保護法》制定都參考APEC和OECD的隱私權綱領,而英國BSI在2009年6月推出的英國個人資料保護標準BS 10012,也在同樣的參考基礎上,制定一套保護個資框架與實務作法。

勤業眾信副總經理萬幼筠以及臺灣BSI副總經理蒲樹盛都認為,BS 10012透過一套完整的P(規畫)、D(執行)、C(稽核)和A(改善)的循環流程,建立一套完善個資保護的框架和最佳實務(Best Practice),不論新版個資法施行細則是否已經完成制定,同樣具有參考價值。

目前許多政府部門,為了讓個資保護的作法能夠從點擴及線與面,也接受BS 10012相關的教育訓練,作為各政府機關執行個資保護作為時的重要參考框架。

正確心態是個資保護的第一要務
新版個資法的刑責普遍加重,公司主管也負有刑責,許多企業在考量因應個資法的同時,第一考慮的點就是「如何避免被告」,而且相關的資安或個資保護措施,也都奠基在不被告或者是被告知後,可以順利脫身的基礎上而來。

但是,蒲樹盛認為,一旦企業心態有所偏頗,個資保護就容易淪為虛應故事、炒短線的作法,便無法從點擴及到線和面。他說:「這樣的個資保護作法,遲早會因為不夠深入或面向不夠廣,而造成個資外洩的疏漏。」

為什麼個資保護第一要務就是匡正心態,蒲樹盛以「密件副本」的概念做說明。他指出,許多有個資保護概念的人在寄送電子郵件時,就會習慣性把普遍多數的收件 人名單列入密件副本中,避免電子郵件被收集;但這種密件副本的觀念卻不一定深入到每個電子郵件收發者的身上。這也如同企業對個資保護的概念,如果不能深入 到每一個同仁的心理,無意間的小動作,例如一時疏忽,把所有收件人都列在收件者或者副本收件者的欄位中,類似因為無意動作導致的資料外洩,也可能造成很大 的客戶資料外洩後遺症。

臺灣BSI副總經理蒲樹盛強調,企業做個資保護不應該從避免被告的角度出發,唯有以同理心保護客戶個資,才能做到線和面的個資保護。

蒲樹盛強調,客戶信任企業而將寶貴的個人資料交付企業使用,企業理應負起完善的保護之責。但是,目前普遍現象都是,企業多從「如何不被告」或者是「可以證明已經做好相關個資防護措施」的角度所做的個資防護措施。

這種目的性的作為,通常是哪裡有洞補哪裡,在無法深入企業流程進行個資盤點,無法了解企業重要的個資有哪些,會經過哪些部門與作業流程,一個有意或無意的 疏失,都可能造成嚴重個資外洩。就像是房屋捉漏一樣,蒲樹盛說,若不能找到漏水的源頭,只是修補好漏水處,永遠會有再次漏水的可能性。

「企業是不是真的站在保護客戶個資的立場來做個資保護措施,深入的程度一定和只是避免被告有極大的差異。」蒲樹盛說道。也因此,他建議臺灣企業在進行個資保護時,一定要有正確的心態,如此一來,相關個資保護的作法、方向才會對,才不至於造成方向偏差。

不過,蒲樹盛也觀察到,現在許多企業還沒進行相關的個資保護措施,有時候是高階主管還沒有意識到新版個資法對企業影響的深入層面。

目前常見的現象可能是,單就法律面而言,新版個資法對個資保護的精神和舊版類似,所以法務部門不認為對企業影響層面會比舊法更深入,所以就沒有跟公司高層 提醒新版個資法的影響和嚴重性。就IT部門而言,IT部門能掌控的多為電子資料檔案,如果有導入相關的資安政策,就已經連帶做好相關的個資保護,不是認為 沒有必要再提醒新版個資法對企業的衝擊,就是認為,IT部門沒有能力承擔個資保護之責,反而直接或間接地規避類似的提醒責任。

對於這些現象,蒲樹盛認為,唯有多從正面積極的角度出發,鼓勵企業內各部門重視個資保護的重要性與價值,才可能完善個資保護的作法。「畢竟,個資保護不是單一部門的責任,而是全公司每個同仁的共通責任。」他說。

在ISO 27001基礎加上BS 10012作法
萬幼筠表示,勤業眾信花2年多的時間,歸納出一套企業個資保護的方法論。從協助客戶逐步完善個資保護的實務經驗,加上參考ISO 27001資安認證和BS 10012(英國個人資料保護標準)的資訊安全框架和個資保護的實務作法,以及從訴訟原則上的「沒有故意」、「沒有過失」、「善盡善良管理人之責」和「沒 有不可抗力因素」的角度,發展出這套方法論的框架。但他強調,目前這一套方法論還沒有對應施行細則,仍有一些細節之處需要調整,但整體企業個資保護方向仍 是正確的。

根據勤業眾信過去推動ISO 27001資訊安全認證的經驗,個人資料只是資訊資產的一部份而已,若單純以ISO 27001的資安管理框架來看,萬幼筠認為,距離企業要做好個資保護,仍有一段差距。因此,為了完善企業個資保護的實務作法,勤業眾信參考英國國家標準局 (BSI)在2009年6月推出的BS 10012標準,參考其個資保護管理實務上PDCA的作法,完善勤業眾信個資保護的方法論。

BS 10012非常侷限在個人資料的保護,強調深度確保個人資料安全的實務作法。蒲樹盛表示,ISO 27001資安認證所囊括的範圍,除了個人資料以外,還包含營業秘密、財務資訊等其他機密資料,廣度較個資保護為廣,但對於專門個資保護的深度較淺。蒲樹 盛說:「ISO 27001是資安的基本防護架構,而BS 10012則針對個人資料提供深度保護,兩者相輔相成。」他認為,企業也可趁此時利用BS 10012的個資保護框架,重新檢查每一個個資保護環節是否符合個資法的規範。

萬幼筠說,BS 10012是一套個資保護框架,也是企業進行個資保護管理PDCA實務作法的國際標準,不僅符合臺灣《個人資料保護法》的立法精神,更是目前少數提供個資 保護實務作法的標準。萬幼筠認為,對於有真正落實、深化ISO 27001資安認證的企業,因應新版《個人資料保護法》的來臨,可以新增加BS 10012的實務作法,藉此完善企業對個人資料的保護措施。

作法 1 形成內部共識、制訂個資保護政策
《個人資料保護法》過關後,將直接衝擊許多企業內部現有的作業流程,企業是否已經正視到該法一旦實施後,將對企業造成實質衝擊,而內部如何因應這樣的衝擊是否有共識,才是企業是否已經做好新版個資法應對的證明。

萬幼筠表示,新版《個人資料保護法》中的「可歸責性」(Accountability)是一個重要的立法精神,由於未來新法加重企業刑事責任和提高民事賠 償上限,企業面臨個資外洩或不當使用的風險比以往高出許多,個人資料的保護就不能由兼職單位或人員負責控管,制訂個資保護政策、成立管控個資專責單位,則 是企業正視新版個資法衝擊的第一步。

為了證明企業的確重視個資保護,萬幼筠認為,這樣的個資控管專責組織,也應該清楚明列在公司組織架構表和工作執掌說明內容上,以示慎重。他也說,目前電子 化檔案可以由IT部門作為電子化個資的中控單位,但紙本個資則沒有任何單位可以作為個資控管單位。因此,公司個資管控專責單位的組織架構和工作說明,更顯 得重要。

蒲樹盛對此表示同意,他認為,企業內對《個人資料保護法》因應如果有共識,第一件事情就是制定個資保護的政策,為了符合BS 10012規範,就應該攤開組織表,審視每個部門的功能執掌,並設立一個專責的個資管理單位,稱之為「Data Controller」,負責個資的蒐集、使用、傳遞、銷毀和保存。蒲樹盛表示,個資發送給誰、又被轉送給誰,中間所有傳遞的軌跡流程,都應該有專責的人 或單位負責。

作法 2 進行個人資料盤點、確定範圍
《個人資料保護法》通過後,企業也必須回頭審視手邊擁有的個人資料,是否是當事人提供或間接蒐集而來,而這些個資使用目的是否已有變更,這些個資狀態都攸關企業未來在使用這些個資時,是否必須再取得當事人同意。

萬幼筠指出,機關企業應該從業務流程的資訊流,去盤點企業目前所擁有的個資種類、數量和形式等,企業必須盤點到底有哪些個人資料,而這些個資來源是直接或 者是間接蒐集而來的。要做個資盤點,蒲樹盛說,從資料的生命周期來看個資盤點是最適當的方式之一,從規畫、教育訓練、個資盤點並產生類別清單、個資流向、 個資歷程等,就可以清楚掌握每一個資料的來龍去脈。

舉例而言,若企業內有一個會員申請的資料,除了要從資料的生命周期確定這份會員資料中,哪些是重要的、企業需保護的個資?這份會員申請單會流經哪些部門? 有哪些部門或同仁會使用這份個資?在使用的過程中,是否允許其他人複製使用?這份個資最終會以何種形式儲存在哪個部門或人員手中?而最後的資料銷毀流程, 是誰負責?又是以何種型態處理呢?

目前越來越多的資料是儲存在各種應用系統中,萬幼筠以金融業為例,一間金控銀行有2千臺伺服器,2百個不同資料庫,每個資料庫有超過20個以上的資料表。 若進一步分析每個資料表中「ID」欄位的意義,到底指的是個人身分證字號,還是使用者登入帳號,這些都必須看到程式碼才可能知道。

萬幼筠說,對於企業而言,這些個人資料盤點的流程,是最花時間也最需要人力的關卡。許多企業都在尋找自動化個資盤點的工具,但目前而言,仍須以半人工查驗 的方式,才能盤點出企業內的個人資料有哪些資料類型和種類。即使是因應無店面零售業提早在今年7月1日就優先適用現行電腦處理個人資料保護法的博客來網路 書店,到現在為止,個資盤點的流程仍舊在持續進行中。

除了盤點電子檔的個人資料外,萬幼筠提醒,「除了要盤點電子化的個人資料外,企業還必須盤點紙本的資料。」若民眾到銀行開戶,會填寫很多書面申請表,銀行 會掃描轉存成影像檔、PDF檔或其他電子化格式存檔,但這些紙本資料因為都有當事人的詳細個人資料,因此企業對紙本個人資料進行各種個資處理、利用、儲存 甚至刪除等,都不可以忽略紙本個資這一個環節。

蒲樹盛也同意,因應新版個資法規定,管理上就必須意識到有紙本個資的管理,但因為電子檔形式的資料庫儲存個資量大,相關的管制措施就應該更為嚴格、謹慎才是。

作法 3 進行隱私權衝擊分析
隱私權衝擊分析(Privacy Impact Assessment,簡稱PIA)主要是為了點出,各種系統在開發過程中,可能觸發的個資和隱私權議題。一般而言,為了讓隱私權衝擊分析更有效率,這會 是日常流程的一部份,而透過隱私權衝擊分析,企業可以確保一個新系統在開發的過程中,都能符合各種法規遵循、公司治理、客戶和商業隱私保護的需求。

舉例而言,如果銀行要作隱私權衝擊分析,就必須先看過所有業務流程,然後挑選內含個人資料的資訊流,例如,信用卡、財富管理、客戶服務等有個資的應用系統,再使用分析方法篩選出具有可識別個人身分的系統作分析評估。

作法 4 分析業務活動資料熱點和關鍵環境
勤業眾信有一套BIF(Business Information Framework)方法論,萬幼筠表示,這個就是從業務流程去看個人資料的資訊流向,並針對各種應用系統作分析,確認組織內部所儲存的客人資料和儲存位 置,也可以進一步了解目前企業控管程度和法規遵循的程度。

例如,網路購物業者的客戶資料會流經第三方物流業者,公司內部則會經過訂購客服系統、財務系統、出貨系統和銷貨系統,若在系統面,則可能會流經CRM系 統、ERP系統、資料庫、資料倉儲系統等,最後則會產出一張進出貨和庫存報表、客戶配送資料報表。萬幼筠說,透過這樣的資訊流,可以清楚掌握每一個部門和 系統甚至儲存設備上,留有哪些個人資料,也可以進一步分析是否合乎新版《個人資料保護法》對個人資料使用的規範。

結合BS 10012的個資保護方法論,中小型企業也適用
勤業眾信因應新版《個人資料保護法》過關,推出一套結合實務經驗和BS   10012標準推出的個人資料保護方法論,該公司副總經理萬幼筠表示,這套方法論不只是適用於較具規模的大型企業,中、小企業只要在進行個資盤點和隱私權 衝擊分析時,能清楚界定個資範圍有多大,就同樣適用這個方法論。

小型企業因為範圍小、人員少,業務較單純,在做個資盤點和隱私權衝擊分析時,只要能夠清楚界定該企業內應該保護的個資範圍,問題反而單純。

萬幼筠就曾經針對一些本土、小型的物流業者,試用此一方法論,因為實施範圍很容易界定,個資盤點速度快,很多時候,只要把作法、誰做、做什麼事先表定清楚,執行力甚至比大公司還好。

小公司因為人少,往往要一人身兼數職,在本分工作時間以外,才有空做資料建檔、轉換檔的工作,執行進度會稍微慢一點。萬幼筠說,在該有的控管點界定後,等到人員上手後,只有後期要通知客戶、做記錄會比較麻煩外,其他的問題都不大。

不過中型企業問題就稍微複雜一點,雖然略有大公司規模、卻是小公司的運作精神,萬幼筠形容,這樣的中型企業「風險是高級的,但能力確是初級的。」同樣在界定個資範圍後,他說,中型企業因為人數規模稍多,至少能做到有1∼2名專職人員,負責個人資料保護的任務。

至於使用這套個資保護方法論,萬幼筠表示,如果個資的範圍是顧問定的,大概要花7∼9個月去做,如果範圍是全公司的,執行時間大約1年,若是小公司,大約 半年就可以完成這樣的個資保護方法論的作為。從萬幼筠的實務經驗來看,不論公司規模大小,該方法論都沒有不適用的問題。

作法 5 釐清個資權責和所有權
從個資盤點到隱私權衝擊分析,到掌握個資資訊流在每一個應用系統和儲存空間的個資流向後,接下來就是要釐清個資管理的責任,萬幼筠認為,RACI矩陣模型是一個很適合用來釐清個資所有權的工具。

RACI矩陣的R是Responsibility表誰來負責、解決問題之意,A是Accountability表誰來承擔、批准之意,C是Consultation表誰來諮詢、提供意見之意,I是Informed表誰被告知之意。

萬幼筠表示,在這個RACI模型中,左側可以記錄各種個人資料類型,上方則記錄所有的個資資訊流管控者或窗口,在相對應的方格中,填入R、A、C、I,辨 別每一種個資類型和負責人的對應關係。他也說,如果,系統使用者端的使用者行為難以區別時,則可以透過企業內部職能衝突風險管理來解決。

作法 6 評估個資存放系統的風險是否獲得控管
個人資料保護除了要考慮資訊生命周期的變化,萬幼筠說,資料生命周期和組織內部環境高度相關,企業要結合營運狀況和資訊技術,為個人資料提供一個控管架構。

這個控管架構用來確認企業組織對這些存放個資資訊設備所採用的安控措施,是否做到適當的風險控管。如果有風險控管不當的項目,就可以進一步修改或調整。

作法 7 部署合適個資保護與監控的工具
在資料處理的流程中,IT和負責個資管控的主管必須選擇合適的個資保護和監控工具。萬幼筠認為,企業在解讀、評估《個人資料保護法》對企業造成的衝擊與挑 戰時,企業主應該正視「企業對個人資料保護」的重要性,而法條對於擁有個資企業的規範上,他建議,企業應該先從架構一個「企業對個人資料保護概念框架」著 手。

所謂的企業對個資保護概念框架,是從機關組織是否設定隱私保護組織、政策、規範的治理面開始,逐步延伸到掌控資料處理流程,並對應部署合適的管控措施,對 於所有的個資資訊流進行保護,並執行相關的監控措施和進行相關的分析報告。這個完整的過程,就是機關組織在面對個資保護時,從機關組織角度,一直到實際監 控作為所架構出來的個資保護概念框架。

萬幼筠特別提醒IT部門主管,不能只聽信廠商片面說法,IT主管必須非常清楚,沒有一個防護措施可以做到「以一擋百」,每一個防護措施都有其保護對策的上限,因此,企業評估個資外洩防護措施時,切忌抱持著只想找到一個萬靈丹來治百病的心態。

蒲樹盛認為,企業心態若是希望用工具解決個資保護的問題,終究只能保護到點的個資,線和面的個資保護就可能因為沒想到、疏忽,而未能做到善良保管人之責。



作法 8 記錄與保存個資資訊流向和軌跡
企業參考個資類別和風險高低,選擇合適的個資防護措施之後,為了能夠保存每一筆個資異動的軌跡,重要資安設備和資安事件的Log檔(登錄檔)都必須留存。 萬幼筠說,所謂的Log保留不只是保存數位化Log而已,而是中間很多的記錄軌跡都要能夠保留下來,重點在於要能夠「還原」事件原本的面貌。

還原事件原貌就不只是單純收集Log檔而已,連相關資安設備的時間,都必須事先校準過,這樣才有辦法還原事件的原貌。萬幼筠說,日前就有某客戶網站遭到外 部駭客入侵,企業為了提告,將收集資安設備的Log作為法院的呈堂證供,但此時就發生資安設備時間沒有校準,防火牆Log時間早於路由器Log時間,因為 時間差導致這個Log記錄反而不具有證據力。

作法 9 重新審視委外合約以符合個資法規定
個人資料的資料來源除了來自外部客戶、內部員工還有第三方合作或委外廠商。萬幼筠指出,委外廠商是許多企業在個資防護上,最脆弱的一個環節。因為多數著手進行個資保護的企業,保護的範圍通常不及於合作的委外廠商。

例如,某客戶網站被當成駭客攻擊跳板,按照Log記錄還原事件發生的來龍去脈時,追溯到某ISP業者後就無法繼續追溯下去了。因為,該ISP業者聽到企業 主機被當成跳板後,就直接將該主機系統重灌,原本所有的電子化證據和Log檔都沒有保存,致使該客戶追查動作追到ISP業者後,便宣告中斷。
上述的案件並非例外,萬幼筠提醒,隨著新法規定,受委託單位視同委託者,在法律上,委外單位和委託者負有相同的個資保護責任和義務,如果客戶提告,企業提 供相關的證據追查個資外洩的起迄點,如果追查途中,因為委外單位沒做好相關的個資防護以及追蹤記錄保存,導致企業無法完成個資外洩的追查時,委外廠商和企 業需負起連帶賠償責任。

因此,他建議,從現在起的1年內,機關企業應該逐次重新審視委外合約內容,為了確保客戶個資的保護,企業除了和委外廠商增訂保密和賠償條約外,未來新成立 的委外合約,都必須符合《個人資料保護法》對個資保護的要求,對於舊有、尚未到期的委外合約,若無法重新更約,也應該另外做避險和風險管控的手段,以降低 企業必須連帶承擔委外廠商個資外洩的風險。

這種狀況很容易發生在電子商務業者委託物流業者配送貨物,若個資外洩是物流業者造成的,受委託者視同委託者,該物流業者造成的個資外洩,電子商務業者則必須負起連帶責任。

作法 10 檢視企業的個資防護訴訟策略
萬幼筠說:「個資外洩基本上是一種企業對當事人的侵權行為,」而所有的犯罪在追究責任時,檢察官主要的任務就是追查犯罪動機、掌握犯罪工具,以及確認犯罪 事實。所以,企業在評估《個人資料保護法》施行後的各種影響層面時,對於企業應該盡哪些義務、負擔哪些責任,尤其受損害的當事人提告之後,上法院訴訟時, 就可以從「有無故意」、「有無過失」、「有無善盡善良管理人責任」以及「有無不可抗力之因素」來看相關的衝擊與挑戰。

因為,檢察官在偵察犯罪的第一件事情就是察看犯罪動機,也就是說,企業對於擁有的個資應該善盡保護之責,如果因為「該作為而不作為」導致個資外洩,企業就 有故意不作為的嫌疑。一旦當事人對企業提告,企業因故意不作為導致當事人個資外洩,企業就必須負擔起相關的賠償責任。萬幼筠說,像是企業設立具有實權的專 責機構和人員,來負責相關的個資保護,制訂並落實相關保護政策與流程規範等,都是企業是否有故意不作為的證明之一。

除了故意與否,「企業應該做而沒有做到完善,導致當事人個資外洩,企業就有過失之虞。」萬幼筠說道。這通常牽涉到比較多技術層面的問題,當確認應該有的個 資保護組織、標的後,就進入如何進行實質保護的階段。萬幼筠指出,從業務狀況看資訊流流向時,企業就應該針對每一個資訊流流向可能的資料外洩風險,提供相 對應的保護措施。

「關於企業個資防護作為是否有過失,通常是上了法庭之後,請專家證人作證後,才能向法官證明個資外洩當時的個資防護作為,是否已經做到當時技術所能及的地 步。」他說,如果企業能夠證明沒有過失,或者是能夠證明,企業盡可能完善的個資保護是因為碰上不可抗力的因素,例如,零時差攻擊(Zero Day Attack)導致個資外洩,法官在審判時,通常會參酌企業表現,減輕責罰。

萬幼筠強調,「不論是故意、過失,或者是不可抗力因素,當事人一旦提告,企業都必須能夠負起完整舉證的責任,」而這些舉證,除了保存完整的Log檔,時間 必須一致、也必須能從這些Log檔還原事件原貌。他說,從訴訟的角度來看,企業在個資保護的作為上,只要能夠證明企業沒有任何故意或過失,善盡善良管理人 的責任,以及受到不可抗力因素導致的個資外洩風險,法官通常會酌情減輕罰則。

信任是企業最昂貴的資產
電子商務業者Payeasy營運長陳怡宏說:「信任是昂貴的,也是企業最重要的資產。」曾經經歷過會員資料在2007年12月,遭到中國詐騙集團,企圖以 資料拼圖方式暴力竊取的慘痛經驗,當時Payeasy以大張旗鼓、對外宣揚的方式,提醒所有會員注意相關個資是否被竊取,也是目前唯一一家,主動對外公開 會員個資現況危險程度的業者。

陳怡宏認為,資訊安全包含個資保護都不是資訊或技術的問題,而是企業經營層面的政策問題。只有當企業認為資安與個資保護與企業營運息息相關時,企業才會提供足夠的資源與心力在上面。

當時,Payeasy簡單的因應策略可分成先止血,將所有可疑的帳號、可疑的IP立即封鎖;再來是清查,地毯式的清查所有會員帳號、密碼,是否有不正常的 存取現象,並且在第一時間內,以網站公告、電話聯繫和限時專送信件告知帳戶異常存取的會員;最後就是蒐證,把每一個會員帳號異常存取的動作,完整保留下 來,並於第一時間報警、召開記者會,將收集到的相關事證,提供相關單位做後續的調查追蹤。

陳怡宏指出,資安推動不容易,企業投資資安和個資保護措施時,若只一味看重投資報酬率,最後只有到出狀況時,才會後悔相關的保護措施不足。

為了避免不必要的後悔,Payeasy以「會員資料」作為個資保護的重心,明訂存取策略並實施資料分級制度,透過分散式的資料處理方式,以及P、D、C、 A持續不斷的改善流程落實個資保護。他強調,唯有把每一次檢視個資保護的流程,都當成當年「第一次遇到詐騙集團攻擊時的因應心態」,才能不斷以最謹慎的態 度因應個資保護的作法。

企業個資盤點3步驟
臺灣BSI副總經理蒲樹盛表示,BS 10012是一套根據PDCA提供個資保護實務作法的標準,P、D、C、A在BS 10012中都各有專章說明。其中,「個資盤點」是很重要的一個部分,不過,多數企業因為沒有任何可以參考的範本,經常不知道從何著手。蒲樹盛則分享他的 實務作法,企業可以據此延伸其他相關的作法。

首先,蒲樹盛說,第一件事情就是要確認公司組織架構,有時候會因為公司有些不在同一處辦公的外圍機構,沒有再度確認容易疏忽。再者,公司必須指派高階個資 管理代表,也要指定負責日常處理個資保護、監控與教育訓練的專責人員。第三,從資訊生命周期的觀點進行個資盤點,重新審視公司每一個部門,到底擁有哪些資 料,這些資料中又包含多少個人資訊在內。

在確認每個部門擁有哪些個資的清單資料後,公司就要產生一份「個資類別清單」,這個清單就詳細記載著這些個資的資料,都由誰經手、收集、處理、利用及刪除 的流程。蒲樹盛強調,當這份個資類別清單出爐後,企業就應該據此重新檢視各個部門相關的個資保護措施和個資保護意識是否足夠,若是發現擁有較多個資的部 門,對相關的個資保護措施或意識不足時,就應該立即提供各種強化措施以補不足之處。
企業進行個資盤點步驟示意圖
步驟 1 確認組織架構
企業進行個資盤點前,一定要確認公司組織架構,除了要指派高階個
資管理代表外,也藉此確認公司的營運範圍和組織規模大小。


步驟 2 彙整出各部門個資類別清單
若以客服部為例,企業必須清楚盤點客服部究竟擁有哪些表單資料,先列出完整清單後,在彙整出與個資相關的類別清單,例如會員基本
資料檔就包含會員姓名、聯絡電話、地址、email、帳號和密碼等內容。


步驟 3 盤點個資類別清單在各部門流向
將各部門彙整出的個資類別清單,逐一確認企業各組織對各個個資類別清單的收集、處理、利用、國際傳輸和刪除的經手流程。全部盤點過一次後,才會知道哪些部門個資防護措施是否足夠。

SANS Investigative Forensic Toolkit (SIFT) Workstation: Version 2

SANS Investigative Forensic Toolkit (SIFT) Workstation: Version 2





SANS SIFT Workstation 2.0 Overview
  • VMware Appliance
  • Ready to tackle forensics
  • Cross compatibility between Linux and Windows
  • Forensic tools preconfigured
  • A portable lab workstation you can now use for your investigations
  • Option to install stand-alone via (.iso) or use via VMware Player/Workstation
Download SIFT Workstation 2.0 Locations


Background
Faculty Fellow Rob Lee created the SANS Investigative Forensic Toolkit(SIFT) Workstation featured in the Computer Forensic Investigations and Incident Response course (FOR 508) in order to show that advanced investigations and investigating hackers can be accomplished using freely available open-source tools.
The SANS SIFT Workstation is a VMware Appliance that is pre-configured with all the necessary tools to perform a detailed digital forensic examination. It is compatible with Expert Witness Format (E01), Advanced Forensic Format (AFF), and raw (dd) evidence formats. The brand new version has been completely rebuilt on an Ubuntu base with many additional tools and capabilities that can match any modern forensic tool suite.
Basic Configuration Information
Recommend to increase VMware Options for
  • Download VMworkstation, Player, or Fusion
  • Memory (Currently 1024K, increase to add more RAM as needed)
  • CPUs (Currently 1, increase as needed for more power)
SIFT Login/Password
After downloading the toolkit, use the credentials below to gain access.
  • Login "sansforensics"
  • Password "forensics"
  • $ sudo su -
    • Use to elevate privileges to root while mounting disk images.
PTK login
  • Login "admin"
  • Password "forensics"
Host Machine Connectivity
Enable SHARED FOLDERS
  • VM -> SETTINGS -> OPTIONS -> Shared Folders -> Always Enabled (Check)
  • Access to Host System Found on Desktop
  • VMware-Shared-Drive
Access from a Windows Machine
  • Filesystem Shares \\SIFTWORKSTATION
    • or use ifconfig and connect to eth0 IP Address listed (e.g. \\192.168.1.12)
    • /mnt - Mount point for read-only examination of digital forensic evidence
    • /cases - Directory to store evidence
SIFT Workstation Recommended Software Requirements
  • VMware Player, Workstation, or Fusion (Free From www.vmware.com)
  • SANS SIFT Workstation Capabilities
SIFT Workstation 2.0 Capabilities
Ability to securely examine raw disks, multiple file systems, evidence formats. Places strict guidelines on how evidence is examined (read-only) verifying that the evidence has not changed
File system support
  • Windows (MSDOS, FAT, VFAT, NTFS)
  • MAC (HFS)
  • Solaris (UFS)
  • Linux (EXT2/3)
Evidence Image Support
  • Expert Witness (E01)
  • RAW (dd)
  • Advanced Forensic Format (AFF)
Software Includes
  • The Sleuth Kit (File system Analysis Tools)
  • log2timeline (Timeline Generation Tool)
  • ssdeep & md5deep (Hashing Tools)
  • Foremost/Scalpel (File Carving)
  • WireShark (Network Forensics)
  • Vinetto (thumbs.db examination)
  • Pasco (IE Web History examination)
  • Rifiuti (Recycle Bin examination)
  • Volatility Framework (Memory Analysis)
  • DFLabs PTK (GUI Front-End for Sleuthkit)
  • Autopsy (GUI Front-End for Sleuthkit)
  • PyFLAG (GUI Log/Disk Examination)
Key Directories in SANS SIFT Workstation
  • /forensics
    • Location of the files used for the Autopsy Toolset
  • /usr/local/src
    • Source files for Autopsy, The Sleuth Kit, and other tools
  • /usr/local/bin
    • Location of the forensic pre-compiled binaries
  • /cases
    • Location of your collected evidence
  • /mnt/hack
    • Location of the mount points for the file system images
SANS Cheat Sheet
Download Cheat Sheet Now (429 kb)
  • From SEC508 Computer Forensics, Investigation, and Response course the forensic cheat sheet lists commands commonly used to perform forensics on the SIFT Workstation. Each section has a list of commands associated with executing the required action.
  • The most popular sections are the imaging section, which lists detailed usage of the dd command utilized in imaging both Windows and UNIX machines.
  • There is a detailed list of commands associated with mounting both UNIX and Windows images for examination in read-only mode.
  • The Sleuthkit commands are organized in respect to the layer of the file system that is being examined.
  • This cheat sheet can easily be utilized with the SANS SIFT Workstation 2.0.
SIFT Workstation 2.0 How-Tos

SANS SIFT WORKSTATION Detailed Tool Listing


資料來源:SANS

個資法上路 可望催生數位鑑識產業


過去英雄無用武之地的數位鑑識產業,可望在個資法上路後,重新揚眉吐氣。

檢察官出身、現為資安業者中華龍網總經理葉奇鑫表示,新版個資法上路後,由於企業一旦面臨賠償責任,依規定需要證明「無故意或過失責任」才能免責, 因此和用戶往來的證據,尤其是數位證據的保存上,必須更為小心。因此民間的數位鑑識產業可望回春,前者不旦可以幫助業者在日後舉證時提出更有力的證據,也 能預先規劃,幫助業者知道要怎麼「凡走過必留下痕跡」。

中華民國電腦稽核協會副理事長,同時也是中央警察大學資管系教授林宜隆也在先前的採訪中表示,在個資法實際上路後,將會有更多稽核工具,也就是資安鑑識的服務、技術等應運而生。
個資法即將在明年中上路,現階段企業仍不知道何去何從。從專家的角度來看,許多面向都還百廢待舉。數位證據的辨識即是其一。

數位證據的專業辨識之所以重要,即在於包含了電子郵件、手機簡訊等數位內容,具有數位證據的脆弱特性,例如易於複製、消滅、修改等,將讓稽核更為困難。
唯目前資安鑑識的技術在台灣還沒有廣獲重視。法務部調查局已經在2006年12月正式成立第一座資安鑑識實驗室,負責搶救、復原儲存媒體中被損毀的機密資料等,服務對象以法務部各級單位為主。

至於在民間,資安鑑識公司還寥寥無幾。在國外有名的H-11 Digital Forensics今年初才在台成立分公司,與台灣總代理鑒真數位公司合作設立全台首座商用專業數位鑑識實驗室。
「過去即便是檢調單位的數位辨識證據,也會被質疑檢察官和調查局,具有球員兼裁判的身份,」葉奇鑫指出,最常見的數位證據抗辯,就是指控檢調單位和警察變造。這就是何以需要民間數位鑑識公司的存在理由之一。

另一點原因則是人為。他表示,鑑識技術難免會因為人為因素而犯錯,不能只單單仰賴一方說法。因此數位鑑識產業越成熟,對業者而言越有保障。
不過在此之前,專家還是認為先催生數位證據法會更有效帶動產業蓬勃。葉奇鑫表示,基本上法條的審議通過都不難,現在就是看政府有沒有意識到問題的重要性,以及是否有相關的人才來草擬法案。

轉自ZDNet



Toshiba發表應用於加密型硬碟的全新Wipe技術

小型硬碟領導廠商─台灣東芝數位資訊股份有限公司,今日發佈業界首見註1應用於加密型硬碟的「Wipe」技術,以此提升產品資料防護功能,可對企業、商家備份資料提供加密,並對需要清除的資料徹底刪除,防止資料外流的風險。Toshiba的「Wipe」技術是以一般加密型 硬碟為架構,並進一步提供用戶特殊的保密機制,當系統斷電或是從系統移開加密型硬碟時,「Wipe」技術能機警地將使用者的資料清除,此項功能也適用於歸還租用系統給出租商家之前,可以徹底地清除使用者的資料。「Wipe」技術使Toshiba加密型硬碟邁入下一個重要的里程碑。 


Toshiba於2010年7月發佈最新的7200 轉 2.5吋SATA硬碟,符合企業IT部門與日俱增的安全需求,強調隱私規範以及資料管理安全性等。Toshiba的加密型硬碟設計符合「可信賴運算組織」(Trusted Computing Group) 的「Opal」規格,提供進階存取的安全性以及對用戶端系統(例如筆記型電腦)的主機板加密。

加密型硬碟 × Wipe技術  保護留檔資料、徹底刪除檔案  保護企業與組織隱私

資料安全的風險不僅存在於筆記型電腦遺失和遭竊的狀況,同樣地,辦公室裡影印機與列印系統也有可能造成資料外流。現今有許多影印機、印表機的廠 商使用內建硬碟作為儲存介面,而廠商也發現這些儲存資料有外流的風險,因此Toshiba創新「Wipe」技術的進階儲存功能,能讓系統製造商快速、且自 動化地保護影印機、印表機所儲存的資料安全,降低資料流失的風險。

目前,影印機與印表機系統製造商主要是透過Toshiba的「Wipe」技術,將加密型硬碟的內部加密金鑰移除,讓文件影像資料安全地消失。這項功能可使系統在報廢、重新利用或是系統斷電時,確保隱私資料不會外洩於其他單位或是資訊部門之外。

可自行設定資料範圍  整合系統資料有彈性

「Wipe」技術可以在加密型硬碟下設定多重資料範圍,並且為每一個資料範圍設定資料失效的條件。如此的彈性能夠使系統工程師輕鬆整合系統資料。其所依循的條件包括:
1.存放於Wipe區的資料,當電源斷電時,依照電源循環判斷,會自動將加密資料刪除。
2.存放於非Wipe區的資料,當電源斷電時,依照電源循環判斷,使加密資料繼續保留。


除了儲存在用戶端個人電腦和卸除式儲存裝置上之外,許多企業也了解靜態資料的安全性也很重要,因此加密工作必須延伸至影印機與印表機硬碟中的影像資料。Toshiba新穎創新的「Wipe」技術,提供進階的儲存安全功能,能夠自動且妥善地保護儲存於辦公室影印機、印表機、以及其他類型事務影像系統上的隱私資料。




**註1. 直至2010年8月10日止,Toshiba為業界首見將「Wipe」技術應用於加密型硬碟。

 

關於Toshiba Hard Disk Drive Division
Toshiba Hard Disk Drive Division隸屬於日本東芝股份有限公司(Toshiba Corporation)旗下的Toshiba Storage Products Company。Toshiba Hard Disk Drive Division在1.8吋、2.5吋硬碟機及2.5吋、3.5吋企業級硬碟機的研發、設計與生產上,皆領導市場。Toshiba Hard Disk Drive Division負責銷售高品質的周邊設備給原始設備製造商、增值經銷商、系統整合商和代理商。東芝引領全球的工程和製造能力,在儲存產品系列上,再次鞏 固東芝的國際領導品牌地位。

Black Hat USA 2010 and BSlides 2010 Materials

CrashDump Analyzer 0.95




クラッシュダンプの解析ツールをアップデート。32bit OSに対応。
「CrashDumpAnalyzer_ver0.95.zip」をダウンロード
機能は以下の通り。
  • DMP_Info: クラッシュダンプヘッダをパース
  • PsList: プロセス一覧を出力 (Tree & list traversal)
  • PsScan: プロセス一覧を出力 (Object fingerprint search)
  • ConnList: TCPコネクション情報を出力 (Tree & list traversal)
  • ConnScan: TCPコネクション情報を出力 (Object fingerprint search)
  • KMList: カーネルモジュール一覧を出力 (Tree & list traversal)
  • KMScan: カーネルモジュール一覧を出力 (Object fingerprint search)
  • DllList: プロセスがロードしているDLLの一覧を出力
  • OpenFiles: プロセスがオープンしているファイルの一覧を出力
  • ProcDump: プロセスを実行ファイル形式で出力
  • VadSearch: プロセスのVAD領域を文字列検索
  • VadDump: プロセスのVAD領域をダンプ
  • PsEntropyPEB: プロセスのエントロピーを算出
  • PsEntropyVAD: プロセスのVAD領域の中からinjectionされている可能性のある領域のみでのエントロピーを算出
各OS/アーキテクチャ毎にサポートしている機能が異なる。
  • x64 Server 2003: DMP_Info, PsList, PsScan, KMList, KMScan
  • x86 Server 2003: DMP_Info, PsList, PsScan, KMList, KMScan, ConnScan, DllList, OpenFiles, ProcDump, VadSearch, VadDump, PsEntropyPEB
  • x64 Windows 7 & Server 2008 R2 (x64): DMP_Info, PsList, PsScan, KMList, KMScan
  • x86 Windows 7: DMP_Info, PsList, PsScan, KMList, KMScan, DllList, OpenFiles, ProcDump, VadSearch, VadDump, PsEntropyPEB
  • x86 Windows XP: DMP_Info, PsList, PsScan, KMList, KMScan, ConnList, ConnScan, DllList, OpenFiles, ProcDump, VadSearch, VadDump, PsEntropyPEB, PsEntropyVAD
Future Work:
  • 7/2008はTCPコネクションの情報が取れてない。これは以前書いた。
  • 7/2003ではVAD領域の属性?フラグ情報の定義が不明なので、injectionされた領域の検出(PsEntropyVAD)やダンプ(VadDump)をサポートできてない。
  • x64系の機能が貧弱なのは単なる怠慢w
RAWイメージを解析するツールは不安定なところがあるので(最近はましになってきている感はあるが)、ダンプはRAWじゃなくクラッシュダンプで保存した方が良いと個人的に思う。いざとなればMoonSolsで変換すれば良いのだし。




轉自CCI

R-Wipe & Clean


R-Wipe & Clean is a complete solution to wipe useless files and keep your computer privacy. Irretrievably deletes private records of your on- and off-line activities, such as temporary internet files, history, cookies, autocomplete forms and passwords, swap files, recently opened documents list, Explorer MRUs, temporary files, etc., traces from more than 200 third-party applications, and free up your disk space. The utility wipes files and unused disk space using either fast or secure erase algorithms.


All files and folders may be combined in wipe lists to erase them in a single procedure.R-Wipe & Clean wipes all files to ensure their total unrecoverable elimination. Supports both the FAT and NTFS file systems. All separate wiping and cleaning tasks can be combined in one or more erasing procedures launched immediately or at predefined times or events as a background task.

Features:
• Verify beforehand the data selected for irretrievable wiping.
• Wipe and delete temporary Internet files.

• Wipe and delete "cookies," small files that Web sites store on your computers for identification purposes. Your favorite cookies may be safely kept.
• Wipe and delete Flash cookies, small files that Web sites create on your computer.
• Wipe and delete Java and Microsoft VM logs.
• Clean autocomplete forms for log-ins, user names, passwords, and other personal information entered at Web sites and keywords entered on search engines.
• Clean "history," the list of visited Web sites.
• Clean the list of recently opened documents.
• Clean the list of opened file history.
• Clean Windows clipboard content.
• Wipe and delete temporary files created by Windows and other programs.
• Clean system Registry traces, such as the run list, search results, mapped network drives, attached peripheral devices, and the last opened Registry key.
• Clean "MFUs," which are lists of most frequently used programs, Start Menu links and icons, Control Panel items, Web pages saved as Favorites, and Internet Explorer buttons.
• Wipe .dat files (even locked) to remove any leftovers after incorrect Windows shutdowns.
• Wipe and delete off-line content.
• Clean activity traces from more than 300 third-party applications, including Microsoft Office and other standard Windows apps, as well as numerous other popular programs. Installed applications are detected automatically.
• Create customized wipe lists to clean activity traces from any application that R-Wipe & Clean currently does not support. Such wipe lists may include application working and temporary folders and files, and Registry keys.
• Wipe Windows swap files.
• Wipe and delete invalid desktop shortcuts, ones that are on your desktop but are not linked to any existing objects.
• Clean Windows Event Logs
• Wipe Windows built-in firewall logs.
• Clean links to recent network folders.
• Wipe auxiliary temporary files, such as set-up temporary and log files, memory dump files, and old Check Disk files.
• Wipe and delete Prefetch traces.
• Wipe and delete defragmentation lists.
• Clean stored Explorer view settings.
• Clean stored application descriptions.
• Wipe and delete cached icons and fonts.
• Clean various logs of Windows' update system.
• Wipe and delete WMI, diagnostics, and security management logs.
• Clean stored network passwords.
• Clean cached shell extensions.
• Clean stored addresses of unread mail.
• Clean stored FTP folders.
• Clean stored Start Menu order.
• Clean stored cached wallpapers.

New R-Wipe & Clean 8.0 supports all recent versions of Internet Explorer, Mozilla /Mozilla Firefox, Opera, NETSCAPE, AOL, MSN, and BT Yahoo browsers as well as the Google and MSN toolbars and removes traces from 200+ third-party applications, including Microsoft Office 2007.


Web Historian: Reloaded

Written by Aaron LeMasters
We’ve been busy here on team agent at MANDIANT.  In the spirit of our long-standing support of free software in the Incident Response community, we are happy to announce the release of Web Historian 2.0.  This release is a complete rewrite and revamp of our very popular web history extraction tool.  This version of Web Historian comes packed with features and supports Firefox 2/3+, Chrome 3+, and Internet Explorer versions 5 through 8.  Here is a quick run-down of some of the new

features:
  • Collects web history, cookie history, file download history, and form history into data sets
  • Simple/powerful UI based on tabbed organization of datasets
  • Perform a live artifact scan of the local system
  • Perform an artifact scan of one or more arbitrary history files from all supported browsers
  • Import results from existing XML scan documents
  • Data displayed in gridview style with full search, sort, and filter capabilities
  • Custom filters can be created and applied to one or more data sets
  • Export data sets to XML, HTML or CSV
  • Extract and export history files used in live artifact scan
  • Quick copy/paste selected gridview rows to clipboard
  • Customizable scan settings can tweak the scan to target specific browsers and data sets
  • Right-click context menu for narrowing gridview data instantly
  • Select which columns to display in each dataset
  • View page thumbnails and indexed content
  • Export sanitized version of history results to distribute to others
  • Website Analyzer provides visualization of datasets using bar graphs, pie charts and timelines
  • Website Profiler shows a quick “report card” of artifacts for various websites
The custom filters mentioned above are extremely useful for narrowing the scope of your web history investigation. Web Historian ships with several pre-defined filters that allow you to quickly cull through large web history data sets.  For example, you can instantly filter the web history data by visit type to only show hidden page views caused by ads; or, filter the file download history data to only show downloaded media (movies, images, etc.), PDF’s, or plain text files.  You can easily create your own filters using the filter editor and configure Web Historian to automatically save any of your searches as filters.  Finally, more filters are accessible with a simple right-click on any web history item.
Also new in Web Historian 2.0 are the Website Analyzer and Website Profiler features.  The Website Analyzer allows you to visualize web history data (rather than scrolling through pages of records) and generate useful bar graphs, pie charts and timeline plots that can be used in an external report.  The Website Profiler generates a quick “report card” summary of any domain in your web history data, showing all artifacts created on your system when it was visited (page titles, cookies, cached files, form data, etc).  This feature allows you to get a quick impression of how a site behaves.  The screenshot below shows the profile of CNN.com:


We hope you enjoy the new features in this release of Web Historian.  As usual, if you have any questions, comments or feedback, please head on over to the user forum.
Stay tuned for even more exciting features coming soon!  If you would like a demo or talk to me about features, I will be at Blackhat USA in Las Vegas this summer and hope to be accepted to demo Web Historian 2.0 at Blackhat Arsenal.  And finally, don’t miss out on our memory forensics training at Blackhat:  Advanced Memory Forensics in Incident Response.


轉自http://blog.mandiant.com/archives/1075

Trusting Your Tools

“A trusted tool is one that you understand what it does”- Chris Pogue
I recently heard Chris make that statement during his “Sniper Forensics” presentation at the 2010 SANS Forensics & Incident Response Summit.  It was that statement that inspired me to put together this post.  As digital forensic examiners, we rely on various applications/programs (tools) to aid us during our investigations.  I want to take Chris’ statement and flesh it out a bit…


“A trusted tool is one that you understand what it does, where it came from, what flaws it has and what results it gives you.”
This post is aimed at those that are new to digital forensics, but will also help those that may not have been given a push in the right direction or those that are experienced who might have lost their way. So let’s get started.
There may be a tool you are interested in using that you heard about somewhere. Let’s face it, forensic examiners need tools to assist them with their ever expanding case loads and increasing backlogs on an everyday basis.  The first tool that I hope everyone can rely on without question is, themselves.  You should be able to trust your own eyes and ears.  What I mean by this is do some research before you decide to use a particular application.
Like:


- Do a Google search for the tool.  You may come across websites/blogs containing reviews about the tool in question that were written by other Forensicators.
- Check out the various digital forensics forums for mentions of the tool or create a post asking about other peoples experience with the tool and its developer.
- Use Social Networks (Twitter, LinkedIn, Facebook) to engage other digital forensics professionals.  If you have not done so already, I would recommend that you join Twitter and start following the numerous Forensicators that use that service (HINT- Look here and here).  It is a very strong community and you will be amazed at the support (as well as camaraderie) that you get there.


Now before you download the application you wish to use, make sure you take note the version number of the program and the MD5 hash value of the file, if it is available.  Not all developers/vendors have the MD5 hash listed on their site.  A suggestion would be contacting the developer and inquiring as to what the MD5 hash is for the file.  Make sure to compare the MD5 listed on the developers/vendors site (or the one they emailed you) to the one for the file that you downloaded.  If you are unfamiliar on how to check the MD5 hash of files, follow along below:


Note the MD5 value for FTK Imager Lite in the following screenshot:


FTK Imager
FTK Imager
To check the MD5 hash value of a file:
Linux:
- Open a terminal
- Navigate to the directory where you downloaded the file
- Type the following: md5sum [Name of File]
- Press Enter
**Note- If you have a filename containing spaces that you wish to perform a checksum on, you either have to put quotes around the filename (after md5sum) or rename the file with underscores for Linux to recognize the entire file name.  The same holds true for Mac, which is listed below**


md5sum of Imager Lite

md5sum of Imager Lite
Mac- The “hard” way:
- Open a terminal
- Type the following: md5 [path to file]
- Press Enter
Mac- The “easy” way:
- Type the following: md5 with a single space after it
- Then drag the file you wish to check the MD5sum of into the terminal
- The path to the file will populate itself after “md5”
- Press Enter


md5 on OSX

md5 on OSX
Windows:
Unlike Linux and Mac Operating Systems, the MD5sum utility is not installed by default.  Fear not though, there are a few third-party utilities you can download to help you.  Performing a Google search for “MD5 Checksum Windows” will yield many results.
I would really like to see more (read: all) forensic application developers/vendors listing the MD5 values for their applications on their website.  I have found that there are a number of devs/vendors are not doing this.  Having the MD5 is especially helpful if you need to download the application from a third-party site.  How are you supposed to trust that file you just downloaded?  If evidence integrity is key to a digital forensics examination, so too should be the integrity of our tools.  We as a community should demand more in this regard, no?
I also mentioned to take note of the version number.  I say that because it might come into question when a case is going to trial.  Opposition counsel will want to have their own examiner/expert witness look over evidence files and he/she might want to recreate the same environment that you had to examine the evidence to see if they can obtain the same results as you.  They will also attempt to uncover evidence that you might not have.  They will also probably research what known issues there may be with the tool(s) in question and will try to use that against you in court, hoping that you do not know those facts.


Version Information for FTK Imager

Version Information for FTK Imager
Now, once you have the software installed, you are going to want to run through it to get familiar with and test out its features.  For example, EnCase by Guidance Software has a software write-blocker utility feature for USB, Firewire and SCSI devices built into it.  For those that work in a shop that hasn’t provided a hardware write-blocker or for those who cannot afford the personal out of pocket expense to obtain one, this utility will be valuable to you.  Knowing that and knowing that being able to write to suspect media is a bad thing, you should grab a piece of test media (spare USB Thumb Drive, external Firewire drive, etc) and test this feature.  Enable the built in write-blocker utility and attempt to write to your test media.  If it writes to your test media, you know that it cannot be trusted to perform its function.  I would do this every time you update from version to version of the program.  Keep in mind that functions that may have worked in the previous version of a particular tool may have been broken in the next version.


Something else you will want to do is verify the results that you receive from one application with that of another.  You will always hear a good examiner say, “VERIFY, VERIFY and VERIFY”.  I suggest that before using your tools on a piece of suspect media relating to a case, you find a test image or create your own to test your tool(s) on.  That way you know what information should be on the image you are running your tool against.  If the tool is not finding the known data, then there may be an issue with that application.
Let’s say you decide to use Harlan Carvey’s excellent tool, RegRipper to parse out the NTUSER.DAT Hive from a Windows box to see what the Typed URL’s were.  Well, RegRipper is a great tool but how do you know if the results that it gives you are valid?  You don’t unless you have something to compare its results to.  In that case, after grabbing or creating a test image file to work with, you can use a tool like AccessData’s Registry Viewer to do just that:


AccessData's Registry Viewer
AccessData's Registry Viewer
To take it a step further, let’s say that you will need to regularly obtain the list of USB devices that connected to a system as part of your Incident Response Team’s Standard Operation Procedure.  Again, using your test image, you could compare the results you received with RegRipper to that of AccessData’s Registry Viewer against another program like ForensicUSBDeviceInfo by Woanware:
AccessData Registry Viewer and RegRipper
AccessData Registry Viewer and RegRipper
RegRipper & ForensicUSBDeviceInfo
RegRipper & ForensicUSBDeviceInfo
Another good reason to test multiple tools is that there may be one application that works faster, better or leaves even less of a footprint in certain situations than others.  Remember, not all incidents/examinations are the same and your use of tools will vary on a case to case basis.
Sites that have test images to work with:
-     Digital Forensic Tool Testing: (http://dftt.sourceforge.net)
-      NIST CFReDS Project page: (http://www.cfreds.nist.gov)
-      Forensics Contest: (http://forensicscontest.com/puzzles)
-      SANS Digital Forensics & IR Challenge: (http://computer-forensics.sans.org/challenges)
-      ForensicKB (Lance Mueller’s site): (http://www.forensickb.com/2010/06/forensic-practical-exercise-4.html)

Also, another thing to do is to make a dry run through your application to see how reports are generated.  It is helpful to know what information is included in your tools default report and how that information is laid out.  Some applications may allow you to customize your reports to add or remove information, change the layout or even add a Department/Company logo.  If you cannot even understand your own report, what good is it to you?


After doing tests such as the ones I have listed above, you will become more confident in the use of the applications that you have decided to place into your “tool box”.  An examiner who testifies with confidence and knows his or her work inside out, will tend to hold more weight with a jury than an examiner who fumbles through his or her paperwork and looks nervous. Remember, it is your professionalism, experience and integrity that will help a jury reach their decision.


轉自SANS