网络安全 频道

郭永健:计算机法证技术国内外发展情况

  【IT168 资讯】以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。郭永健先生为大家带来了《计算机法证技术国内外发展情况》的演讲。

郭永健:计算机法证技术国内外发展情况
▲郭永健:《计算机法证技术国内外发展情况》

  郭永健谈到,峰会的主题是关于互联网的创新安全新思维,实际上现在结合信息安全,结合目前方方面面的涉及的信息安全的技术,我们无论是政府单位,还是企业、院校、个人,在不同的行业,不同的状态下都会遇到信息安全的问题。这些问题有可能是给企业带来很严重的损失,也可能给国家从政治层面上、国际影响上带来一些影响,包括个人在一些涉及到的纠纷,涉及到的技术、知识产权、婚姻状况都会涉及到这些问题。

  这些事是我们不希望看到,也不希望发生的,但是实实在在都会遇到这些问题。我简单从计算机取证和电子政务相关的角度给大家做一些交流,如果大家懂得这些技术以后,懂了基础知识以后,你将来在应用在各个企业、行业、政府里面,无论在什么部门,什么行业都会有一些帮助,这就是事前准备,事前预防的概念。

  我今天从计算机法证技术、相关技术、工具机发展,存在的问题与挑战做一些交流。

  我在研究电子证据方面做了20年,从刚参加工作到现在一直没有断,目前国内我做这个行业算是比较早的。我们有一个国内研究技术的协会,我们叫做计算机法证技术研究会,我作为会长。我们CCFC计算机法证技术分会执行主席,ISFS资讯与保安与鉴证公会,我是中国联络官。HTCIA高科技犯罪调查协会亚太区分会会长。电子学会计算机取证专家委员会委员,昨天上午的演讲嘉宾丁丽萍是我们协会的副秘书长。

  我非常喜欢这项技术,我认为很有挑战、发展前景,从技术层面有很多很有意思,我本人酷爱这些软件。我个人做了一些汉化软件和在国内推广的软件比较多。

  为了推广这项技术,我们联合了和兴趣志向相同的公司或者机构,比如说金元龙脉科技有限公司,还有和北京、上海、香港、美国、重庆等都有合作。

  大家看到这两个照片,这个照片比较老的技术人员或者从事研究计算机20年以上的都使过这个,我当初第一台电脑都是PC8088。

  什么是“计算机法证”?我们不深入探究这个概念,因为网上可以搜到很多,大家说法也不一样。但是它怎么起源的?因为信息技术发展,电子数据越来越多。数据越来越产生,在各个行业越来越多的应用,导致涉及其中的最大的问题犯罪事件,无论是什么类型的犯罪,刑事犯罪、民生、金融等等犯罪事件越来越多,这种事情越来越多,各国的执法部门和研究机构重视这方面的研究。像美国1984年就做了这方面的专业的应急响应和研究机构。

  法证技术如何对证据进行固定,如何分析,如何监视,让它成为法律上被认可的,被公众接受的行为,是一个过程,能够通过科学检验,通过第三方科学认证的,不是一个机构说了算的。目前这方面,国内来说,主要以司法鉴定为主,司法鉴定和公证相符,两个行业配合在一块对一系列的犯罪行为进行分析、检验、提取和出示等等。计算机取证或者法证,这是香港、台湾和咱们内地有着不同的冲突,我个人感觉到叫做法证更准确一些。大家看过《法证先锋》,其实法证就是这个意思,和这个相关还有几个不一样的词,像Network,互联网络有一个词叫做单独的空间,这些词又和数据恢复密切相关。还有一个称呼叫做“灾难恢复”“应急响应”等等这类词比较多种种这类的行业或者所涉及的内容很相近,很相关或者有相关的不同的应用。

  从七八十年代,个人计算机的产生,操作系统的出现,随着个人应用程序越来越多,就出现了相关的法证工具,法证工具,最早基本都是由执法部门来做的,或者由一些科研院校配合执法部门来做。早期像80年代那会儿,90年代中出现一些基本的工具,这些工具成为数据恢复和底层分析好的工具。之后随着苹果,像Mac SE系列,出现了带有较大容量硬盘像60MB硬盘,已经属于容量很大,体积很大。8088这台机器,我使那台硬盘10兆体积很大,容量也很大。这台最底下是外置硬盘,从这个硬盘的增大给执法部门和调查带来了困难,10兆对于现在来说很小,现象一个U盘都得10G。这张软盘使的时候还是420K的软盘。越来越多的人研究这种法证工具,如果大家知道IACIS的话,就知道它的的前身。与此同时出现的工具是ilook,之前不对民间销售的,现在准备转为商业工具。

  都有什么可能成为证据?我们日常工作中接触到所有的能和数据沾边都可以成为将来潜在电子证据。刚才的画面是各种服务器、笔记本、PC机、苹果机等等,还有不同的操作系统,不同操作系统,不同类型,不同的应用,不同种类的存储介质,用在不同的地方,包括游戏机,美国现在把游戏机也作为犯罪调查的重点。为什么?游戏机现在有硬盘、操作系统,里面也能存在一些数据,一般人可能会忽略一些东西。这个概念是什么?只要和任何数据、电子数据有任何关联的都可能作为潜在的证据。

  手机现在更属于重要的,手机其实不属于计算机,说到这个词的时候,有专门有一个词叫做“对手机取证”,手机涉及到不同操作系统、不同类型,从操作系统上看到很多,比如IOS系统发展趋势越来越强,它的功能在座的各位都有苹果的手机或者ipad,用户群越来越大。发展比较强劲的是安卓,这都是手机取证的重点。前段时间我翻译了一本书和几个朋友翻译的,专门针对苹果的手机做取证的分析的。

  手机里面还涉及到卡、内存中的数据、闪存卡,这类的问题也是比较难的,手机最重要的问题,你如果不能对它做完整物理提取,里面很多删除数据拿不出来。一旦很多人我的手机被格式化或者通信录或者短信被删除了,如果没有物理工具的话,这些东西很难被找回来了。针对电子证据和不同的问题,官方来说有执法部门解决的问题,像网警、网安、网监,他们解决刑事问题。除此之外,个人企业遇到的问题找谁解决?有些事情是警察不管的。现在国内和国外都有这样的服务,包括我们自己都做这些,我们面对主要是外资国外的企业,他们公司内部遇到问题了,遇到信息安全问题或者是内部泄密问题,影响了自己的利益的权益知识产权问题等等,他们遇到这种问题的时候,就要寻找这样的服务,帮助他们解决这些问题。

  我们前一段给上海挺大一家金融机构做的服务,内部涉及到高层技术人员,像网管,他们认为管理层发现网管不经他们的授权提取了一些东西,查看了他不属于他权限的问题,找到我们帮他处理。具体处理得结果,他走的司法流程做的,我们有专业司法流程帮助他们解决。

  民间也会涉及很多,比如说数据分析、证据固定,要和高管或者高层技术人员解决一些内部的纠纷问题,不想放在法律层面解决的时候,底下做一些证据固定服务,我们再想办法解决这些。

  因为时间比较短,我内容涉及很多,今天只能尽快简单给大家快速的过一下。如果想进一步跟我交流我这儿有名片,或者可以用邮件交流。

  适用于服务和企业,希望大家将来关注一下自己的企业或者从知识产权问题或者内部的安全防范问题,要从这些去考虑一下,关注一下。我刚才说过有些东西最好做事先防范,不要遇到问题再去解决,在法律层面上效率就不够。希望大家如果自己的企业到了一定的规模,涉及的内容、证据、知识产权问题很严重的话,就要考虑面临将来法律问题,做一些技术上的准备。

  做取证不是谁都能做的,国内官方做取证是执法部门和特殊权限或者官方认可的权限可以做。民间可以做的找司法鉴定机构,中国司法鉴定机构能做这块的不太多,中国最大有十家,北京有两家,一是政法大学,二是北京市官方认可的十家,像人民大学。涉及这些问题不是随便找谁都可以做,做的时候要规范,操作步骤、流程,国内民间做的流程和国外的司法鉴定流程有一些差别。建议大家,第一,几个基本要求,哪些不能让人动的,那些该什么人动?机器状态保护好,涉及到网络的时候把网络保留,不涉及到网络的时候要把网络断掉。要充分利用不同的工具,作为技术人员来说要用不同的工具建立不同的问题。数据到底在哪儿?怎么去哪儿找一些数据?作为法庭认可的证据结构格式,我这儿有几种,后面有详细的描述就不说了。

  做数据获取的基本方法用什么方法针对什么状态,机器是关着是开着,不一样。采取不同的镜像数据方法,这有一些基本的介绍。做取证需要专业设备,怎么保证完整性、一致性就需要采用专业的设备。

  我总结了这几代拷贝机、硬盘复制机。国内也有一些机构,做了国内自己的硬盘复制设计。这是目前比较新的,从去年和今年在执法部门和民间机构都在逐渐使用的设备。后面又出现了新的设备叫做talon,这是我正在测试的一款,相信明年成为主要的代表。

  还有一些不同的工具,也有一些免费的工具,国外有一些免费的,我们也做了一些免费给执法部门使,像我们做的WinFE,我们只针对执法部门做免费的应用。

  当你发现证据,什么工具做分析,我这儿列举了很多,这类的工具都是国际上比较主流的,都是目前国际司法鉴定机构广泛应用的。最重要不是每一个工具干所有的事,不是一个工具把所有的鉴定流程做完,需要有不同的工具。我这里会介绍哪些工具是法定和鉴证的,比如说如何利用哈希值,哪些软件数据功能比较好,通过关联搜索看不到的数据,哪些能看到,哪些不能看,被删掉,被格式化的,这些东西就需要搜索功能找到,比如说找到注册文件,找到下面某一种类型等等。有些国外的案件指重点关注图片,色情类的东西,对于不同的语种的问题。比如说泄密的途径,邮件通过什么角度,什么渠道发出去,发出你公司之外,是不是允许公司政策,不允许你使用私人邮箱,你使用私人邮箱造成了一些意外的问题等等。这就是所有数据分析所具有的功能。最后通过专业设备实现解决分析运行软件的条件,这类的条件很多,针对不同系统,不同设备有很多内容。

  我们比较关注的是密码破解,很多行业或者个人比较喜欢,密码破解我也比较关注,我从word dos版的时候都开始做破解。现在没这个能力了,主要应用国外的,俄罗斯的。我从两年前推广GPU的理念,利用解密软件配合高性能的GPU卡,像解密、云算法,能把解密速度提高很快。另外一种方法是用彩虹表和雷表。对于Word Excel破解速度是很快的,基本可以用一分钟或者三分钟可以实现。但是雷表和彩虹表相互,彩虹比破解成功率在97%,这方面雷表成功率最高,体积也小,但是雷表只能针对PBF和 Word来算。

  在一台机器上添加两块到四块加速卡,对于LM、MTLM、MD5的计算区别。

  最新到C2050 GPU的卡速度更快。我们能看到0.84是一块295,利用一组机柜来破解的话,可以看到倍数到26万次,单机破解到270次。实际上我刚才说的不全面,只是一角而已,只是让大家知道涉及到什么东西,如果将来有更多关注的话,大家可以看看一些这方面的资料、书籍、论坛。


  相关链接:

  OWASP2011演讲PPT下载专辑http://topic.it168.com/factory/owasp_2011/index.html
  OWASP2011专题报道http://safe.it168.com/topic/2011/11-7/OWASP2011/index.html

1
相关文章