科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全数字取证背后的科学之“谁是凶手”

数字取证背后的科学之“谁是凶手”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

作为科学的一个分支,数字取证的工作是对数字设备中发现的信息进行回收和调查等操作,在通常情况下它会与计算机犯罪等行为有着密切的关系。

来源:ZDNET安全频道 2012年2月17日

关键字: 数字取证 身份验证

  • 评论
  • 分享微博
  • 分享邮件

  ZDNET至顶网安全频道 2月17日 编译:数字取证专家联合会董事会董事埃里克·休伯将自己所知道的与数字取证有关的全部信息都列了出来:

  · 从全球范围来看,公众都已经认可对网络空间内的不法行为进行调查、保障信息安全以及实现紧急响应的必要性。

  · 在数字取证领域,已经出现了非常出色的作者和代言人。

  · 来自SANS协会的导师已经可以为政府、企业和个人在网络方面的调查提供支持。

  卡斯勒:按照维基百科给出的定义:作为科学的一个分支,数字取证的工作是对数字设备中发现的信息进行回收和调查等操作,在通常情况下它会与计算机犯罪等行为有着密切的关系。请问,你个人是如何对数字取证进行定义的?

  休伯:通常情况下来说,数字取证应该属于法律和技术的融合统一。不过,在事故响应和情报世界中也存在着相当大量的数字取证方面工作,而它们与法律制度之间并不存在直接联系。大家会发现,目前关于数字取证的定义种类非常多。而我个人给出的定义就非常简单:数字取证指的就是对数字证据进行收集、检验和提交报告等方面的处理工作。

  卡斯勒:就个人而言,我感觉数字取证仅仅只会用于刑事调查工作。但你的意思是说电子化搜寻也属于该技术的涵盖范围?

  休伯:对于传统数字取证模式来说,实际工作确实就是先利用数字取证检验员收集和分析数字证据。而接下来,检验员将会提交分析报告,来回答与对应刑事调查或者情报收集行动相关的具体问题。

  而对于电子化搜寻工作来说,采取的模式则略有不同。电子化搜寻专家仅仅负责收集和处理信息,并且或多或少会涉及到审核方面的准备工作。但他们并不负责回答调查方面的问题。这方面工作属于律师们的职责范围。

  对于希望从事处理涉及到巨量信息和复杂性方面工作的人来说,电子化搜寻就属于不仅具有挑战性而且可以获得满足的最佳岗位。但是,对于愿意从事实际调查工作的人来说,它可能就会显得不是那么特别有吸引力了。

  因此,对于希望从事将坏人投入监狱类工作的读者来说,我个人建议还是应该选择从事传统数字取证类工作。

  卡斯勒:在前面,你提到过自己曾经从事过执法领域的相关工作。请问,是什么让你决定走上成为一名数字取证专家的道路?

  休伯:我曾经在一家警察局里从事巡警类工作。但随着时间的推移,我开始对调查技术方面的内容产生了很大的兴趣,这就意味着需要作出决定。我是应该继续从事执法方面的工作,希望有一天自己可以获得数字取证方面的职位;还是通过选择加入商业公司的方式,来加快这一梦想的实现速度?

  最终,我选择了自己努力的方式,决定辞职加入一家新成立的商业公司中。它的业务重点就是数字取证和电子化搜寻方面的咨询工作。现在,我已经成为了一家大型公司的信息安全调查员,并领导着相应的技术团队。

  卡斯勒:对于希望从事数字取证方面工作的读者,你的建议是什么呢?

  休伯:我将告诉他们,如果是对将坏人关进监狱感兴趣的话,最好还是应该选择执法方面的工作。不过,我也会提醒他们。对于新人来说,即便是已经拥有数字取证方面的学位,通常也很难直接得到数字取证方面的工作岗位。

  州和地方执法机关的关注重点是街头巡逻,所以新人的第一份工作经常会是开着一辆黑白相间的警车四处游荡。只有在经历过这一阶段后,执法人员才可以提出从事专业方面岗位的申请。不过,联邦执法机关在这方面的规定就更加灵活。因此,如果希望从事此类工作的话,就应该与联邦调查局、特勤局以及美国邮政督察局等执法机关的招聘人员进行交流,了解它们各自在职业道路上的相关要求。

  而对于不希望从事执法方面工作的读者,我的建议是加入到咨询业中。尤其是对于初级数字取证检验员来说,尽管这项工作将会是非常艰巨的,但带来的奖励也会是非常丰厚的。

  卡斯勒:咋看起来,数字取证专家所必须掌握的很多技能都可以为IT管理员带来帮助。你是否同意这一点?

  休伯:对于数字取证检验员来说,我认为必备的素质应该是注重细节、坚持不懈,对技术充满了热情并且具有永不满足的好奇心。实际上,所有希望从事信息技术方面工作的人都应该具备这些优秀品质。

  反过来看,情况也应该如此。如果从事过系统和网络管理方面工作的话,就可以为数字取证领域的事业发展提供极大的帮助。因此,对于目前位于这些岗位上而又对数字取证感兴趣的读者来说,我个人的建议是在继续提高自身技能水准的同时,更多关注信息安全和数字取证领域的发展情况。

  卡斯勒:目前市面上是否有可以为企业环境下的IT专业人员提供帮助的取证工具或软件?

  休伯:这里的答案是肯定的。这方面工具的种类也非常多,可以说是无所不包,从价格高昂的企业级网络取证工具,到SANS SIFT工作站之类的免费开源工具都有。尤其让我感到高兴的是,这些免费和低成本工具的出现。它让公众们可以了解到数字取证的具体工作情况。

  卡斯勒:现在,让我们假设一下:作为一名系统管理员,如果发现了某些非法行为的迹象。这时间,正确的处理方法应该是什么?

  休伯:停下工作、隐蔽起来并马上离开。作为一名系统管理员,如果怀疑网络环境存在非法活动的话,就应该立即通知法律和信息安全部门,并等待进行处理。

  对于普通人来说,常犯的最严重错误之一就是将数字取证检验与现实情况或者要求隔离开来。系统管理员可以并且能够检测出非法活动来。一旦确认了犯罪行为的存在,正确的决定就应该是马上寻求帮助。

  卡斯勒:对于公司企业来说,在什么情况下才需要雇佣一名数字取证专家?

  休伯:如果从事的项目中包含了对数字证据进行必要的收集、分析和报告处理等工作的话,公司就应该选择雇佣一名专家。尽管看起来这象是一种假大空类的套话,但现实情况就是数字取证专家的具体作用是非常复杂的。

  所有人都不希望由于涉嫌刑事犯罪而被送上法庭,或者因为工作的专业水准不足导致被竞争对手轻松击败。因此,不论存在什么样的疑问,正确的做法都应该是马上请教专家。

  卡斯勒:如果公司希望雇佣一名数字取证专家的话,需要关注的主要因素应该是哪些方面?

  休伯:在进行审核的时间,面试者应当把实际工作经验和接受培训情况作为了解个人技能具体水准的两项最重要标准。此外,认证方面的情况也可以提供一点帮助,它确保应聘者达到了最低要求;不过,我也遇到过淘汰掉通过认证人员的现实案例。

  为了找到一名合格的专家,我们需要对应聘者个人背景进行全面审核。在这一阶段,实际工作经验就属于最重要的标准;接下来,我们还应该对教育、附加培训、著作(如果有的话)以及认证等方面的具体情况进行了解。如果应聘者还拥有执法机关和数字取证咨询方面的经验,则更是锦上添花了。

  就个人而言,我觉得从事工作相似度情况也应该属于非常重要的方面。举例来说,从事儿童色情产品传播调查的应聘者可能会非常适合处理企业资源不恰当使用问题的处理工作,但也许会很不适应从事紧急响应类处理工作所面临的挑战。

  卡斯勒:对不起。不过我还是要问一下,为什么你的网络日志会叫《一堆软件狗》?

  休伯:在数字取证领域,认证项目中经常会使用到USB软件狗(拇指驱动器)。在经历了十年的具体工作后,这一标题可以展示出我拥有的类似设备数量之多。

  以前我曾经开过这方面的玩笑,宣称自己要是撰写一本关于数字取证内容的专著,就会起名为《一堆软件狗》,以调侃克林特·伊斯特伍德执导的经典西部片《一堆钞票》(即《荒野大镖客》)。当年第一次创建网络日志的时间,我起了一个缺乏创造性到令人震惊地步的主题,《埃里克·休伯数字取证方面的日志》。现在,我决定再也不会这么做了。所以,我选择使用《一把加密狗》的绰号。

  一点额外的解释

  由于希望让文章内容显得更有深度,我试图将提问的范围延伸到数字取证涉及到的黑暗面。因此,就向埃里克提出了几个相当尖锐的问题。不过,看起来我的好运终于用完了。埃里克仅仅回答了可以说明的问题,而对于涉及到工作敏感性方面的提问,他礼貌地表示了回绝。我明白这一点的含义。并且,对于他已经做的一切,我也非常感谢。

  最后的思考

  对于埃里克·休伯这样的专业人士来说,取证属于一个相当贴切的名称。我知道自己不具备这方面的专业知识。因此,在遭遇到与取证相关的紧急事态时,我将会选择马上停下手头的工作,但会不会隐蔽起来并决定马上离开就不好说了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章