如果有未經(jīng)授權(quán)的入侵者入侵了你的網(wǎng)絡(luò),且破壞了數(shù)據(jù),除了從備份系統(tǒng)中恢復(fù)數(shù)據(jù)之外,還需要做什么呢?
從事網(wǎng)絡(luò)安全工作的人都知道,黑客在入侵之后都會(huì)想方設(shè)法抹去自己在受害系統(tǒng)上的活動(dòng)記錄。目的是逃脫法律的制裁。
而許多企業(yè)也不上報(bào)網(wǎng)絡(luò)犯罪,其原因在于害怕這樣做會(huì)對(duì)業(yè)務(wù)運(yùn)作或企業(yè)商譽(yù)造成負(fù)面影響。他們擔(dān)心這樣做會(huì)讓業(yè)務(wù)運(yùn)作因此失序。更重要的是收集犯罪證據(jù)有一定困難。因此,CIO們應(yīng)該在應(yīng)急響應(yīng)系統(tǒng)的建立中加入計(jì)算機(jī)犯罪證據(jù)的收集與分析環(huán)節(jié)。
什么是“計(jì)算機(jī)犯罪取證”?
計(jì)算機(jī)取證又稱為數(shù)字取證或電子取證,是指對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為利用計(jì)算機(jī)軟硬件技術(shù),按照符合法律規(guī)范的方式進(jìn)行證據(jù)獲取、保存、分析和出示的過程。從技術(shù)上,計(jì)算機(jī)取證是一個(gè)對(duì)受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解,以及對(duì)整個(gè)入侵事件進(jìn)行重建的過程。
計(jì)算機(jī)取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個(gè)階段。物理證據(jù)獲取是指調(diào)查人員到計(jì)算機(jī)犯罪或入侵的現(xiàn)場(chǎng),尋找并扣留相關(guān)的計(jì)算機(jī)硬件;信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件,日志等)中尋找可以用來證明或者反駁的證據(jù),即電子證據(jù)。
除了那些剛?cè)腴T的“毛小子”之外,計(jì)算機(jī)犯罪分子也會(huì)在作案前周密部署、作案后消除蛛絲馬跡。他們更改、刪除目標(biāo)主機(jī)的日志文件,清理自己的工具軟件,或利用反取證工具來破壞偵察人員的取證。這就要求我們?cè)诜慈肭值倪^程中,首先要清楚我們要做什么?然后才是怎么做的問題。
物理取證是核心任務(wù)
物理證據(jù)的獲取是全部取證工作的基礎(chǔ)。獲取物理證據(jù)是最重要的工作,保證原始數(shù)據(jù)不受任何破壞。無論在任何情況下,調(diào)查者都應(yīng)牢記5點(diǎn):(1)不要改變?cè)加涗洠?2)不要在作為證據(jù)的計(jì)算機(jī)上執(zhí)行無關(guān)的操作;(3)不要給犯罪者銷毀證據(jù)的機(jī)會(huì);(4)詳細(xì)記錄所有的取證活動(dòng);(5)妥善保存得到的物證。如果被入侵的計(jì)算機(jī)處于工作狀態(tài),取證人員應(yīng)該設(shè)法保存盡可能多的犯罪信息。
新聞熱點(diǎn)
疑難解答