用電腦鑑識為企業保全網路犯罪現場

刑事案件有犯罪偵查員作相關跡證的採樣與保存，但隨著網路犯罪的盛行，不論是政府、企業甚至是一般人，面對這種新型的犯罪型態，往往是束手無策。對於資安事件的電子證據採樣與保存，在臺灣不論是政府的軍、警、調人員，或者是企業的法務或IT部門同仁，都可以透過取得電腦駭客鑑識偵查員的認證（Computer Hacking Forensic Investigator，CHFI），了解完整鑑識流程，做到最好電子跡證的保存。

電腦駭客鑑識偵查員的認證是由EC –Council推出的，在臺灣總代理是翊利得資訊，包括翊利得資訊、資策會都有開CHFI的課程。資策會數位教育研究所資技中心組長吳念祖表示，因為CHFI是EC-Council道德駭客認證（CEH）的進階認證，為了滿足資安技術人員的進階需求，從3年前剛推出的1年1班，到最近的1年3～4班。顯見，資安技術人員也開始意識到，資訊安全不能只作一半。

鑒真數位資深鑑識顧問黃敬博，長期在資策會教授CEH和CHFI認證課程。他認為，企雖然對於「資安鑑識」感到陌生，但其實很多企業早已經與鑑識沾上邊，例如，企業有智慧財產或專利資料外洩時，除了找律師準備提出訴訟外，企業也會找熟悉的系統廠商協助保全相關的犯罪跡證。

吳念祖表示，目前有很多軍警調職執法人員和工作上有接觸安全的資安人員、稽核人員、安全專家、網站管理者或網站架構整合者，都會來考取CHFI這張資安技術進階課程的證照。但黃敬博認為，「企業的法務人員，則是另外一群可以進一步了解資安鑑識流程的專業人士。」

目前資策會推出的CHFI 是2007年7月推出的3.0版，整個課程主要是從觀念、法規、Lab實作、流程、程序完整了解鑑識過程。因為所有的鑑識都與系統與網路相關，黃敬博也建議，若要更容易取得CHFI認證，除了官方規定必須先取得CEH認證外，他認為，事先取得微軟MCSE、Linux的LPI 1、思科包括CCNA、CCNP以及CCSP網路與資安認證，也有助於取得CHFI認證。

CHFI是1個5天的課程，認證課程面向較廣，首先是了解何謂鑑識，從基本設備、鑑識實驗室的環境規畫等；再者，就得先了解檔案與系統格式，才知道怎麼把已經被刪除或消失的證據找出來。接下來，鑑識人員就得知道如何按部就班做鑑識，並了解進行鑑識時，所有會發生的困難與挑戰。而怎麼寫鑑識報告，甚至進一步成為法庭上的專家證人，也都會在CHFI的篇章中詳細介紹到。

由於目前儲存裝置和手持設備的多元與複雜，連PDA、iPod還有黑莓機都有專章介紹如何進行鑑識。至於在鑑識工具的介紹篇章中，黃敬博表示，目前最常使用的鑑識軟體EnCase，有授權EC-Council推出CHFI的課程光碟，所有蒐證過程與內容都包含在課程光碟中。其他課程中教授的著名鑑識工具，包括Helix和其他Linux的鑑識工具。目前CHFI可以透過VUE及Prometric報名考試。

中華電信資安技術研發組組長李倫銓已取得CEH和CHFI兩張認證，他認為這是非常偏實務的資安認證考試，不過，CHFI考的人較少，除了CEH的門檻外，英文程度也是另外的門檻。文⊙黃彥棻