相对于其他证据形式,电子数据证据是伴随着计算机和互联网的发展而出现的新的证据形式,其应用于司法实践的时间较短,与之相伴的电子数据取证的历史也比较短。虽然电子数据取证是个新事物,但其发展速度却可以称为突飞猛进,也较之一般的技术发展历史要更为复杂。本文从“人、目标、工具、组织和社区”这些元素简单回顾电子数据取证的历史发展。
一、国外电子数据取证历史
我们先看一下以美国为代表国外电子数据取证的历史,整个电子数据取证到目前的发展历程可以分为四个阶段:史前、婴儿期、童年期和青春期。
1. 史前期( - 1985)
史前期还没有电子数据取证之类的概念。从20世纪60年代到20世纪80年代初的计算机主要是用于工业和研究的设备,这阶段计算机的主要使用者是专业的技术人员,主要功能是进行数据处理,所以在案件中很少出现计算机的身影。因此这段时间没有专门的取证技术和专业人员。
美国的高级反计算机犯罪专家Donn B·Parker在1976年出版的《计算机犯罪》一书,可能是第一次描述了使用数字信息来调查和起诉在计算机帮助下犯下的罪行。这一时期内,美国国防部、国税局和联邦调查局等组织成立了由志愿者组成的特别小组,特别小组成员一般是系统管理人员,他们使用计算机系统的审计数据来发现资源滥用的行为。
2. 婴儿期(1985-1995)
IBM PC在20世纪80年代初的问世,以及同时各种商业软件的发行,促使了计算机用户数爆炸式的增长。这阶段的用户的水平比较高,开始能够编写一些程序直接访问系统的内核。这个阶段开始出现系统性的计算机犯罪行为,包括病毒、盗版等。
早期计算机用户里也有各种组织的执法人员,他们的很多人成为第一批致力于数字取证的组织ICAIS(“计算机调查专家国际协会”,International Association of Computer Investigative Specialists)的成员。这阶段关于计算机在刑事调查中的作用已经为越来越多的专业人员所认识。1993年,美国联邦调查局在弗吉尼亚州匡蒂科联邦调查局举办了第一届计算机证据国际会议,来自26个国家的代表出席了会议。在这次会议上,大家一致认为,需要在机构一级进行联合,以协调工作,分享经验并相互提供帮助。1995年,第二次会议在巴尔的摩举行,国际计算机证据组织(IOCE)成立。
这段时间还缺乏比较系统的专业取证工具,主要是相关人员自行研制的一些命令行工具,比如IRS Utilitie、Maresware、IACIS Utilities和RCMP Utilities,这些工具多半是用于解决特定数字取证问题的工具,比如镜像或者识别删除的文件。同时一些商业的非为取证设计的工具产品也是取证调查人员的主要工具,比如Norton Utilities和PC Tools等。Chuck Guzis于1991年开发的SafeBack,可能是第一款商用数字取证产品,主要用来获取证据的取证镜像。
这阶段还没有专门的电子数据取证实验室的概念,调查人员依靠手里的工具和设备在任何可能的场所开展工作,这也与传统的以实验室为基础的法医科学实践直接冲突。但是,一些机构确实看到了数字取证能力的需要。美国国税局的SCERS计划,美国特勤局的ECSAP计划,联邦调查局的CART以及美国空军的CCI计划等最终成为国防计算机取证实验室(DCFL)的成员。
除了IACIS之外,许多基层组织也在积累知识、资源和人才。在美国中西部地区,计算机技术专家取证协会(FACT)提供了培训机会,形成了地理上分散的从业者网络。在巴尔的摩地区,FBI、美国特勤局、马里兰州警察和巴尔的摩县警方的取证从业人员成立了一个名为“携枪极客”的特别组织。在英国,在警察协会(ACPO)的主持下,许多执法机构的执业人员组成了取证计算组织(FCG)。
在这个阶段,高科技犯罪调查协会逐步成型。这阶段的培训基本上是由上述的部分机构和组织提供,学术界几乎没有对这个领域发生兴趣。
3. 童年期(1995-2005)
这10年是电子数据取证重要的发展时期,主要由以下三个因素驱动:
第一个因素是技术爆炸。计算机无处不在,手机变得至关重要,因特网成为世界的中枢神经。
第二个因素是儿童色情案件的不断出现。这可以追溯到1993年的George Stanley Burdynski, Jr.案。调查显示,计算机被用来传输未成年人的非法图像。十年后在联邦调查局半数的办公室中有一个独立的儿童色情特别工作组;许多其他执法机构也经营自己的工作队。这种“新”违规行为导致数字证据数量不断增加,并成为数字取证成长的主要驱动因素
第三个因素是2001年的911事件,虽然计算机在劫持事件里几乎没有直接的发挥作用,但是调查人员在世界各地的计算机上找到大量证据,证明恐怖分子像其他人一样大量使用了计算机。伊拉克和阿富汗战场上的情况也证明了这一点。这使得美国情报界、执法部门和军方意识到数据取证能力是一个需要立即关注的盲点。
这一阶段,电子数据取证开始成为专业技术领域,从业人员往往都是受过专业培训的专业人员。随着数量的增加、技术的复杂性和法律的审查,仔细选择和培训数字取证从业人员变得越来越重要。数字音频、视频和嵌入式设备(如手机)等的取证与传统存储介质和以网络为重点的取证不同,需要特定的知识和培训。即使是这两个领域在一定程度上也开始出现分歧,因为对网络入侵的研究变得越来越复杂。数字取证学科开始由政府机构和专业组织推动,而不是由个人推动。
1999年到2000年,IOCE、G-8高科技犯罪小组委员会和SWGDE (Scientific Working ·Groupon Digital Evidence, 数字取证科学组)都发布了数字取证原则。ASCLD/LAB (美国犯罪实验室主任协会暨实验室认证委员会)和SWGDE合作把数字证据学确认为实验室学科。2004年FBI的北德克萨斯计算机取证实验室成为第一个获得ASCLD/LAB认可的数字取证实验室。
同时,取证工具也由过去的简陋复杂的命令行工具华丽变身为GUI界面的工具集。首先就是EnCase、FRK等新一代取证商业工具的出现,美国政府也开发了一些工具,比如FBI的ACES和IRS的iLook。同时开源的取证工具如:Helix、Sleuth Kit和Autopsy都是在这一阶段开始开发并发展至今。
数字取证社区也在成熟起来,各种机构都开始提供取证服务。美国国防部建立了DCFL(国防部计算机取证实验室),为美军执法、情报和作战提供服务。FBI开始建设一个联合联邦、州和地方的联合实验室RCFL,并按照ASCLD-LAB标准运行。美国特勤局建立了一个电子犯罪特别工作组网络,提供取证服务。
4. 青春期(2005- )
自2005年以来,电子数据取证的深度和广度不断扩大。它拥有更多的从业人员,支持更广泛的种类的检查,支持更多的证据。2006年美国法院通过新的民事诉讼规则,将电子数据界定为新的证据形式,并实行名为“电子发现”的强制性系统处理电子证据。同时电子数据证据也越来越多,仅2007年FBI就宣布其计算机分析和响应小组(CART)检查的证据就超过2.5PB。
越来越多的信息安全专业人员意识到数字取证是核心技能,学术界也开始大力拥抱电子数据取证,相关学术课程在全球范围不断涌现。行业会议如DFRWS(数字取证研究工作组)、IFIP的数字取证工作组11.9和SADFE(数字取证工程系统方法)每年都吸引大量关于数字取证的论文。
这一阶段,各种取证套件(如EnCase和FTK)已经进入网络/企业环境,正以企业安全和电子发现的目的在企业里进行部署。同时这些工具也在新兴取证环境,比如虚拟化、存储区域网等环境下工作,高速网络被用于调查人员和司法人员在线审查数据。
但2010年以来,移动互联网和大数据等技术的发展,以及各国纷纷立法保护网络隐私,电子数据取证技术迎来巨大挑战。面对加密、云计算、大数据等技术手段,传统电子数据取证技术遭遇巨大困难,传统技术手段无法有效解决新形势下电子数据取证困境,电子数据取证技术亟待升级。
二、我国电子数据取证发展概况
与国内计算机和网络技术发展相应,国内电子数据取证领域的发展呈现一个起步较晚,但发展迅猛的过程。国内电子数据取证领域不像国外那样可以明显划分为多个时期,但大致可按照时间顺序进行描述。
国内对电子数据取证产品和技术的需求首先产生于执法部门。2001年我国从针对黑客入侵取证开始引入计算机取证技术,并逐步发展为针对计算机、网络、移动终端等方面的电子数据的取证。
国内初期的电子数据取证产品主要以计算机取证产品(现场取证和介质分析系统)为主,辅助以各种网络和安全的工具。
从2006年开始,专门针对手机取证的产品开始在市场上出现,早期的手机取证产品以逻辑获取为主,后期针对中国的山寨机,内置了山寨机字库提取分析模块,在很多案件的实际应用中打败国外手机取证软件,成为执法人员标配的设备。
从2008年开始,国内多家电子数据取证产品供应商都开始提供自主研发的电子数据取证产品,呈现百花齐放的态势,国产自主知识产权的产品开始挤占国外进口产品的市场空间,在绝大多数电子数据取证市场上完全替代了国外产品。
我国早期电子数据取证基本上以单兵设备为主,从2004年开始,各地开始从无到有建设电子数据取证实验室,实验室的发展也改变了执法部门的工作方式,从重视侦查环境的“现场勘验”,逐步到重视证据的“检验鉴定”。2008年公安部网络安全保卫局颁布《公安机关网安部门电子数据检验鉴定实验室能力和装备分级标准》,第一次对各级公安机关的电子数据取证能力提出了分级要求和装备标准。2010年以来,实验室装备向着集成化和系统化方向发展,多接口、多功能的一体化取证设备开始应用于实验室。同时实验室采用集中存储,分布式处理的思想进行升级改造。
2012年以后,刑诉法、民诉法和行政诉讼法均明确电子数据证据作为独立的证据形式。应用电子数据取证技术的执法行业由原先以公安的网安部门为主,演变为各个执法部门都采用电子数据取证技术来为执法保驾护航。
三、我国电子数据取证行业发展趋势
1.从“事后取证”向“中期研判”、到“前期采集”发展。
电子数据证据的获取时点呈现越来越前置的趋势,这种趋势可以帮助调查部门在案件侦破以至事前预防工作中发挥越来越大的作用。国内的电子数据厂商纷纷投入研发包括面向前期的数据采集产品(手机数据采集、计算机数据采集、暴恐/非法内容检测产品)、面向中期的大数据研判平台等。未来将形成融合前期采集、中期研判、后期取证的各类产品,形成关于数据安全全生命周期的统一解决方案
2.取证对象种类越来越多,呈现百花齐放的局面。
大数据、云计算、嵌入式已经无处不在的传感器技术,使得今天的数据源无处不在,取证对象的种类和数量较传统提高了几个数量级。目前来自云端、暗网、IoT、智能汽车以及其他智能设备的取证需求不断出现,国内电子数据取证厂商都在这些新的取证方向探索,部分厂商如美亚柏科已经推出包括汽车取证系统、暗网取证系统、无人机取证系统等新形态的商业化电子数据取证设备。
3. 反取证技术和隐私保护带来挑战。
加密、匿名、隐写等反取证技术在互联网上唾手可得,给电子数据取证工作带来很大挑战。同时由于隐私保护等原因,终端和操作系统厂商,特别是移动终端和移动操作系统(iOS、Android)厂商纷纷加大了数据保护力度,电子数据取证已经演变为取证厂商和设备厂商之间的安全对抗。部分国内电子数据取证厂商如盘古石,已经借力成熟的安全技术,使用“漏洞”思维解决电子数据取证对抗问题。
4.综合取证技术是未来发展方向。
电子数据证据以各种形式存在,不再是单一的“数据孤岛”,传统单一型的电子数据单兵工具无法统一处理案件各种电子数据证据,也无法统一处理案件过程中各个阶段的电子数据取证要求。取证厂商目前都在研发结合各种电子数据取证技术、安全技术、数据分析技术、管理系统于一体的综合取证产品,结合业界最合适的技术,来为电子数据取证保驾护航,最大可能获取案件涉及的电子数据证据,为案件侦破服务。
5. 取证大数据平台应用于实战。
涉案数据越来越多,以及跨案件数据的研判是给电子数据取证带来新的挑战及机遇。取证设备厂商都在研发相关产品,根据数据全生命周期管理的实战需要,在开源大数据软件的基础上定制化自身需要相关软件功能,研发取证大数据平台,并在平台的基础上结合公安办案工作实际需求,打磨技战法,构建大数据综合研判系统服务于实战应用。
作者:李毅,系北京奇安信科技有限公司盘古石取证团队成员
(本文刊登于《中国信息安全》杂志2019年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。