信息来源:
www.iselong.com
2002年10月底,Enterasys公司网络安全设计师Dick Bussiere来华访问,并就目前国际上的网络安全的热门话题——计算机取证,进行了专题演讲。本报记者趁此机会采访了他。
记者:什么是计算机取证,它是怎样产生的,能给我们带来什么好处?
Dick Bussiere简历
Dick Bussiere是Enterasys公司CTO、办公室网络安全设计师,他负责规划Enterasys公
司的整体安全架构战略,同时担任IEEE 802.1和IETF标准组织的成员。
Dick Bussiere:在电脑网络犯罪手段与网络安全防御技术道高一尺魔高一丈不断升级的
形势下,单靠网络安全技术打击计算机犯罪不可能非常有效,因此需要发挥社会和法律的强大威力来对付网络犯罪,电脑辨析学正是在这种形势下产生和发展的,它标志着网络安全防御理论的成熟。计算机取证(Computer Forensics)也称计算机法医学,它是指把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。
据美国CSI/FBI 2002安全调查表明,信息盗窃、金融诈骗、内部人士网络滥用、病毒等
电脑犯罪所造成的损失总计 4.555亿美元,同2000年相比上升了58%。计算机取证对于起诉这类犯罪行为至关重要。因为,在攻击事件中,如果没有证据证明所发生的情况及所造成的破坏的细节,公司在选择通过法律途径起诉攻击者的时候就没有充实的法律追索权。
记者:实施计算机取证对于我们有什么实际意义?
Dick Bussiere:在目前的网络安全形势严峻的情况下,实施并推广计算机取证具有十分
重要的意义。据2000 年 3 月美国出版的《电子隐私信息中心论文》资料显示,1992 年以来
,向联邦检举法官提交的各种电脑犯罪案件数量增长了三倍,但实际起诉的案件数量却没有变化。原因就在于,因为取证棘手,很多案件由于证据缺乏而放弃起诉。如果采用电脑辨析学方法,组织各方面人力进行调查取证,搜寻确认罪犯和犯罪事实并进行起诉,就可以从根本上杜绝这类犯罪,并为企业挽回损失。
记者:其中最大的困难或者问题在哪里?
Dick Bussiere:在实施电脑辨析学方面,现在遇到的最大挑战是,用户需要转变其网络
安全观念,重新认识网络安全攻防的现实。首先,用户必须承认,电脑是计算机罪犯的犯罪现场。以前,在太多的情况下,系统管理员发现网络遭受到攻击和破坏后,由于急于确认攻击怎样出现并重建系统,往往破坏了证据。因此,必须把尽快恢复上网的需要同故障所造成的危害和损失的严重性进行权衡比较。其次,用户也要克服对电脑犯罪进行报告时的犹豫心态,不要因为担心损害企业的声誉而对所受到的网络攻击隐瞒不报。第三,需要有主管人员专门负责实施计算机取证工作,主管级人员必须理解,他们有责任保护其公司免受所面临的各种危险的影响。
记者:如何正确实施计算机取证?
Dick Bussiere:针对网络攻击事件,应收集的证据包括:系统登录文件、应用登录文件、AAA登录文件 (比如 RADIUS 登录)、网络单元登录(Network Element logs)、防火墙登
录、HIDS 事件、NIDS 事件、磁盘驱动器、文件备份、电话记录等等。在对付网络攻击的时
候,采用入侵检测系统对网络攻击进行监测是必要的。入侵检测系统可以告诉您,件已经
发生, 并协助您确认犯罪者。
公司的 Dragon 、ISS 公司的RealSecure和思科的 Secure IDS (NetRanger
)等都是典型的入侵检测系统,可以进行在线防御战的二级渐进式分析(Secondary Heuris
tic Analysis)。
依靠计算机取证对付网络犯罪时,进行证据存储非常重要,因为电脑证据非常脆弱,很
容易被修改。现在有一些非常好的辨析程序,可以使取证过程更容易,包括Guidance Softw
are 公司的 Encase Professional、Sydex Corporation公司的 Safeback等。
记者:在取证过程中,哪几点需要格外注意?
Dick Bussiere:在对网络攻击进行电脑辨析学的调查时,尤其要注意保护证据。在调查
之前,首先,要确保得到严格批准后再开始调查;然后应尽快通报适当的人员,并进行法律解决;在移动或拆卸任何设备之前都要拍照;在调查中要遵循两人法则,以防止篡改信息;应记录所采取的所有步骤以及对配置设置的任何改变,要把这些记录保存在您可以找到的安全地方;在必要时要关闭电脑,这时,拔掉插销是最好的关机方法,虽然这样做可能会导致损失一些 RAM,但这种方法对PC机最有效,不过,这种办法在大型企业系统中要谨慎采用;电脑关闭之后,应该把它搬到一个限制进入的安全地方;电脑应该用DOS启动磁盘启动,别使用可疑的硬驱动机启动。
