DaaS是雲端運算的新服務,利用伺服器的硬體效能提供虛擬桌面給使用者操作,使用者只須以精簡型電腦便可存取及使用虛擬桌面。虛擬桌面為企業帶來許多益處,但也對傳統鑑識方法帶來極大挑戰。為了使鑑識人員可以在面對虛擬桌面時有效地進行數位證據的收集和獲取,本文介紹處理數位證據的程序以及進行虛擬桌面之數位證據獲取的方法。
綜上所述,資安部門應該採取的策略為對該台電腦進行Live-Forensics,並透過vSphere Client軟體進行虛擬桌面的數位證據採集。
資安部門進行數位證據的獲取方法分別為利用FTK Imager對電腦進行Live-Forensics,以及透過vSphere Client軟體裝載Helix光碟進行虛擬桌面的Live-Forensics,包含記憶體、硬碟等數位證據採集,並傳送至收集資料的設備上,這兩個獲取過程如圖8和圖9所示。
|
▲圖8 利用FTK Imager進行硬碟的邏輯萃取。 |
|
▲圖9 在vSphere Client安裝Helix進行獲取程序。 |
除此之外,若是虛擬桌面處於關機狀態,可用之前所提的vCenter Standalone Converter進行虛擬桌面數位證據獲取,亦可透過vSphere Client進行該虛擬桌面資料存放區的瀏覽,並複製及儲存至其他儲存裝置上。
進行完數位證據的獲取後,必須先做好數位證據的保存,並利用雜湊函數進行相關的驗證。資安部門人員在獲取到的數位證據中,發現在甲君的電腦內沒有任何與舉發信件中機密資訊相關的檔案,也沒有使用電子郵件的紀錄。
但在虛擬桌面的硬碟中確實找到相關的檔案,如公司內部的財務報表和研發成果等PDF檔案,並且發現Outlook寄件備份夾中有一份寄給其他公司的信件。
資安部門也觀看了寄送時間以及Event DB中該虛擬桌面的啟動與登入時間、帳號及連線IP,發現確實是由該經理的電腦IP和帳號進行登入,如圖10所示,由種種證據確定甲君將公司內部資訊告知他人,因此資安部門立即將鑑識報告給予公司高層和執法人員,使執法人員有足夠證據可以進行逮捕甲君的行動。
|
▲圖10 Event DB記錄登入時間、IP及帳號。 |
結語
虛擬桌面為目前越來越受到重視且運用的技術,企業和組織都會利用虛擬桌面達到節省成本以及有效利用硬體的目的。雖然虛擬桌面為企業帶來許多利益,但虛擬桌面也為鑑識人員帶來極大的挑戰。本文採用國際處理數位證據的準則進行虛擬桌面之證據獲取程序,並說明在各種狀態下鑑識人員應當採行的程序和方法,提供鑑識人員面對虛擬桌面時的數位鑑識程序及方法,讓鑑識人員能夠取得最完整的數位證據。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>