Windows系統須於設定檔的協助下方能有效運作,使用者任何的操作行為都可能在系統上留下蛛絲馬跡,透過鑑識工具一系列的操作,可在確認外洩標的後,進一步查探資料外洩的途徑,還原外洩事件的原貌。
許多安全事件諸如摩根大通、Adobe以及Sony均顯示了資料外洩(Data Leakage)將對經濟及社會層面帶來高度的影響,美國及歐洲政府已經意識到這些影響,而且開始引入了安全漏洞通知法。
台灣與此相關的新聞,當屬2013年國內手機業者爆發的手機設計圖洩密案,洩密案的發生不僅影響業者的產品上市時程,更使其於大陸市場的反攻受挫,這類資安議題不僅引起大眾的關注,也揭示了企業未來在資料防護的長遠道路。
資料外洩的議題說明了電腦系統於今日各大領域的廣泛使用,網路不法份子亦趁機攻擊重要的電腦基礎設施,以獲取或是非法使用機密資訊。員工的倫理道德開始受到企業組織的重視,因為電子文件的存取、轉發以及竄改皆異於傳統的書面資料,而且甚少留下人為操作的痕跡,這讓組織機密文件的保護防不勝防。每當電腦裝置發生案件過後,就必須啟動調查流程查找證據,以揭示電腦上所發生的事件經過,幫助法院確認嫌疑人有罪與否。
任何的電腦系統皆以作業系統為基礎,其中一個為人所熟知且最常使用的是微軟的Windows,這也使其成為最常遭受攻擊的作業系統。在Windows平台裡,有許多區塊可以幫助調查人員投入案情分析,Windows設定檔(Registry)屬於其中一個有效來源,可以提供許多潛在性的證據,諸如使用者帳戶、URL網址、分享過的網路、運行過的命令等資訊皆儲存於此。
調查人員可以從中萃取一些有用資料以協助調查,例如使用者最後存取的網站、插入裝置的型號等其他相關資料,這些資料必須被萃取、分析,並且在鑑識的角度下評估,由於Windows設定檔內含大量的證據性資訊,使其成為數位鑑識裡的重要證據來源。
對於資料外洩所帶來的環境挑戰,可以假想此議題發生於最常見的Windows系統平台上,而後在鑑識工具FTK Imager的輔助下留存系統狀態,將其製成映像檔,接著使用RegRipper軟體產出使用資料報告,確認標的檔案是否在近期內曾遭存取、寫入。最後,在Registry Viewer的協助下,檢視系統設定檔所蘊藏的詳細內容,追蹤檔案外洩的可能路徑。
了解背景知識
本文將從資料外洩的現象開始談起,而後介紹Windows設定檔的基礎知識,最後再介紹與本文有關的軟體工具。
資料外洩
資料外洩意指敏感性資料揭露於不可信任的一方,此類事件的發生可能是無意或者是有意,儘管企業組織擁有著安全評估以及傳統技術方法,例如防火牆、入侵偵測系統等,資料外洩的事件依然層出不窮,伴隨著電腦系統發展至今的廣泛使用,資料外洩已經有著深遠的歷史,而且距離問題的解決還有一段長遠的發展。
組織內部人員所造成的資料外洩可歸類為幾種不同的犯罪類型,包括個體識別資訊的竊盜(可用於後續詐騙行為)、智慧財產權的竊盜,或者將敏感訊息傳送給未授權的第三方等。
資料外洩共可分為三個階段:(1)獲得存取權限、(2)下載資料、(3)資料分享。資料外洩的常見動機主要為報仇或者獲利,而且有時與組織外部人員合謀進行。學者McCormick針對此類威脅,提出幾項潛在的技術及管理控制,包括卸除式儲存媒體的加強控制、使用資料外洩防護工具,以及培訓員工如何處理敏感訊息等。
針對資料外洩的資料存取行為,另有其他學者提出不同的解決方案。學者Mathew提出了存取模式化的方法,藉此瞭解正常存取以及異常存取的不同態樣,因而減輕了資料庫訊息的內部威脅。學者Aleman-Meza則是專注在合法檔案存取的議題,也就是確保員工只能存取他們所需知道的訊息。
Windows設定檔
設定檔是一個集中階層化的資料庫,用於儲存系統配置的必要資訊,這些資訊與單一或數名使用者、應用程式以及硬體裝置相關,Windows作業系統利用設定檔來決定每一位使用者和硬體元件的存取許可,這對系統穩定及系統運作來說顯得重要。
設定檔內的登錄檔以及組態資訊,在電腦鑑識調查中顯得相當重要,因為它們可以幫助識別裝置上所發生的活動,設定檔不僅以專有的形式儲存,而且只有專屬的工具能夠有效地從中存取資訊,多數的使用者和管理人員並不直接與設定檔進行接觸、互動,而是透過某種圖形化使用者介面,例如登錄編輯程式。
當談論到設定檔時,能有一致的理解和認識是相當重要的,彼此都清楚所指的是設定檔的哪一個區塊,方可避免溝通上的混淆和誤解。如圖1所示,Keys與Subkeys是顯示於編輯器左側儀表板的資料夾,右側儀表板的數值(Value)則包含了資料(Data)及其所屬型態(Type),可能為字串值、多重字串值、二進位數值等。