常言道:「商場如戰場」,每個企業除了戰戰兢兢經營之外,也必須要留意是否有妥善保護研發技術或與營業秘密相關的資料,以維繫競爭力不墜。倘若研發心血遭到破壞或竊取,對一個企業所造成的傷害及損失,將大到令人無法想像且難以估計。
料想不到的鐵證
警方研判這應該是由於Sandy自認具備電腦相關知識,認為對網路磁碟的檔案存取行為並不會有留下任何跡證的可能性存在,因此才如此沈著冷靜。但在R出示關鍵證據之後,Sandy頓時瞠目結舌不敢置信,良久之後,自知無法抵賴,只得和盤托出。至於這所謂令Sandy坦承犯行不諱的關鍵證據,各位接著往下看便可明白了。
Sandy供稱,她在研發部有多年資歷,但她與研發部主管素來不合,自知在被併購之後,自己恐是研發部被裁掉的首要人選,決定要另行找出路。但她心有不甘,一直在想要做些什麼來宣洩,直到在離職當天下午發現筆電還沒被IT人員收走,因此便決定下手刪掉研發部的技術文件。
但她心裡很清楚,若刪了目前研發人員常在存取的近期技術文件,那可就得冒著立刻被人察覺的風險。而若是把已歸檔的非近期技術文件給刪了,由於這一陣子IT部門正在進行伺服器汰換及資料的遷移,前兩天才陸續把一些資料遷移到新的伺服器之上。此時,她若下手把已歸檔的非近期技術文件給刪了,至少要好幾天以後,才可能會被察覺有異。屆時她早已離職多日,且從日誌查看頂多知道哪個帳號在何時有存取檔案伺服器,至於對個別檔案的存取行為,依她的理解應是無跡可循的。
而為了造成假象以掩人耳目,Sandy在那個周日下午連入檔案伺服器刪除技術文件時,刻意不使用自己原本的帳密,而是使用同事Lisa的帳密進行登入,如圖1所示。
|
▲圖1 透過同事Lisa的帳密進行登入。 |
Sandy以為神不知鬼不覺,十分篤定這樣一來便沒可能會追查到自己身上。至於為何會知道Lisa的密碼?Sandy表示因為曾受Lisa之託幫忙上傳文件之故所以知道,而且相同性質的職務及具備相同職掌的人員之間,知道彼此的密碼以便利工作配合和相互代理,在大多數科技公司也是如此。
此外,D0tc0m科技高層亦對警方表示,公司內部對於離職人員的管控也確有問題,Sandy是在周五下午辦理離職,但當天她並未交出筆電而是仍然繼續擺在辦公桌上。經查是由於IT人員不久前也走掉了一批,新進的IT人員未確實執行收回的動作所致。導致Sandy在周六及周日皆以進行交接為由返回公司,且於周日下午遂行預謀的犯行,將研發部的技術文件刪除殆盡,如圖2所示。
|
▲圖2 將研發部的技術文件刪除殆盡。 |
案情至此大致明朗,但令D0tc0m高層疑惑的是,R是憑藉什麼跡證判斷是Sandy所為,這實在是令她們百思不解,R笑著為她們說明。
首先,要能夠進入研發部門的共享資料去刪資料,必是取得具備足夠權限的帳號及其密碼,因此從該資料夾的存取權限查看哪些帳號符合便可將範圍縮小,如圖3所示。
|
▲圖3 從資料夾的存取權限找出哪些帳號符合操作資格。 |
但光憑帳號是否可直接將帳號擁有者對號入座,恐不可過於武斷,須考量是否有特殊情況,例如一台電腦是以某個本機帳號登入,但實際坐在電腦前的操作者可能非該帳號擁有者而是另有其人,會有此情況發生,往往即是因帳密已被其他人知悉所致。同樣的道理,在發現某帳號登入檔案伺服器並刪除資料,亦不必然就是帳號的擁有者所為。
因此,當R在嘗試過濾篩選可能的犯嫌時,不但要先挑出哪些帳號有權限做這件事,同時也要向人資調出現職人員以及事發日前後一個月的離職人員名單進行比對,根據其職務、職掌等等以過濾可疑人員。
最重要的關鍵證物便是事件檢視器日誌,雖然R在蒐證時就詢問過IT部門是否有啟用稽核原則(Audit Policy)以記錄物件存取行為,但當時他所得到的答案是「沒有」。加上R在與這批新進IT人員討論的過程中,察覺到他們的經驗不足,似乎不太了解公司現有的軟硬體和網路建置等詳情,因此R理解到不能盡信他們所言,得自行驗證才行。
R認為大多數有經驗的系統管理者,在建置檔案伺服器時,並非僅依要求進行資料夾或檔案的存取權限的控管,還必須妥善設定稽核原則,如此方能在檔案被存取甚至刪除時,能夠留下相關跡證以追查時間點、檔案名稱、來源IP、是何帳號所為等相關重要線索。
事實亦證明R的推測是對的,D0tc0m科技公司先前的系統管理者有盡到職責啟用稽核原則(圖4),因此才能保有Sandy刪除研發部文件的重要跡證。
|
▲圖4 啟用稽核原則。 |
至於刪除檔案的犯行究竟是哪個帳號所為,R一開始也差點被誤導,但在比對過檔案伺服器的安全日誌中的來源IP、主機名稱,以及當天下午Sandy及Lisa的電腦的使用情況後,研判出是Sandy於自己的筆電上以Lisa帳密存取檔案伺服器以進行刪除檔案的結論。
數位鑑識分析
現在便給各位看一下周日天下午,稽核原則在檔案伺服器上所捕捉到的檔案存取記錄。