廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3882 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
資訊安全事件. 滿不錯的文章與大家分享
資訊安全事件. 滿不錯的文章與大家分享
http://crazygo.net/Hyperweb...ost/22.aspx

2003/8/11  

文 / 吳佳翰

三天前,我們接到來自這個資料處理中心的請求,希望能派人支援調查每週末發生的神秘攻擊事件。根據報告,位在主機房後方的兩台伺服器主機,會在每星期五晚上9點左右莫名其妙地自動重新開機,情況已持續了三個星期之久。這兩台主機負責處理大量的線上報稅資料,每日處理的資料數以百萬筆。連續幾次非常態開關機所引發的後果非常嚴重,換來的是數十通的抱怨電話及系統人員數夜不眠不休。雖然有規劃所謂的備援系統,但備援系統啟動的時間差總是不能盡如人意。近10秒的空窗期,將近百人的稅務資料內容受到影響。在天氣不好,用戶不願外出的情況下,上線的人更多,受影響的人也就越多。

我們檢查了所有網路設備,系統的事件記錄及硬碟上的殘缺資料,花了將近三天的時間作資料整理及判讀,試圖從其中找出一些脈絡。這次的調查,被攻擊的標的明確,侵入時間點也固定,其實資料判讀的工作並不算困難。對我們來說,將這些歸納出來的資料給證據化反而是最具挑戰性的工作。哪些算有效證據、哪些不算,都必須經過很審慎的討論,才能將方向定案。

美國司法界對於電腦證據的認定一直頗有爭議。根據最佳證據法則(Best Evidence Rule)的定義,除非原始證據因不可抗力之理由而無法取得,否則所有在法庭提出的證據必須是原始證據。所以電腦證據在本質上其實並不符合最佳證據的描述,它可以被複製,可以被偽造,而且它既不是直接證據(Direct Evidence),也無法自我解讀(Self-explanatory)。為了彌補電腦證據在先天上的缺陷,美國司法系統傾向對其作從寬的認定。認為電腦證據在本質上雖屬於不能為法庭所採納的傳聞證據(Hearsay),但實務上,只要符合必須是自動化產生而無人力介入,必須是每日或每月例行產生而非針對特殊事件產生等幾項要點,即可被視為是可以接受的例外情況。

雖有從寬的認定,但為了更加強電腦證據在法庭上的效力,美國聯邦政府訂定了非常嚴謹的證據搜集程序,不允許在過程中有任何暇玼。道理再簡單也不過─只要是毒樹上長出來的蘋果,必然有毒。任意在法庭上使用毒蘋果的代價奇高,一旦法庭認定證據的搜集程序有暇疵,證據即不被採納,因耗日費時的調查過程很可能會功虧一簣。

我們在證據的認定及處理上非常小心翼翼,步步為營,誰也不敢掉以輕心。未經授權而進入聯邦稅務資訊系統是聯邦重罪(Federal Felony),一旦確認稅務資訊系統確實遭受攻擊,必須立刻通知執法機關來接手整個調查,而我們所搜集及分析的資料必須全部提出,作為主要調查方向的指引及定罪的證據之一。

在經過的三天的分析及反覆討論後,我們發現事有蹊蹺,因為沒有任何記錄顯示系統曾有被入侵或攻擊的情事發生。我們確定神秘重開機事件與外來不速之客無關,亦即重開機的指令並非自遠端透過網路而下,反倒像是有人潛進機房將這兩台主機的電源強行關閉、重新打開。我們隨即想到安裝在機房天花板四個角落的監視攝影機,便要求調閱事件發生當時的機房監視錄影帶及人員進出記錄。

我們看到的是三個星期前的錄影帶,畫面上兩台機器兀自在角落忙碌著,硬碟LED不斷閃爍。但當畫面時間顯示9:01分時,怪事發生了,兩台並列的主機的電源燈及液晶面板在同一時間一起熄滅,然後再度同時亮起。我們的判斷沒錯,這兩台機器的電源在同一時間被關閉,然後重新啟動。只是,機房內空無一人,其他的機器也運作如常。我們面面相覷,這已經不是一般的資訊安全事件,反倒有點像是靈異事件。

資訊長要求提出詳細報告,靈異事件絕對拿來不能當作答案。所以我們選定週未,在內外佈下重兵及重裝備,決定查個水落石出。

在守候了近四個小時之後,在9:02分時,沒有預警的,神秘事件再度重演,毫不讓人失望。但所有數據及記錄顯示,在系統重新開關機之前,內外一切作業如常,我們癱在座位上,完全找不到任何頭緒。主機房打來一通電話,Tim 說:他自己一人在主機房,背脊發涼,想回到控制中心與大家在一起。

我們處理過大大小小不同的資訊安全事件,從阻斷服務攻擊、追蹤外來駭客到磁碟片的資料修復。無論何種事件,只要是以電子形式發生的,我們多能歸納出脈絡,拼出全貌並追蹤來源。但這一次算是遭逢挫敗,我們決定先行打道回府,明日再戰,先讓系統人員進行損害評估及修復的工作。

當我們精疲力竭地經過大樓警衛值班室時,老先生Jeff 心疼地看著我們,說: 「看來你們都需要一瓶冰啤酒輕鬆一下… 」

我們只覺得好笑,這方圓20哩之內無任何人煙,隔壁大樓的餐廳也早已關門,那裡找得到冰啤酒。只見Jeff彎下腰,打開了他放在腳邊的小冰箱,笑咪咪地拿出一打啤酒,說:「我自備了冰箱,三個星期前我女兒買給我的。」我們看到那三分之一人高的冰箱,電源線直接連結到角落電腦設備專用插座。才知道過去兩天來費力尋找的答案就在Jeff 腳邊。

原來在週未值班的 Jeff 為了方便起見,決定在星期五當天便把週六及週日的餐點準備好,三個星期前,他的女兒為他買了一個二手小冰箱來存放他的餐點。每個星期五晚上九點報到的第一件事,便是將他值班桌上的電腦電源線移除(因為他用不著),並將冰箱電源線接上。在冰箱壓縮機啟動的時候,瞬間的供電不穩,導致在同一電流線圈的兩台伺服器主機因電壓不足而自動重新開關機。至於那兩主機的電源為何與值班室裏的插座在同一線圈上,沒人知道。

現在,答案揭曉了,但困難的卻還在後面。我們必須要向委員會報告調查結果,Jeff 是老好人,沒有人希望他因為這樣而丟掉工作。

資訊安全委員會如期召開,資訊長想知道,到底是什麼東西在作怪,讓他平白損失了近二十六萬美元的額外支出。

老Jeff 的工作不保了,大家都這樣想。

聽完了調查報告,大家都摒息等待最後的裁示。只見資訊長開口:「我只有兩個問題,第一、在我們現有的系統管理文件中或資訊安全政策中,有沒有規定說電腦設備專用插座不能私接個人電器。第二、如果有的話,Jeff 知不知道?」

大家相視搖頭,一片靜默。

「我想也是。」,他接著說,「把這個新規定加進安全文件,然後上公佈欄宣導,我不希望以後再看到任何人將自己的刮鬍刀,吹風機或咖啡機等個人電器插到專用電源插座。然後通知電工組將機房的電源線圈與外界確實隔離。如果沒有其他問題的話,今天就這樣了。」資訊長接著閤上筆記本,準備離席。

安全官趕緊站起來,問道:「那麼Jeff呢?我們要如何處分他?」

資訊長想都不想,隨即回答:「處分他?就算Jeff 因為這樣把整棟建築物都燒光了,如果沒有任何書面文件說他不可以這樣作,我們除了邀他一起坐下來看埸昂貴的煙火秀外,你什麼也不能做。」

數星期後,我們再次經過Jeff 值班的桌前,心虛地告訴他我們覺得很抱歉,害他不能將小冰箱放在值班室。沒想到他反倒很驚訝地看著我們說:「我應該要謝謝你們,幾個星期前開始,我就不用再帶冰箱了,因為你們的發現,他們為我在後面的儲藏室買了一個更大更好的冰箱。」

我接觸過、聽過的事涉電腦犯罪偵查的案例少有快樂圓滿的結局,這是一個。Jeff撫著他的啤酒肚時,那臉上滿足的笑容正是這整個事件最好的註腳。(本文作者現職為勤業會計事務所企業風險服務組副理)



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-04 08:55 |
flyjun
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x29
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

很有启示的小故事.偶也是做资讯系统支援的.偶也遇到过类似的事情.总得来说细心很重要.


獻花 x0 回到頂端 [1 樓] From:未知地址 | Posted:2006-11-04 13:10 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054827 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言