數碼鑑識

電腦法證

數碼鑑識(有時又被稱作數碼鑑識科學數碼取證)乃是鑑識科學的其中一個分支,主要在針對數碼裝置中的內容進行調查與復原,這常常是與電腦犯罪有所相關[1][2]。數碼鑑識一詞原本是與電腦鑑識為同義詞,但現在已經擴展到調查所有能夠儲存數碼資料的裝置[1]。隨着1970年代末期到1980年代初期的家用電腦革命從美國興起,數碼鑑識科學也逐漸在1990年代開始自然的發展,而直到二十一世紀初國家才逐漸形成對此學科的政策。

聯邦執法訓練中心(FLETC)英語Federal Law Enforcement Training Center的空照圖,於1980到1990年代間,美國的數碼鑑識標準在這裏逐漸成形。

數碼鑑識的調查結果有非常多元的應用,最常見的用途是當作電子偵查英語Electronic discovery的部分程式,在刑事民事法庭之上,支援或排除犯罪假設。鑑識也能在企業部門應用,例如公司內部調查或侵入調查(intrusion investigation)(專家們探究某次未授權的網絡入侵行動的本質以及影響程度)。

調查的技術層面依照數碼裝置的類型可區分為以下幾個分支:電腦鑑識網絡鑑識鑑識資料分析以及流動裝置鑑識。一般典型的鑑識程式包含數碼裝置的收押、鑑識成像(forensic imaging)獲取、數碼媒體分析、以及製作報告列為證物。

除了用來確認犯罪的直接證據以外,數碼鑑識也能夠用來確認特定嫌疑犯與案件的關係、確認不在場證明或其證詞、理解其意圖、追查來源(例如在版權爭議案件)、或是判定檔案的真偽[3]。數碼鑑識調查的範圍,比起其他的鑑識領域來說更為廣泛(大部分其他鑑識科學是為解答相對較單純的問題),常常會包含複雜的時間線或是多重的假設[4]

歷史

在1980年代之前,美國與電腦相關的犯罪行為皆沒有特別設立處置法條,而都是以既有的法律條文進行規範。有史以來最早設立防治電腦犯罪的法條是1978年的佛羅里達電腦犯罪防治法(the 1978 Florida Computer Crimes Act),此次立法禁止電腦系統中在沒有授權的情況下對資料進行刪修動作[5][6]。下來的幾年,電腦犯罪的範疇開始逐漸擴張,諸如版權、私隱權/騷擾(例如網上欺凌網絡跟蹤狂英語cyberstalking在線獵手)、以及兒童色情這類議題的相關法律也逐漸通過[7][8]。直到1980年代聯邦法才開始納入電腦犯罪。加拿大在1983年成了全世界第一個通過電腦犯罪相關法條的國家[6]。之後美國聯邦也於1986年通過了電腦詐欺與濫用防治法英語Computer Fraud and Abuse Act,澳洲則於1989年修改了其刑法,而英國則是在1990年設立了電腦濫用防治法(Computer Abuse Act)[6][8]

1980–1990年代:相關領域的崛起

1980到90年代之間的電腦犯罪成長迅速,導致執法單位英語law enforcement agency開始成立專門小組,通常是以中央政府的層級來處理相關調查的技術議題。比方說,1984年美國聯邦調查局(FBI)建立了電腦分析與犯罪應對小組(Computer Analysis and Response Team),隔年英國大都會警察的反詐騙小組中也成立了電腦犯罪部。除了專業執法人員以外,許多此類團隊的早期成員也有是電腦愛好者,但為數碼鑑識領域初期研究與未來方向定調[9][10]

最早的數碼鑑識案例(或至少是公開的個案中最早者)是1986年克里夫·史陀英語Cliffford Stoll追蹤黑客馬可仕·何斯英語Markus Hess案。克里夫雖然他並非鑑識科班出身,但其調查使用了電腦以及網絡鑑識技術,成功的破獲黑客[11]。許多早期的數碼鑑識的鑑定案例都是類似的情形[12]

2000年代:建立標準規範

鑑識工具的開發

鑑識流程

應用

限制

法務上的考量

數碼證據

調查工具

學科分支

電腦鑑識

電腦鑑識是以周延的方法及程式儲存、識別、抽取、記載及解讀電腦媒體證據與分析其成因的科學。目的是專門負責蒐集、檢驗及分析。藉由儲存電腦犯罪證據,並透過電腦採集有意義的證據資訊或從片斷資料描繪事件的大略情形以進行現場重建。主要在針對數碼裝置中的內容進行調查與復原,這常常是與電腦犯罪有所相關。除了用來確認犯罪的直接證據以外,數碼鑑識也能夠用來確認特定嫌疑犯與案件的關係、確認不在場證明或其證詞、理解其意圖、追查來源、或是判定檔案的真偽。

流動裝置鑑識

網絡鑑識

鑑識資料分析

資料庫鑑識

參見

相關期刊

參考文獻

  1. ^ 1.0 1.1 M Reith, C Carr, G Gunsch. An examination of digital forensic models. International Journal of Digital Evidence. 2002 [2 August 2010]. (原始內容存檔於2012-10-15). 
  2. ^ Carrier, B. Defining digital forensic examination and analysis tools. Digital Research Workshop II. 2001 [2 August 2010]. (原始內容存檔於2012-10-15). 
  3. ^ Various. Eoghan Casey , 編. Handbook of Digital Forensics and Investigation. Academic Press. 2009: 567 [27 August 2010]. ISBN 0-12-374267-6. (原始內容存檔於2015-02-04). 
  4. ^ Carrier, Brian D. Basic Digital Forensic Investigation Concepts. 7 June 2006 [2014-06-15]. (原始內容存檔於2010-02-26). 
  5. ^ Florida Computer Crimes Act. [31 August 2010]. (原始內容存檔於2010-06-12). 
  6. ^ 6.0 6.1 6.2 Casey, Eoghan. Digital Evidence and Computer Crime, Second Edition. Elsevier. 2004 [2014-06-15]. ISBN 0-12-163104-4. (原始內容存檔於2012-11-12). 
  7. ^ Aaron Phillip; David Cowen; Chris Davis. Hacking Exposed: Computer Forensics. McGraw Hill Professional. 2009: 544 [27 August 2010]. ISBN 0-07-162677-8. (原始內容存檔於2014-02-13). 
  8. ^ 8.0 8.1 M, M. E. A Brief History of Computer Crime: A (PDF). Norwich University. [30 August 2010]. (原始內容存檔 (PDF)於2010-08-21). 
  9. ^ Mohay, George M. Computer and intrusion forensics. Artechhouse. 2003: 395. ISBN 1-58053-369-8. 
  10. ^ Peter Sommer. The future for the policing of cybercrime. Computer Fraud & Security. January 2004, 2004 (1): 8–12. ISSN 1361-3723. doi:10.1016/S1361-3723(04)00017-X. 
  11. ^ Simson L. Garfinkel. Digital forensics research: The next 10 years. Digital Investigation. August 2010, 7: S64-S73. ISSN 1742-2876. doi:10.1016/j.diin.2010.05.009. 
  12. ^ Linda Volonino, Reynaldo Anzaldua. Computer forensics for dummies. For Dummies. 2008: 384. ISBN 0-470-37191-9. 

延伸閱讀