壹、 緣起
科技進步帶動犯罪手法的改變,電腦和網路常被利用作為犯罪工具或進行犯意聯絡,因此如何從犯罪中找出數位證據,並以嚴謹之鑑識機制使之具有證據能力,成為司法單位偵辦犯罪的重要工作。法務部調查局(下稱本局)於民國(下同)93
年成立專組受理數位證據之鑑識業務;又依據行政院國家資通安全會報「建立我國通資訊基礎建設安全機制計畫(九十四年至九十七年)」行動方案32「建立國家級資安鑑識實驗室,提供資安網路犯罪相關技術與實務訓練教材,以及舉辦相關教育訓練」之資通安全政策要求,開始積極規劃建置國家級鑑識實驗室。
經本局向行政院提出「調查局資安鑑識實驗室」建置計畫並獲經費補助,計畫內容包括收集各國對等單位建置之實際經驗,如電腦鑑識實驗室之人員組織、功能架構、經費運用、人才培育計畫等,並藉參與國際研討會及數位鑑識專業訓
練課程培育專才,採購各式鑑識軟、硬體工具設備等;另辦理環境建置整修,包含電力系統、空調系統,設置證物室、證物收件室、鑑識分析室、證據討論室等;
而於 95 年底完成資安鑑識實驗室建置,並於 98 年於本局資通安全處下成立資安鑑識科,專責實驗室營運。目前實驗室成員 9 人,主要服務對象對內為本局辦案單位,有關電腦犯罪案件之現場搜索、數位證據查扣及鑑識,對外依刑事訴訟法接受院、檢之囑託鑑定。
貳、 鑑識工作項目
一、實驗室業務職掌包括下列各項:
(一) 各類數位證據之檢驗、鑑定:從證物中取得數位證據之相關資料以確認與犯罪相關之時間戳記、行為人帳號、資料存放位置、所使用軟體及版本等。
(二) 支援案件現場與網路環境之罪證擷取、記錄及保全:協助外勤單位於搜索現場取得相關數位證據。
(三) 數位證據還原與事實行為分析:硬碟資料回復及解碼並使用鑑識軟體解釋分析,重現犯罪行為。
(四) 證物管理:在鑑識過程中,對送鑑之扣押物如電腦主機、網路設備、手機、監視系統及儲存媒體進行適當管理並符合證據監管鏈之要求。
(五) 數位證據鑑識技術之研究發展:數位科技與產品發展快速,犯罪行為人會利用最新科技產品做為工具,造成取證上之困難,故實驗室每年均提出數位鑑識技術研究計畫,積極爭取經費,並與國內知名學府、民間研究機構、數位鑑識廠商等合作研究。例如今(104)年特別針對雲端環境與政府機關資訊通報第 334 期 頁 2 中華民國 104 年 8 月行動裝置之鑑識技術進行多項合作研究,以提升實驗室之鑑識能量。
二、目前實驗室所受理鑑識之各類品項,包括桌上型電腦、筆記型電腦、伺服器主機、監視錄影器、智慧型手機、平板電腦、隨身碟、外接式硬碟、各式記憶卡及光碟等。為因應此多樣化,故所使用之鑑識工具種類亦夥,常用之資料備份工具有 AccessData 公司之 FTK Imager 及 Guidance Software™公司之 EnCase Forensic Imager、資料回復工具有 R-Tools Technology 公司之R-Studio、鑑識分析工具有 Guidance Software™公司之 EnCase® Forensic Tools、硬體備份工具有 Forensic Dossier、硬碟防寫工具有 Digital Intelligence公司之 forensic write blockers、手機鑑識工具有 Micro Systemation 公司之XRY 及 Cellebrite 公司之 UFED 等,另備有各式鑑識平台與工作站供鑑識所需。
三、實驗室鑑識業務每年均大幅成長,無論是送鑑案件數、送鑑證物數及證物儲存容量均是如此,依各單位不同需求,利用不同的鑑識工具及技術,完成各式案件之鑑定分析報告,不只改進實驗室之運作效率,也有效提升案件中數位證據之證明力。
本文取自 法務部調查局資安鑑識業務發展及實驗室認證介紹 – 法務部調查局資通安全處科長 陳受湛
