电子证据保全指南(日本篇上)
电子证据保全指南(日本篇上)
1、事前准备
在进行事故响应(初始响应、证据保全)时需要做好以下事前准备。
1.1探讨假设了事故响应的初始响应、证据保全程序以及体制的确立 ①探讨并决定事故响应中应当优先处理的事物(服务、系统等)的顺序
②选定并确保事故发生时进行初始响应、证据保全所需要的仪器设备 ③确认系统最大容许停止时间(MTPD2)和目标恢复时间(RTO3) ④确认查出和判断事故的方法
⑤确认事故发生时的联系体制
⑥事故发生时的调查(查明原因、特定被害范围等)方法的举例 ⑦预防事故的备份和恢复体制的确立和测试
⑧事故响应经过(按时序)的记录方法的确立
⑨制作假设了事故响应的初始响应、证据保全操作手册
1.2与事故响应有关的信息收集、信息共享和分析
①收集并分析有关资讯和技术信息,以便迅速准确地处理多样化的信息安全事故
②确认挥发性信息的取得顺序、内容及范围(内存转储、应用软件) ③确立与事故响应有关组织的信息共享和联系。
1.3事故响应(初始响应、证据保全)时所需仪器设备的选定和准备 ①准备证据保全时用来捆包保管的材料
※箱包、缓冲材料、防静电袋等
②工具等的准备
※精密螺丝刀、标签、各种绳带、防静电手套、台用插头等 ③初始响应、证据保全需要的计算机、打印设备等的准备 ※笔记本电脑、打印机、外部存储设备(CD-R驱动器) 等 ④初始响应、证据保全需要的工具、软件的选定及准备
※挥发性信息等收集工具、可视化软件等
(基准例)
※在信息取得过程中极力避免变更原件的数据
※在信息取得过程中极力避免对原本进行写操作
※在信息取得过程中避免发生不需要的网络通信
(详细要求参照“4.3关于证据保全的要件”)
※外部操作系统启动用磁盘
⑤完成格式化的干净的介质
※硬盘、CD-R等各种介质
⑥证据保全用复制设备的准备
※把数据复制到完成格式化的干净的介质中进行证据保全的复制设备
⑦照相机、记录用具等的准备
※ 摄像机、作业确认检查表、备忘录用纸、圆珠笔等
1.4熟练掌握事故响应时使用的仪器设备
①熟知证据保全时所用工具、软件的功能
②通过模拟实验使用证据保全工具、软件
③进行必要的训练,以便掌握与证据保全作业有关的技术和积累相关知识
1.5 Web服务的保全
1.5.1把握作为保全对象的Web服务的利用合同
确认服务规约、合同书、服务等级协议等,确认保全对象的云环境利用形态以及网络服务提供商和合同者之间交换的合同内容和责任范围。同时还需要记录、保存作为保全对象的Web服务的数据、用户与发生的安全事故之间的关系以及判断需要保全的根据和讨论内容。
1.5.2作为保全对象的Web服务的保全方法和操作步骤的讨论
确认服务提可以提供标准的数据备份/输出功能,在不能输出或必要的数据输出困难的场合,另行考虑其它的保全手段。因为有时可以通过Web服务进行本地终端备份和数据高速缓冲存储,所以也需要考虑本地环境的保全。
以Web服务为对象的证据保全作业是以现场作业为中心的,为了防止无意识地改变对象数据,作业员事前熟知服务的内容安排好操作步骤非常重要。又,由于保全后根据提供的服务有时很难再现当时状况,因此需要详细地记录作业员使用什么样的接口、进行了什么样的操作与检索等信息。一般推荐用照片或视频等逐次记录作业状况,不过,通过一并保存服务对象的HTML数据,也有可能保存时间戳和显示条件等各种各样的元数据。但利用浏览器显示保存HTML的场合,因使用的浏览器不同而显示的内容有时也有差异,因此需要一并记录显示
出处时浏览器的种类和版本。
另外,还有数据加密等问题,由于通过获取作业中的全部网络通信的分组,可以根据时序与保全作业发生关联,因此也一并讨论。
1.5.3准备安全的作业环境
确保物理作业环境和网络环境。为了日后尽可能再现保全作业,有时也需要考虑获取通信分组信息。
1.5.4 见证人等
在进行证据保全、事故响应的场合,应考虑尽可能让见证人到场并由复数的工作人员实施。
1.5.5 账号持有人的同意
在对象账号属于个人的场合,保全需要得到其本人的同意才能进行。为了日后确认同意的事实,应当书面记录同意的内容。在保全对象账号属于家属等由多个人员管理的场合,应尽可能取得全体同意。记载的同意内容包括保全对象账号及密码的开示、为了排他控制作业中变更密码、数据输出的许可等。
在获得本人的同意变更密码时,应当制作账号设定变更记录并妥当管理。
1.6 云环境的保全
1.6.1 云环境的把握
○确认服务规约、合同书、服务等级协议等,确认保全对象的云环境利用形态以及网络服务提供商和合同者之间交换的合同内容和责任范围。
※又,云计算服务的利用形态一般根据云计算服务提供商提供给消费者的资源范围加以区别。主要有IaaS(Infrastructure as a Service)基础设施即服务。消费者通过 Internet 可以从完善的计算机基础设施获得服务。基于 Internet 的服务(如存储和数据库)是 IaaS的一部分。PaaS(Platform as aService)平台即服务。PaaS提供了用户可以访问的完整或部分的应用程序开发。SaaS(Software as aService)软件即服务。SaaS则提供了完整的可直接使用的应用程序,比如通过 Internet管理企业资源。
2 事故发生(或被发现,下同)时的处理
2.1 未实施事故响应场合的活动
2.1.1把握突发事故的内容
2.1.1.1 突发事故的内容
①信息泄露
②病毒感染、爆发
③不当侵入、信息窃取、违反法令
④设定错误、操作错误、物理故障〃物理破坏
2.1.1.2 检测事故发生的经过
①审查日志
②入侵检测系统
③内部告发
④外部通报
2.1.1.3 事故发生的时间
○确认系统时钟的准确性
2.1.1.4 从事故发生到联系委托的时间,以及其间是否对事故进行处理
①了解突发事故的人物和人数
②有无确保事故对象物
确保了的场合,记录确保对象物的日時、确保人(职务)、确保的场所、对确保时的对象物(及其周边)所采取的行为,对确保后的对象物的处理(有无)及其内容。
没有确保的场合,详细记录确保对象物(预定的)的时间和场所、确保的对象物(及其周边)的状态。
2.1.2 决定与突发事故有关的对象物(流程图参照图1)
2.1.2.1 针对对象物的信息收集和对象物的缩限
①与突发事故有关的对象物的种类及数量
●计算机(台式、笔记本型、服务器型)
●网络设备(路由器、防火墙、入侵检测系统、入侵防护系统) ●硬盘驱动器(以下、HDD)(容量/外设)
●存储媒体(CD / DVD / BD / FD / PD/ MO/各种闪存等) ●挥发性较高的对象物(内存)
●手机、智能手机
●音乐播放器
●游戏机(W ii,NINTENDO DS,NINTENDO 3DS,PS3)
●IC录音机
●其它保障证据保全顺利进行的关联信息(周边机器●连接构成图等)
②与突发事故有关的对象物的状态(何时位于何处)
③与突发事故有关的对象物的使用起始时间和结束时间以及使用的频率。
④与突发事故有关的对象物的使用者和管理者
⑤有无周边设备和文档以便顺利进行与突发事故有关的对象物的证据保全
2.1.2.2 对象物的选定和优先顺序的安排
①保全前对象物(设备)的选定及其理由
②(对象物是复数时)处理对象物的优先顺序及其理由
2.1.3 收集证据保全所需信息
2.1.3.1 对象物的信息
①对象物的形状、个数和物理状态
对象物的标记信息(厂家/型号/型号名称/序列号/扇区尺寸/总扇区数/存储容量)\电缆的连接状况、跳线的设定状况、有无设定HPA、DCO等、有无通常环境下可以识别的物理破损和损伤。
②硬盘〃存储媒体的存储容量,接口的状况
特别是在不把硬盘取出机壳,通过专用CD启动进行证据保全的场合, 光盘驱动器及USB / FireWire、网络连接端口的有无非常重要。
③是否进行安全设定
硬盘密码锁、硬盘整体加密和部分文件、文件夹加密、PC周边的钢缆制动器、柜子、IC卡等。
↓
↓
图1 表示本节作业内容的流程图
2.2事故响应已经着手场合的活动
2.2.1 确认与上述项目2.1有关的各种信息
①与上述项目2.1有关的各种信息是否不足或过剩
②是否有人承认与上述项目2.1有关的各种信息的收集各种及结果或是否承认
2.2.2 确认访问之前的事故响应内容(是否拔掉电源等)
2.2.3 确认响应存在不足或过分场合的处理
①确认收集的信息〃项目内存在不足之处时,通过访问或信息收集进行补充。
②确认收集的信息〃项目内存在获取程序不适当之处时,在记录收集时实施的作业内容的基础上,根据适当的程序快速进行相关信息的收集。
③确认收集的信息〃项目内存在过分之处时,在听取收集该信息的基准及理由,认为不需要时删除该信息。
2.3 为了顺利进行事故响应而采取的行动
2.3.1 物理环境的确保
①确保拥有足够大的场所,以便容易发现和容易管理证据保全的对象物、用于证据保全的设备、工具和文件
②确保证据保全设备和工具充分运转的电力和插头等
③确保只能用于事故响应作业的场所
通过上锁确保只有与事故响应有关的人员才能进入的场所(最好通过指纹认证〃IC卡认证进行出入管理)。
④在事故响应作业中离开现场(休息)时需要的采取的措施的实施 作业者的入退室记录、贵宾用IC卡的出借等
2.3.2 与有关组织的合作
①与法务部门负责人和信息系统负责人的合作
②与系统设计者或管理者的关系构筑
例如在对结构复杂的系统整体或部分进行证据保全时
③与内部监查〃系统审计负责人的合作
充分考虑和遵守委托单位的安全和隐私守则
④关系人员的确保和无关人员的排除
在事故响应作业过程中应当确保无关的第三人不能参与的状况。又,在受托进行作业的场合,应当注意让委托单位的负责人在场。 ⑤与解析负责人的合作
3 对象物的收集〃取得〃保全
3.1 对象物状态的把握
○把握对象物存在现场的收集〃取得〃保全时的状况
〃放置对象物的场所、状态
〃确认管理者有无故意隐藏的情况
在设想的对象物的放置方法、收纳方法被认为处于不自然的状态的场
合,应就形成该状态的背景和理由、形成该状态的经过以及时间〃人物进行访问。
3.2 为了收集〃取得〃保全而对对象物进行的处置
根据对象物的状态,可以进行如下适当处置。(图2)
否↓
为了收集〃取得〃保全而选择处置对象物的方法
3.2.1 对象物是计算机,电源关闭的场合
①原则上禁止接通电源
硬盘整体加密,不得不接通电源进行证据保全的场合除外。不过,即使这种场合,也要在证据保全作业负责人的指挥之下,承受电源开通时的风险(文件时间戳和内容改变等的影响),实施证据保全作业。 ②从机壳中拔卸电缆之类设备,以免无意中向硬盘写入数据。 〃拔卸电源电缆、键盘、鼠标、USB连接器之类设备。
〃在有用途不明的连接电缆时,应向熟知该电缆的人员确认其用途,并在证据保全作业负责人的指挥之下进行保全作业。
〃拆卸各种设备〃电缆时,为了保证解析时的系统的准确再现和作业后恢复现状,使用沾性较低的标签、专用标签粘贴,以明确电缆和设备等安装在哪个地方(在记录表中明确记载/拍照摄影)。特别需要明确记载保全对象设备的固有信息(制造编号、型号等,图3)。
图3 电缆上张贴标签状况的记录
3.2.2 对象物是计算机(台式),电源开通的场合
①计算机的种类〃规格、使用操作系统的确认,以及通过目视或指令确认并记录保全时系统时钟的准确性(与日本标准时等的差异)。 ②网络环境的确认
〃ISP,邮件软件,认证信息,电子邮件地址,邮件转发设定,浏览器的种类,代理设置等
③确保对象物时,具体记录画面和打印机等输出设备显示和输出的状况(拍照摄影)
除去不得已的场合,尽量避免碰触文件、图标以及其它可疑画面。 如果可能,一并确认后台正在运行的进程。
④挥发性信息的获取
〃根据调查的目的和需要,获取挥发性信息。
如果希望最大限度地不影响删除文件的恢复,那么不获取挥发性信息,直接拔下电源电缆。
〃除去不得已的场合,尽量避免碰触文件、图标以及其它可疑画面。 〃针对挥发性信息取得顺序〃内容和范围(内存转储,应用程序相关信息),使用事先准备的、与使用操作系统对应的自动收集工具等,依据顺序获取对象范围的信息。
⑤关闭电源
〃参照3.2.6
⑥从机壳中拔卸电缆之类设备,以免无意中向硬盘写入数据。 〃拔卸电源电缆、键盘、鼠标、USB连接器之类设备。
〃在有用途不明的连接电缆时,应向熟知该电缆的人员确认其用途,并在证据保全作业负责人的指挥之下进行保全作业。
〃拆卸各种设备〃电缆时,为了保证解析时的系统的准确再现和作业后恢复现状,使用沾性较低的标签、专用标签粘贴,以明确电缆和设备等安装在哪个地方(在记录表中明确记载/拍照摄影)。特别需要明确记载保全对象设备的固有信息(制造编号、型号等)。
3.2.3 对象物是计算机(笔记本型),电源处于开通状态
①计算机的种类〃规格、使用操作系统的确认,以及通过目视或指令确认并记录保全时系统时钟的准确性(与日本标准时等的差异)。 ②网络环境的确认
〃ISP,邮件软件,认证信息,电子邮件地址,邮件转发设定,浏览
器的种类,代理设置等
③确保对象物时,具体记录画面和打印机等输出设备显示和输出的状况(拍照摄影)
除去不得已的场合,尽量避免碰触文件、图标以及其它可疑画面。 如果可能,一并确认后台正在运行的进程。
④挥发性信息的获取
〃根据调查的目的和需要,获取挥发性信息。
〃除去不得已的场合,尽量避免碰触文件、图标以及其它可疑画面。 ⑤关闭电源
〃参照3.2.6
〃与台式机不同,因为笔记本电脑机壳的底面有电池,所以从插座拔出插头也不能强制性地关闭电源。
〃因此,取出机壳底面的电池后再从插座拔出插头才能强制性地关闭电源。在没有取出电池的场合,通过按压电源按钮切断电源。
3.2.4 对象物是计算机(服务器型),电源处于开通状态
①服务器型计算机大多利用RAID设备,即使用证据保全设备把被组合进RAID设备的硬盘拷贝再物理拷贝成其他硬盘,如果不使用原RAID设备,由于物理规格变化等原因,有时很难恢复原状。
②用其它操作系统(1CD-LINUX)启动RAID设备,获取构成RAID的逻辑容量单位,据此可以重构RAID容量。
③根据场合有时也可以拿回一套RAID设备,但在公司业务用服务器使用RAID设备的场合,无论是否使用RAID设备,一般很难停止服务
器,这时在不给公司业务造成很大影响的前提下,需要花时间获取映像文件。
3.2.5 对象物是计算机以外(媒介系列)设备物品的场合
3.2.5.1 外部存储介质的物理管理和记录
①为了防止收集〃取得〃保全的外部存储介质的误废弃和丢失,可以贴上识别标签,进行确实的识别和管理。
②在标签上记录的信息有: 收集〃取得〃保全的时间、地点、所有人(或管理者),用途、状况,收集〃取得〃保全的经过及目的等。
3.2.5.2 访问外部存储介质的PC等的特定
○利用IEEE 1667规格和特定软件,把设备上锁功能嵌入USB存储器,连接时如果认证(输入密码等)不成功就不能访问外部存储介质内的数据,通过这样的设定,也可以特定能够访问外部存储介质内的数据的PC。
3.2.5.3 特定使用的文件系统
○特定外部存储介质使用的文件系统