【大紀元10月8日報導】電腦犯罪預防系列專題之一(中央社記者孫承武台北八日電)資訊犯罪的影響與日俱增,然而電腦網路資訊犯罪與傳統犯罪在偵查上最大的不同就在於「證據的取得」。如何讓資訊證據在法庭上說話,讓駭客惡行無所遁逃,警方應進一步強化「數位鑑識」工作,才能遏阻日益囂張的電腦犯罪。
台灣刑事局偵九隊八月間破獲「 Freedom 穿越封鎖線 」駭客案。這個類似「木馬」的程式,可以藉由 IP 位址轉換功能指定其他主機上網,突破原有系統保護管制措施,破壞內部資訊安全控管。但也因而衍生「木馬抗辯(Trojan Defense)」的爭議,也就是當事人在無法提供證明無辜事證,辯稱電腦可能有木馬程式或遭不明人士入侵。
全案正凸顯資訊犯罪中對於「證據取得」的重要性。反之,若警方資訊人員欠缺數位鑑識的觀念、訓練與技術,在遭遇網路犯罪案件時,未能遵循證物處理程式,將使所得的證據無法作為證明犯罪事實的依據,更無法在法律訴訟中提出。
刑事局電腦犯罪防制專家指出,資訊犯罪證據(或稱「數位鑑識」 Digital Evidence)是指電腦儲存媒 體中任何足以證明犯罪構成要件或關聯的電子數位資料。特性包括「易於複製與修改,但不易保留其原始狀態」,然而也正因為這項特性,使得檔案的原始狀態不易保留,因為每次存取都會改變到檔案的狀態,使得電磁記錄的證據力易受質疑。
第二個特性就是「不易證實其來源及完整性」。專家分析,電磁記錄的製作相當容易,也因易於複製與修改,使得在進行鑑識時不易直接將證據與嫌犯進行連結,也就是難以達到個化。
因此,偵辦電腦犯罪案件,警方能利用數位鑑識工具並依循蒐證程式,不僅可取得電腦關機前的相關資訊,也可大幅減少需扣押的證物。
刑事局資訊室解釋,所謂的「數位鑑識」,簡言之,是一門有效解決資訊犯罪的科學。主要的重點在於:在不改變或破壞證物的情況下取得並分析原始證物;及證明所取得的證物與扣押的證物相同。
其中,最重要的就是是在執行數位鑑識時不能修改、或引發病毒而破壞資料,為了要能進行證物分析與相關的處理,首先就要做好網路犯罪證物的留存,保障證物的完整性。另外,為了要能在法庭上證明偵查並未改變證物狀態,還可透過密碼學加以檢測證物是否遭到竄改。
國外包括 FBI 或一些學術機構近年來自行開發出 數位證據搜尋工具( Digital Evidence Search Kit, DESK),也讓資訊犯罪相關案件的法院訴訟程式更為完備。台灣目前還處於起步階段,面對「網路化」、「資訊化」的犯罪型態,未來偵查與起訴資訊犯罪必然會遇到相當的困難,警方應進一步強化數位鑑識,確保偵查所得證據具有能力與證明力,讓駭客攻擊無所遁形,才能遏阻日益囂張的電腦犯罪。
