电脑犯罪预防系列专题之一
【大澳门威尼斯人赌场官网10月8日报导】电脑犯罪预防系列专题之一(中央社记者孙承武台北八日电)资讯犯罪的影响与日俱增,然而电脑网路资讯犯罪与传统犯罪在侦查上最大的不同就在于“证据的取得”。如何让资讯证据在法庭上说话,让骇客恶行无所遁逃,警方应进一步强化“数位鉴识”工作,才能遏阻日益嚣张的电脑犯罪。
台湾刑事局侦九队八月间破获“ Freedom 穿越封锁线 ”骇客案。这个类似“木马”的程式,可以藉由 IP 位址转换功能指定其他主机上网,突破原有系统保护管制措施,破坏内部资讯安全控管。但也因而衍生“木马抗辩(Trojan Defense)”的争议,也就是当事人在无法提供证明无辜事证,辩称电脑可能有木马程式或遭不明人士入侵。
全案正凸显资讯犯罪中对于“证据取得”的重要性。反之,若警方资讯人员欠缺数位鉴识的观念、训练与技术,在遭遇网路犯罪案件时,未能遵循证物处理程式,将使所得的证据无法作为证明犯罪事实的依据,更无法在法律诉讼中提出。
刑事局电脑犯罪防制专家指出,资讯犯罪证据(或称“数位鉴识” Digital Evidence)是指电脑储存媒 体中任何足以证明犯罪构成要件或关联的电子数位资料。特性包括“易于复制与修改,但不易保留其原始状态”,然而也正因为这项特性,使得档案的原始状态不易保留,因为每次存取都会改变到档案的状态,使得电磁记录的证据力易受质疑。
第二个特性就是“不易证实其来源及完整性”。专家分析,电磁记录的制作相当容易,也因易于复制与修改,使得在进行鉴识时不易直接将证据与嫌犯进行连结,也就是难以达到个化。
因此,侦办电脑犯罪案件,警方能利用数位鉴识工具并依循搜证程式,不仅可取得电脑关机前的相关资讯,也可大幅减少需扣押的证物。
刑事局资讯室解释,所谓的“数位鉴识”,简言之,是一门有效解决资讯犯罪的科学。主要的重点在于:在不改变或破坏证物的情况下取得并分析原始证物;及证明所取得的证物与扣押的证物相同。
其中,最重要的就是是在执行数位鉴识时不能修改、或引发病毒而破坏资料,为了要能进行证物分析与相关的处理,首先就要做好网路犯罪证物的留存,保障证物的完整性。另外,为了要能在法庭上证明侦查并未改变证物状态,还可透过密码学加以检测证物是否遭到窜改。
国外包括 FBI 或一些学术机构近年来自行开发出 数位证据搜寻工具( Digital Evidence Search Kit, DESK),也让资讯犯罪相关案件的法院诉讼程式更为完备。台湾目前还处于起步阶段,面对“网路化”、“资讯化”的犯罪型态,未来侦查与起诉资讯犯罪必然会遇到相当的困难,警方应进一步强化数位鉴识,确保侦查所得证据具有能力与证明力,让骇客攻击无所遁形,才能遏阻日益嚣张的电脑犯罪。