这节课首先提一下,实验课部分是最后一节,但是呢内容还是属于案例类的,然后本周末需要递交第一个作业,因此我没有及时更新这一篇内容,而是作业完成后才弄得。因此有一些内容我可能会忘记。
首先讲了cyber security的由来,最早其实是信息安全,但是后面随着科技的进步,网络和IT设备的普及,出现了一些恶意软件,然后继续发展到现在的情况,越来越多和越复杂,比如敲诈勒索软件,病毒等等。
另外一个就是最近五年来,目标和手段变化了,逐渐从电脑终端变成了80%都是手机,不论是受害者还是攻击者,这也可以和5G的应用联系上,因为速度越来越快,硬件设备也越来越好。
新西兰的网络在98年前是有怀卡托大学来维护的,当时主要还是和其他大学互联,而98年之后呢就是对外互联。目前为止,怀卡托大学仍然是新西兰的网关,这里差个题外话我没记错的话中国的网关在北京理工大学。
最原始的病毒之类的依赖软盘传播,这个不能轻视,因为很多老旧设备,比如核武器的启动设备还是软盘。回头我应该弄几个软盘玩玩。然后现在比较流行的是敲诈勒索软件,直接把受害人的数据加密然后勒索比特币之类的。有很多公司甚至抗不过一轮攻击,然后就倒闭了,因为数据是无价的,一旦丢失则无法找回。
相比较而言,cybersecurity比forensics更加容易得到关注和学习,因为金钱,资源等等关系,这很容易理解,招聘市场上很少有专门的forensics investgator招聘。但是呢,有forensics技能的cybersecurity技术人员更加受到青睐,首先forensics从业人员可以写一些商业的相关报告,这里老师举了一个例子说,有公司请forensics investgator来调查他们给员工配发的手机,来看看员工干了啥坏事。一份差一点的简单的报告价值两三千,但是好的就价值上万。此外呢,forensics investgator写的报告有助于帮助提高cybersecurity,以应对未来的攻击。
取证调查员呢可能帮助恢复失去的文件或者加密的文件,我之前的论文专门写了取证调查这一块,所以我了解到某种情况下确实可以的。此外,取证调查的意义还可以审计查看历史来帮助未来的防御。但是就算是知道哪一个IP,谁干了这些事情,但是假如不是同一个国家的情况下,还是无法对其施以法律手段制裁。
目前阶段的取证调查越来越复杂,因此所需要的技能也就相应的越来越多,越来越复杂。因此就需要学习更多的新技术,新法律等等,没有一个人可以精通所有的东西,总归是有不会的需要去学习。
这里着重讲了对于命令的一个看法,我觉得也是,只是记住敲什么命令的意义不大,主要还是搞懂底层的逻辑,搞懂为什么,然后再去学习命令才有意义。
目前有许多新的挑战,这里举了一个例子,一般来说对于正在运行中的电脑都是直接关电拔出硬盘,然后取证。但是呢,这样的话内存条断电数据都清零了,而在内存条中有许多非常有价值的数据,比如加密的密码。这个也同样是STEM的选题之一,我当时考虑再三决定不去选这个,但是后续如果有机会,我可能会投入时间再来研究一下。2012年的ACPO新规则有提到在某种情况下可以不去拔电源而是去直接获取数据,但是可能对硬盘造成写入操作,但是是可以接受的。
继续讲forensics的挑战,就是说过去的一些加密算法以及长密码之类的基本上不够看了,因为现在的电脑运算速度大幅度的提升,一些加密方式很容易就被破解了。像之前讲过的很长的密码用SHA256加密后,需要很多很多年可以破解,但是可能未来量子电脑的出现会导致这些加密方式不够看。这里举例讲了一个门禁卡的案例,早期都是用Crypto1加密算法,但是根据老师自己的经历,大概20分钟左右就可以破解掉,然后就可以复制。而有一些更高级的,甚至把解码机器可以放口袋里用电池供电,这样可能和你聊天半小时就盗窃了卡的信息然后复制。
目前的新趋势是门禁卡使用DESFire,当然我查了一下这个也有几个版本,所以我觉得这个也可以作为一个不错的话题研究。
各种算法虽然复杂,但是都是基于数学,像一些早期的算法就已经被破解,crypto1就是被破解了,因此不安全,但是现在仍然有很多地方正在使用这个,我猜测应该是成本问题。相应的MD5现在也是不安全的,SHA1比MD5好一些,但是也被认为不安全的。但是可以同时使用多个来增强安全性。就算是下班后把卡回收也不行,毕竟上班时间也不能保证卡不被破解,越发的高级的解码机器都会出现,因此可能几分钟,几秒钟就可以复制卡的信息。
注意:很多酒店的门卡都是不加密的,因此连破解都不需要就可以直接获取卡的信息,这个也是不错的话题可以选择。
这里接上文,虽然MD5和SHA1已经不被认为是安全的,但是为什么仍然使用,因为技术发展的太快了,但是标准确实落后的,这节课老师提了很多标准,然而最新的可能是2016年的,而现在已经2023年了,所以标准显然落伍了。所以在follow标准的同时也要与时俱进的更新技术。
依然是上文的继续,现在有新的软件可以从一个文件中得到一个MD5或者SHA1的值,然后给另外一个文件不断的加一些bits然后让其和第一个文件的MD5或者SHA1的值相等。理论上,没有两个文件的哈希值是一样的,但是现在有软件可以做到。如果有时间,可以研究一下这个。因此指导都要求计算两个不同的哈希值。同时更好的办法还是SHA256或者SHA512,这两种目前来看都需要大量的时间才能破解。可能是十年,二十年,至少量子计算机没有大规模的出现还是可以的。
接下来就是另外一个巨大的挑战,SSD的大规模应用。由于SSD的构造呢,它不能像机械硬盘一样直接在原地址修改写入,而是必须在新的page上写入,而原地址则会根据SSD的某几个科技被强制写0.这也是我STEM要做的课题。另外下一节课也会重点讲一下。
那么问题来了,由于这个机制是只要连上电源就会触发,因此就导致了同样一个固态硬盘隔了一段时间后,哈希值不一样。而被强制写0的数据会永远找不到。而且这个过程和电脑没啥关系,你中间加个write blocker也白搭。
因此在真实的法庭中,由于哈希值的不同,并不意味着删除了什么,而是意味着发生了GC之类的SSD机制。那么我们必须有能力去解释这一切。
接下来一个挑战就是法律问题,比如澳大利亚和美国都是联邦国家,那么这就意味着不同的州有不同的法律,在这个州可能违法的行为到另外一个州就不违法了,在这个州犯的罪可能到了另外一个州,原来那个州的警员什么的就没有资格去执法了,等等等等类似的情况。新西兰在92年也是类似的情况,但是之后改革了,只有一个全国通用的条款。
回到美国这里,举了个例子是洛杉矶,有好多种警察系统,每一个系统有自己的计算机或者网络系统。然后他们之间不是互通的,通常来说也不会合作。而且有一个破案机制,谁破了案谁会得到晋升。因此造成了这种竞争的情况。而新西兰则不一样,并不会因为你破案而晋升。这里扯远了,主要就是讲,联邦制国家这种司法以及取证调查的复杂程度。
不同国家的情况也类似,比如一个香港人在美国服务器建立了网页给新西兰人提供盗版下载,那么谁有执法权,依照谁的法律,这种情况非常复杂。这里举了一个美国海军的例子,海军服役期到了后喝酒并且犯罪,回到美国仍然被逮捕,因为海军拥有服役期后5天的执法权。
保证证据的可靠性,然后以下就是老生常谈的一些规则,比如COC,比如遵循指导,比如培训,比如经验等,一切都需要按照标准而不是个人想法。一切都是可重复的,但是现实是有意外会发生,比如老师讲了,有可能两台电脑计算出的哈希值不一样,虽然不太可能,但是确实就发生了。因此也必须要能够解释,比如在多台电脑测试。这听上去也是一个很好的课题。
这里又一个挑战,通常来说删除掉的信息都是有用的,比如浏览器的缓存,RAM,路由表等等,这里hibernation file 休眠文件,通常是说笔记本电脑不关机但是合上盖子的情况,RAM里的数据会停留在合上盖子之前,然后这一块数据保存在硬盘里,因此可以读取这个数据。但是这个数据肯定会覆盖硬盘上的某一个区域,因此也可能对硬盘数据造成覆盖。这听上去也很有意思。
最后一个挑战之前讲过,法律更新的太慢了,比如2013年美国仍然使用CD,软盘作为数据递交方式,而更加现代化的设备由于法律没有提,因此是不被接受的。到2019年,美国的核武器维护设备终于停止使用软盘。
Linux有各种各样的免费的或者收费的软件,其实这也算一个问题,使用什么软件才能更低的错误率,巴拉巴拉之类的。
那么这节课的理论部分就结束了。
实验课部分先讲了一个小技巧,利用wild card也就是适配字符来减少操作。
星号可以代表不限制位数的一切,而问号则是单独位数的一切。
其他就是讲了真实的法庭流程,什么时候出现该干嘛,巴拉巴拉,然后又是老生常谈的下面法则,我很怀疑考试内容有下面的。
The Daubert Principles are:
A witness who is qualified as an expert by knowledge, skill, experience, training, or
education may testify in the form of an opinion or otherwise if:
(a) the expert’s scientific, technical, or other specialised knowledge will help the trier of fact
to understand the evidence or to determine a fact in issue;
(b) the testimony is based on sufficient facts or data;
(c) the testimony is the product of reliable principles and methods; and
(d) the expert has reliably applied the principles and methods to the facts of the case.
There have been a number of interpretations of these principles and you will sometimes see 4
or 5 rules and often quite different wording. These principles have been used by other countries
as a guide so are generally accepted in New Zealand. Note that an expert can give an opinion
if the opinion is within their area of expertise. Normally, a witness can not give an opinion
because they are not qualified to do so.
As an expert, you are expected to comply with the rules of the court regarding your conduct
when appearing in court. There is a selection of legislation and rules that you must be familiar
with.
Code of Conduct for expert witnesses
Duty to the Court
1. An expert witness has an overriding duty to assist the Court impartially on relevant matters
within the expert’s area of expertise.
2. An expert witness is not an advocate for the party who engages the witness.
Section 1 and 2 of the Code of Conduct tells us 2 important points. Firstly, the expert’s duty is
to the court, not to either party in the court, and secondly the expert must give objective
evidence and not ‘take a side’. The Code of Conduct continues with sections 3-5 below.
Evidence of expert witness
3. In any evidence given by an expert witness, the expert witness must
(a) acknowledge that the expert witness has read this Code of Conduct and agrees to comply
with it:
(b) state the expert witness’ qualifications as an expert:
(c) state the issues the evidence of the expert witness addresses and that the evidence is within
the expert’s area of expertise:
(d) state the facts and assumptions on which the opinions of the expert witness are based:
(e) state the reasons for the opinions given by the expert witness:
(f) specify any literature or other material used or relied on in support of the opinions expressed
by the expert witness:
(g) describe any examinations, tests, or other investigations on which the expert witness has
relied and identify, and give details of the qualifications of, any person who carried them
out.
4. If an expert witness believes that his or her evidence or any part of it may be incomplete
or inaccurate without some qualification, that qualification must be stated in his or her
evidence.
5. If an expert witness believes that his or her opinion is not a concluded opinion because of
insufficient research or data or for any other reason, this must be stated in his or her
evidence.
Sections 3 -5 of the Code of Conduct tells us that as an expert, we must be entirely honest about
any limitations of the evidence we give and that we must acknowledge these limitations. We
can not simple ‘hope’ we are not asked, but rather we have a duty to the court to tell them about
any limitations or qualifications in the evidence. (Here, qualifications or qualified evidence,
refers to any conditions or limits in the evidence).
Sections 6 and 7 are designed to give the judge an opportunity to break a ‘deadlock’ where 2
experts disagree over the same evidence.
You will see that the court has several options, including 6(b) where the 2 expert witnesses
may simply discuss the evidence amongst themselves and see if they can agree on the evidence
from an expert’s viewpoint. In reality, these options are rarely exercised.
Duty to confer
6. An expert witness must comply with any direction of the Court to
(a) confer with another expert witness:
(b) try to reach agreement with the other expert witness on matters within the field of expertise
of the expert witnesses:
(c) prepare and sign a joint witness statement stating the matters on which the expert witnesses
agree and the matters on which they do not agree, including the reasons for their
disagreement.
7. In conferring with another expert witness, the expert witness must exercise independent
and professional judgment and must not act on the instructions or directions of any person to
withhold or avoid agreement.
Now that you have a basic understanding of court procedure in a criminal case and the duties
and expectations of an expert witness, you should be able to see the importance of building a
very professional, accurate and detailed court file. This file not only presents your evidence,
but represents your expert ability as a forensic investigator. You must ensure it is complete,
accurate and professionally presented.
好啦,现在补充一篇论文,之前就是没有好好读,结果考试出现了一道题,价值3分。
open source的工具在错误率基本都是公开的,即使藏起来也因为是开源很容易被发现,另外在测量错误率方法上,open source工具也更加容易。
open source工具经历过同行审核,代码都是公开的,因此更加可靠。
这里还知道NTFS不是公开的,FAT才是。