資訊證據無所遁形 刑鑑中心實驗室邁向「資安鑑識」
資訊科技日新月異,運用電腦設備及行動裝置進行的犯罪活動成爲時代趨勢,但您以爲這些證據只要刪除後就萬無一失了嗎?「凡走過必留下痕跡。」數位鑑識,可以讓所有資訊證據,無所遁形。
憲兵刑事鑑識中心數位鑑識組組長曾少校指出,該中心在民國97年4月1日起,增設「資料統計組」,初期專責犯罪紀錄管理及電腦鑑識支援工作,並持續申請經費建置實驗室及培育鑑識人才,經過多方努力,高等法院檢察署於98年6月增列該組爲「概括選任鑑定機關」,開始協助司法警察機關偵辦數位證物案件;99年7月正式更銜爲「數位鑑識組」,重新定位爲行動裝置及儲存媒體的專業鑑驗單位。
曾少校指出,數位證據(如數位照片或通聯紀錄等)是無實體、非物質的,並具有可輕易複製與修改等特性,因此,數位證據的蒐集必須遵守「在不改變或破壞證物情況下取得原始證物」、「證明所抽取的證物來自扣押證物」及「在不改變證物的情況下進行分析」3大原則,故在實務工作上,實驗室會透過防寫裝置製作副本,並以副本進行鑑定分析,後續出具的鑑定報告亦會檢附「雜湊值」(可顯示是否遭竄改)資訊,以利其他單位進行驗證。
曾少校表示,數位證物類型包含桌上型、筆記型電腦、伺服器、攝影裝備、攜帶型儲存裝置、網路及網路裝備及手機、平板電腦等行動載具,鑑識項目包含還原刪除檔案、加密資料破解、關鍵字搜尋、隱藏資料分析、Log(紀錄檔)分析、SWAP或暫存(TEMP)檔分析、殘存檔案分析及位使用空間分析等;實驗室運用先進的資訊技術方法,將查扣的電腦、手機或數位儲存裝置等證物,藉由蒐集、分析、鑑定與保存等步驟,獲得證明犯罪或關聯的證據資料,以協助案件偵辦。
爲了與國際接軌,曾少校說,實驗室在105年11月起積極導入認證管理系統,隔(106)年10月通過ISO17025國際認證,代表該實驗室所出具的報告極具公信力,各項取證程序、步驟及要領均符合相關規範要求,足以提供案件偵查獲法庭審理運用。
曾少校強調,實驗室未來3年將進行整建並添購新式設備,其中包含了網路鑑識設備,期望未來朝更多元的「資安鑑識」轉型邁進,也希望更多具備相關專業的官兵同仁或青年學子能加入行列,以擴充實驗室整體能量。