暗网潜航——电子靶场：初情莫重于检验

庞博文

2020-09-21 05:50 HKT

阅讀更多

內容

　　电子靶场除了让讯息安全专家模拟网络对抗外，这种演练方法也可应用在电子鉴识上。电子鉴识是现代法医科学内一门新分支，倚靠严谨科学验证，不断反复检验犯罪现场所发生的种种可能，非常着重取证的充份性、完整性及可重现性。在这一点上合乎「世界最古的法医学著作」《洗冤集录》开篇第一句话︰「狱事莫重于大辟，大辟莫重于初情，初情莫重于检验」，其实就是证据至上。
　　不过我在课堂常常和学生说，法医和电子鉴证专家收集证物进行检验，都面对一个问题：虽然可以尝试不同检验方法，但证物只有一件，所以可用方法相当有限。
　　相对于法医，电子鉴证专家有一个特殊优势，就是如果检测范围属于数据和系统，我们可以将其无限复制，再配合不同场景及手法测试。这个特性不仅局限于数据层面，如果配备适合硬件，甚至可以把硬件层面场景也完全重现。电子靶场则可以成为模拟测试沙盒，尽可能重现整个犯罪过程。
　　一些高阶电子靶场不止是模拟单机或单一系统，而是建基于云端系统，并模拟复数关联系统供我们训练。假设一台伺服器被攻击，其他处于同一网域的系统，往往也成为攻击者跳板，所以调查攻击者入侵手法时，我们不能忽略关联过程，这就是我们做漏洞研究或电子鉴识时所说的「攻击路径」。
　　以一个网上销售数据库被黑客盗取资料为例，一般来说，黑客首先要越过防火墙，然后进入网站伺服器获取权限，接着利用权限欺骗软件伺服器，由数据库中调出目标数据。所以在进行鉴识时，如果我们只检验受害机器，而没有把关联机器和系统一并检验，我可以保证过程中绝对有盲点。
　　如果一个高阶电子靶场，利用云端系统模拟复数关联系统场景，应用在电子鉴识中，作用可以超乎想像。试想一下，一个能够随意穿梭时空、身处任何场景的调查员，攻击者手法绝对无所遁形。
TOZ联合创办人
庞博文