安總有一位朋友的終生職志是國際刑警、隨扈保鑣與霹靂小組，他勤練空手道，對於未來犯罪領域多有興趣與涉略。所以為了能夠與未來的他對談，今天這篇文章我要好好撰寫和認真學習。今天的重點內容是「電腦犯罪之偵察與蒐證」。

電腦犯罪與蒐證

一旦您發現電腦犯罪的跡象，就必須立即啟動「蒐證程序」。

1. 辨識電腦犯罪。典型的電腦犯罪有：
   • 軍事和情報攻擊 (Military and Intelligence Attack) 從執法機關或軍事和技術研究機構獲得秘密和受限的資訊。
   • 商業攻擊 (Business Attack) 獲取公司的機密資訊，使用非法手段獲取競爭資訊的行為。
   • 財務攻擊 (Financial Attack) 非法竊取錢財和服務，最常見的類型。
   • 恐怖攻擊 (Terrorist Attack) 目的在於中斷正常的生活，製造恐怖氣氛。
   • 惡意攻擊 (Grudge Attack) 源於不滿情緒。
   • 興奮攻擊 (Thrill Attack) 多見於技能較低的攻擊者，利用他人編寫的工具入侵系統，享受入侵後的「成就感」。
   • 任何違反您組織之安全政策，或是危害到您資料之機密性、整全性、可用性，皆可視為「事故」發生。此步驟的重點在於事故确定，主要的手段有：IDS/IPS，Anti Virus，Firewall，Event Log，Physical Security，File Integrity 等。
2. 隔離與抑制。防止洩密和進一步的破壞。
3. 啟動調查與蒐證程序。蒐集證據 (Evidence) 有三個目的：
   • 為了接下來的法律行動
   • 為了找到攻擊者的身份
   • 為了幫助您確定損害程度
4. 保存證據。有三種合法之方式，可強制保存證據：
   • 讓擁有證據的人，自願繳交它們 (Voluntarily Surrender)。
   • 傳喚出庭作證，在法庭上繳交它們 (Subpoena Witness)。
   • 蒐索令是最有用的，在當事人修改證據之前 (Search Warrant)。
5. 通報事故。通報事故的步驟如下，這是我們平時模擬演練就要很熟的：
   • 總結報告：聚集盡可能多的資訊敘述，及時地製作報告。
   • 與相關法制單位建立工作關係：進入事件解決階段。
6. 總結經驗教訓。導入長期對策與未來行動事項展開。

寫到這裡，不禁莞爾一笑，跟事故解決流程 (Incident Resolution Process, IRP) 流程，有異曲同工之妙。

關於訴訟用的證據 (Civil Trial)

由於在法庭上使用之證據，必須要能呈現相關案件之事實，且這個事實要能作為重要證明且發揮決定性的作用 (Material)，既然要有決定性作用，它就必須是合法採集來的，而且具有合理說服力。所以，以下我們就花一節說明，常見訴訟用的證據類型：

1. 物證 (Real Evidence)：
   由事物本身提供的證據，可由陪審團直接觀察而不必經由證人口頭描述。例如，某人的外貌、疤痕、傷口、指紋等，又如犯罪所用的武器、工具或其它有關物品、發生事故地點的外形等。
2. 書面證據 (Documentary Evidence)：
   以書面文件為表現形式的證據。通常在作為證據被採信之前應經過認證。
3. 證人證言 (Testimony)：
   指具備作證資格的證人宣誓或作出確認保證 (affirmation) 後，在庭審中或在宣誓書 (affidavit) 或書面證詞 (deposition) 中以口頭或書面形式提供的證據。

還有好多好有趣的法律詞條，我就放個 Wiki 截圖來勾起大家的興趣，可以自己再去探索看看喔。

電腦事故回應團隊 (Computer Incident Response Team)

電腦事故回應團隊之角色，要被定義在標準程序中。查檢表的目的是為了在複雜、緊急、突發狀況中，我們能夠不遺漏的處理事故。
常見組成人員有：

1. 管理層代表
2. 資訊安全專家
3. 法律人士
4. 公共事務/通訊部門的代表
5. 系統/網路工程師

這個團隊之主要職責有：

1. 確定破壞程度和範圍。
2. 確定是否有機密資訊洩露。
3. 實現必要的恢復措施。
4. 改善防護手段，防止破壞再次發生。

這幾天實在是很可怕的行程，稱得上傳奇。首先，這兩天要參加一個所有 C 字頭齊聚的會議 (在台北)。但是第一天晚上，因為還有 21:30 開始的 con-call (在桃園)，所以安總約莫晚上 19:30，坐了一個小時的車進公司，開到天亮；早上 7:00，再開一個小時的車殺到台北開一整天的會。然後晚上 18:30 結束，再排兩個 interview 到 20:30，安總回到家都已經 22:00 多了。
會議期間，董事長送了安總一本書，叫作「必然 THE INEVITABLE」，裡面就講在未來 30 年有 12 個必然，作者說這不是預測，是必然發生的現在進行式。

《必然 THE INEVITABLE》
圖片來源：
https://www.amazon.com/Inevitable-Understanding-Technological-Forces-Future/dp/0525428089