我的數位鑑識初體驗

最近機關成立自己的數位鑑識小組，用以搜證及分析資安事件發生的來源與原因，幸與不幸，我正是成員之一。

機關以專案方式委託專業公司為我們制定相關程序，並安排近150小時的訓練課程，課程範圍涵鑑識工具(Encase Forensic)、搜證工具(Encase Forensic portable、Helix Pro)、OpenSource Tools、各類證據型態判讀及分析、證據鑑識方法及AntiForensic對策。主管認為要能防守，就必須瞭解攻擊手法，所以除了鑑識知識外，還要學駭客入侵手法分析及滲透測試技巧。

現場搜證比較單純，反正就是把現場可能的證物扣回去，鑑識工作就困難出了，畢竟要從一堆數位資料中找出真正的證據，原本就有點像大海裡撈針 ，何況駭客(如果是)能入侵到機關內部，絕不是等閒之輩，豈會不隱匿行蹤，就這樣找幾個外行人訓練，真的能達成鑑識任務???

這是我自去年參加資安防護訓練之後，第二次參與這麼完成的教育訓練，雖說訓練，但是沒有練習環境，很多都是紙上談兵，在台灣有刑法第三十六章妨礙電腦使用罪，隨便「測試」別人的電腦可是會吃官司的，沒有實戰，訓練就像背書本一樣，久了就忘了!

這次的數位鑑識訓練也是相同的情形，課程三個月不複習就忘掉一半，機關一年能有幾件需要鑑識的案件? 何況我們這個小組是兼職作業，平時的工作仍然要兼顧，業務只會愈來愈多，鑑識最後只會淪為工作的點綴，老闆! 請不要期待我們能交出多好的成績!