網路犯罪的偵查

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

頭(header)，兩者構成一個封包(packet)，封包是網路傳送資料的最小單位。在傳送路 徑上的路由器(router)讀取每個經過的封包表頭的目的地資訊，將封包往下一個路由器遞 送，最終抵達目的地端主機。

一份傳送資料所分割的許多封包，在遞送過程中可能會經由不同的路徑抵達最後的 終點，也因為網路是共用的，在一段網路中會有來自不同來源端的封包經過其中，由路 由器判斷其最佳路徑，將封包往下一個路由器遞送。

網際網路是一個階層式的架構，越上層的節點、骨幹越是許多資料遞送的必經之 路，以台灣為一個島國來說明，島外連接至台灣的電纜，均連接至位於屏東枋山或宜蘭 頭城的海底電纜通信中心，也因為有這些對外連接的電纜，台灣島內的網路才能成為全 球網際網路的一部份，台灣與外界的信息溝通若是要透過實體線路，一定會經過其中一 個海底電纜通信中心，才能將需要離開台灣的封包信號，傳送離開台灣，或是接收欲進 入台灣的封包信號。

基於犯罪的偵查所進行的封包截取，必須架設截取設備以收集所欲分析的封包，截 取設備在整個網路架構中所處的位置，將會決定該設備所需面對的資料量的多寡，如果 將該設備架設在較上層的節點，將會收集到較多犯罪偵查對象以外第三人的通信資料，

造成隱私權侵害的問題，將設備架設在受偵查對象的住家網路或辦公室網路端口，亦有 可能收集到與偵查案件無關第三人的通信資料，即使縮小收集的範圍，如何特定出只與 偵查案件有關的資訊，亦是偵查技術所需面對的挑戰。

第三節 網路犯罪的偵查

在網路犯罪中，行為人在電腦前下達指令，透過網路對網路另一端的電腦施以攻擊 行為，行為人不需要親臨受害電腦的所在地，經由網路信號承載攻擊指令即能達成侵害 的結果，相較於傳統犯罪的模式，網路犯罪的行為人不會面臨被第三人目擊的危險，因 而有較好的身分上的隱匿性，在傳統犯罪中所留下的生物與實體跡證，在網路犯罪模式 中，已經轉換為系統記錄檔²⁷等數位型態跡證，也因為受攻擊的標的是電腦與網路，其 受侵害的特徵主要為功能而非外觀，除非是該電腦的使用者或管理者發現其功能上已經 產生異常，一般對該電腦沒有使用權限之人，並無法藉由外觀而察覺該電腦已經成為網 路犯罪行為的客體。

27 系統記錄檔會定期的紀錄系統運行上的情況，一般簡稱為 log，其中包括遠端連線電腦的 IP、連線時間 以及使用何種連線服務，系統記錄檔是系統管理者在維護系統運行上重要的參考檔案，一般的電腦使用 者並沒有權限可以接觸該檔案，駭客為了湮滅犯罪的跡證，在入侵系統後會設法取得管理者的權限以更 改或刪除系統記錄檔。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第二章、犯罪的偵查

第一項 犯罪的發現

刑事偵查作為之發動，必須要有犯罪行為的發現為前提，因為該行為已經侵害法律 所保護的法益，因而必須採取刑法的手段加以介入，在電腦網路犯罪的情況中，犯罪的 發現可以是受害者自行發現，經由網路誘捕發現或是經由網路巡邏發現，進而向執法機 關舉報，而有偵查作為的開端。

第一款 受害者

電腦使用者發現目前所使用的電腦有異常²⁸，經由電腦專家的診斷或是防毒軟體的 掃瞄，而發現自己的電腦已經感染了電腦病毒，或是已經成為供他人驅使的殭屍電腦，

或是公司所駕設的網路平台遭受分散式阻斷服務攻擊(Distributed Denial of Service，簡 稱 DDoS)，使得電腦網路系統無法負荷源源不斷來自網路上的服務請求，超出系統所能 承載的極限而導致系統癱瘓被迫終止提供服務，或是一早醒來登入網路銀行帳戶後，卻 發現帳戶中的存款已經藉由網路轉帳的方式遭到盜領一空，驚覺自己的帳號與密碼在不 知情的情形下，已經落入駭客的掌握之中。

第二款 誘捕

誘捕是精心設下的陷阱，在一個事先規劃好的環境下，等待犯罪的發生，在該環境 中可以全程觀察犯罪發生的經過，並且完整的蒐集犯罪的證據。

蜜罐(Honeypot)是一種普遍使用的「誘捕系統」，是一種被設計用來吸引攻擊者並 刻意讓其攻陷的系統，藉由拖延攻擊者在蜜罐的停留時間以達到管理者的追蹤與分析目 的，就如同一個用來吸引昆蟲的蜂蜜罐一般，蜜罐最主要的價值在於讓未授權者或非法 者加以使用，由於蜜罐可以提供其它工具所無法獲得的獨特攻擊資訊，所以其所蒐集到 的資訊都具有很高的價值²⁹。

蜜網(Honeynet)是由數個蜜罐所組成，它是一個用來蒐集駭客相關資料的網路陷 阱，以瞭解其團體屬性、感興趣的標的、使用的軟體、利用的電腦弱點等資訊，在蜜網 中除了蜜罐之外，還需要一些網路軟硬體相關的裝置，例如防火牆、路由器、交換器以

28 異常的情況可能有以下的情形之一：系統非常的緩慢、硬碟不斷的讀取或是使用者在沒有使用網路服

務的情形下，網路卡信號卻不斷的傳送。

29 葉昭熙，以開放始碼為基礎的蜜罐系統設計與實現，國立高雄師範大學資訊教育研究所碩士論文，2007

年，頁 8-9。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

及日誌記錄工具與封包分析器等，在蜜網中最重要的元件就是資料控制(Data Control) 和資料捕捉(Data Capture)單元，資料控制單元定義了怎樣將攻擊者的活動限制在蜜網 中而不被攻擊者察覺，資料捕捉單元則是指在攻擊者不知情的情況下，如何掌握其所有 的攻擊活動，而兩者之中又以資料控制單元最為重要³⁰。

分析誘捕環境所蒐集到的資訊，可以學習入侵者所使用的工具以及手法³¹，除了可 以追溯犯罪足跡採集做為犯罪的證據之外，亦可以提供資訊安全人員改善電腦系統現有 的弱點，強化系統抵抗資訊安全威脅的能力。

經由誘捕系統所取得的犯罪資料，都是犯罪行為發生當時的細節記錄，對於犯罪發 生的整個過程有較好的掌握度，而實務上比較常遇到的情況是，犯罪行為發生後才開始 進行證據的蒐集，比較容易會面臨資料蒐集不完整的困難³²。

第三款 網路巡邏

網路巡邏是藉由分析網路上的流量，以判斷是否有電腦因為感染電腦病毒而有不正 常網路信號的發送，網路服務提供者為了確保在其所提供服務網路上的其他網路使用者 的資訊安全，常常會有相關的機制以進行網路巡邏。

隨著資訊安全風險意識的覺醒，政府與民間機構已經體會到資訊安全防護的重要 性，而普遍藉由防毒、防火牆，甚至入侵偵測系統等資訊安全設備的部署，試圖防護或 偵測資訊安全事故的發生，由於欠缺對資訊安全設備所發出的危險預警信號加以解讀與 判斷並採取適當措施的專責單位，資訊安全事故還是時有所聞，使得代價昂貴的設備沒 有發揮應有的功能，資訊安全維運中心(Security Operation Center，簡稱 SOC)於是因 應而生³³。

資訊安全維運中心對於資安事件的管理主要區分為四個階段：準備與預防階段、偵 測與分析階段、封鎖與復原階段、蒐集與存證階段。準備與預防階段的重點在於加強安 全認知與教育訓練，以提升資安人員的應變能力；偵測與分析階段的功能在於針對所發 現的事件徵兆，加以初步分析並確認是否為事故，以及持續監控與偵測該事故；封鎖與 復原階段的功能為進行通報應變作業、執行封鎖作業與證據蒐集以及資安事故還原；蒐 集與存證階段的功能為經驗學習以及蒐集事故資料與保留證據³⁴。

30 葉昭熙，以開放始碼為基礎的蜜罐系統設計與實現，頁 9。

31 黃佩倫，入侵電腦行為之研究，國立交通大學科技法律研究所碩士論文，2004 年，頁 107。

32 黃佩倫，入侵電腦行為之研究，頁 107。

33 SOC 參考指引，九十五年度國家資通安全技術服務與防護管理計畫，available at http://www.rdec.gov.tw/public/Data/74217484571.pdf (last visited June 19, 2012)。

34 SOC 參考指引，九十五年度國家資通安全技術服務與防護管理計畫。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第二章、犯罪的偵查

行政院資通安全會報所統籌規劃推動之資訊安全資訊分享與分析機制，在學術網路 方面的具體實現是分別在北區與南區建立學術資訊安全維運中心(簡稱 A-SOC)，北區學 術資訊安全維運中心是由台灣大學負責管理，並在台灣大學、政治大學與中央大學成立 維運點部署相關的資訊安全設備，將所蒐集到的資料彙整至北區學術資訊安全維運中心

35。

北區學術資訊安全維運中心目前所達成的具體成果包括，部署入侵防禦設備並可以 配合緊急應變機制即時阻擋惡意連線；建置資訊分析平台以蒐集各監控點資訊安全事 件，進行初步關聯性分析，使北區學術網路的安全防護機制獲得強化。在網路犯罪偵防 所可能提供的協助包括，建立學術網路區域聯防機制，透過學術資訊安全維運中心所監 看之資安事件可以追蹤至校園網路之問題來源；建立校園網路資安事件之鑑識機制，對 受害重要主機進行鑑識與蒐證，並配合學術資安維運中心之資安紀錄進行交互分析；以 及提供資安事件追蹤與鑑識之經驗分享，以協助北區學術網路之連線單位資訊安全人員 專業能力的提升³⁶。

第二項 犯罪偵查單位

第二項 犯罪偵查單位