当前位置:首页 > 新闻资讯 > 科技生活 > 新闻
计算机取证的新难题:黑客行径更难发现
  • 2012-7-11 11:33:03
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:黄旭
  • 作者:
【电脑报在线】我的研究有两个方向,一个是网络安全防护,一个是计算机网络取证。2005年在中国电子学会下由北京人民警察学院牵头成立了一个取证委员会,今年CCFC中国计算机取证会议的主题就是云计算取证、物联网取证,讨论中我们都意识到在云计算中更难发现黑客的行径,过去成名的黑客在云计算时代他们觉得更好用了,用黑客的话说,他们可以轻易拿住云计算。
许榕生
   
  中国计算机法证技术研究会会长、中科院高能物理研究所研究员/博导、网络安全实验室首席科学家(网络安全实验室为我国最早从事网络安全技术研究的团队之一,自1996年开始,承担有多项国家自然科学基金、863、973、国家信息安全保障持续发展计划等三十多个网络安全课题)



  我的研究有两个方向,一个是网络安全防护,一个是计算机网络取证。2005年在中国电子学会下由北京人民警察学院牵头成立了一个取证委员会,今年CCFC中国计算机取证会议的主题就是云计算取证、物联网取证,讨论中我们都意识到在云计算中更难发现黑客的行径,过去成名的黑客在云计算时代他们觉得更好用了,用黑客的话说,他们可以轻易拿住云计算。

  上个月在上海有一次黑客大会,我和一些知名黑客交流,他们说很简单,申请一个帐户交钱,就可以用云计算。就像买票上飞机,没有表现时,一切都看不出来。登机后,做了一些什么事,也不清楚。

  目前用于商业的云计算服务,收费主要是按照俱乐部会员制收费,申请帐号就可以用。我问过IBM、阿里巴巴,这些推行云计算的商业公司,对安全如何保障。一般是两项措施:一是用户接入严格把关,二是对数据加密。但是,对用户提交的作业,没有检查,就像缺少登机前的安检一样,这就麻烦了。如果有人提供一些恶性作业,破坏性太大,这些作业可以发作,也可以不发作,有些作业潜伏到哪里,很难查找。

  我的一个博士生一晚上在一个云计算节点上就可以送出100多个作业,很难想象全球的众多节点上发送的作业中,一旦有恶性程序发作,运行调度被控制、被破坏,这个后果不堪设想。

  虽然云计算的商业部门应该非常严格把关会员,但还存在这样一些情况:总会有朋友托人帮忙代送一些作业,这样的情况不可避免。所以云计算的安全不容乐观。

  中科院高能所是大陆唯一一个24小时用于科学计算的全球网格节点,也就是云计算的一个节点,有4700多个CPU,参与全球的科学计算。我们通过这个屏幕可以看到全球每隔三分钟刷新一次的机器调用情况,我们有一套运行调度程序,还建设了一套云计算作业检查安全系统,运行十年来,情况良好,没有出现过外来的作业无法调用的情况。我对云计算节点有一个比喻:就是要像机场一样,保证所有飞机正常起飞,外来的飞机安全着陆。重庆邮电大学校长对我的这个比喻深感赞同。他认为,在我们所用的安全检察机制也可用到更多的商业云计算中。安全问题刻不容缓,我们会在云计算安全建设上继续做更深入的研究。


  电脑报:你作为计算机取证方面的权威,能否为我们介绍一下目前计算机取证的应用情况?
   
  许榕生:计算机上的调查取证,国外有很多应用,国内的例子,如熊猫烧香,是国内公开的第一个,瑞星的官司,也是媒体都报道过的。我们取证的方法,在不开机的情况下,(一开机电脑中信息会改变),用硬件设备插入电脑,可以镜像硬盘中内容,克隆硬盘后,用软件分析。像美国FBI都用了20多年的分析软件,如EnCase,Access DATA ,就是常用的工具。

  为了取证,一般还会在操作系统里有一些措施,电脑运行时定时捕捉数据,或者是监控程序做到硬件里,否则会被检测对象检测出来删掉。我的一个学生就试图把监控程序做到BIOS里。


  电脑报:对于一些被删掉的文件或邮件,还有覆盖掉的图片,有什么办法恢复?
   
  许榕生:如何恢复删除文件也在研究,我们称为碎片恢复。比如,Foxmail 中国人用的多,邮件删除后如何办,我们的研究成果可以恢复90%左右,图片的恢复,需要特征统计,即使被覆盖掉的图片文件,也可以恢复原来的图像的大部分,可以清晰看到原有内容。我们的这套程序运行在红旗LINUX下,同样可以恢复WINDOWS下的文件,对UNIX下的内容同样适用。


  电脑报:云计算时代,连上网的终端不仅是PC,还有智能手机,是否也在取证范围内?
   
  许榕生:的确,以后手机、汽车都是一个个数据点,所以我们的研究方向下一步是汽车取数据。关于汽车的GPS数据,外国已做得很好。十几秒就能把GPS数据导出,映射到GOOGLE地图,马上就可以标出车主的行车路线,放大时间刻度,可以看到这辆车在某个点的停留时间有多长,有多少次,很容易发现车主的窝在哪里。S、Y、T三个像素一下就把这个人的行踪展现得清清楚楚。

  云计算数据存储量很大,传统的取证方法不够用,因此在构建云计算框架时,就要预留空间。人才的问题才是现在最大的问题。培养这方面的人才成本很高,像我们这样的一个云计算节点,系统管理员一开始要送到国外,欧洲这些节点去培训,以后每年都得到世界各地参加相关会议进一步获得新的知识和经验,确保节点运行的畅通,如果出错3次,这个节点就会被取消。
本文出自2012-06-04出版的《电脑报》第19期 A.新闻评论周刊
(网站编辑:李亚)


我来说两句(0人参与讨论)
发表给力评论!看新闻,说两句。
匿名 ctrl+enter快捷提交