追查洩密是企業的尚方寶劍嗎？

| | | | | | 留下回應

    

該事件也反映出，企業防堵資訊機密外洩是否可以成為運用一切基進手段的尚方寶劍卻值得我們深入探討，或許HP的案子可以讓所有企業主引以為借鏡。

後威脅時代目標價值的轉移

確保資料的完整性是長久以來是每個企業主最大關切。架構層層的資安長城防禦外部駭客攻擊，資料與生產等營業機密外洩或被盜造成龐大金錢損失的事件已經是行之有年；然而現今，內部合法使用者利用合法管道之資料外洩行為卻取而代之，躍升企業管理者心中管理焦點的第一順位；各式各樣的追蹤機制與技術應運而生。

回朔這個引發諸多討論的事件，起因於HP單純期望阻止董事會洩密事件的發生，卻在追蹤與鑑識的過程出現「擦槍走火」的意外結果。整個過程中的調查手法除了違法調查數名媒體記者通聯記錄、調閱與追蹤電子郵件紀錄，甚至到最後散發假新聞以追查來洩密來源與實體跟蹤，各式各樣的手法盡出令人咋舌。

機密核心資料外洩固然是企業心中永遠的最痛，洩密事件輕則影響個人隱私、重則動搖企業營運、影響競爭力；但是反制手法應用是技術面將首先被討論的，到底在預防洩密的同時技術與管理的「底線」到底為何？

從筆者從事的資安鑑識的角度來看，本次的事件反映出企業對使用者「行為模式鑑識」與「事件現場重建」的需求，然而卻顯得「病急亂投醫」，引用第三方的追蹤系統不當地進行郵件歷程的行為模式分析。完整的鑑識相當講究取得證據的合法性與完整性，其中完整性就是指所收集證據的範圍與深度是否足夠。而HP追查洩密的方法，像是追蹤電子郵件、冒名取得記者與HP人士的通聯記錄等等，都忽略了手法的有效性、風險性及合法性。

郵件追蹤證據效果不明

首先，根據CNET新聞的報導，惠普所引用的是第三方技術供應商追蹤信件開啟人的IP位址，看記者是否把電子郵件轉寄給他的消息來源，以調查該公司內部機密資訊的流出來源。然而單純的追蹤開啟信件之IP位址在整個犯罪鑑識中並沒有什麼相當具體的意義。

特別是收發信人員是透過網頁型態存取郵件﹙WebMail﹚。現今Web mail已相當成熟與簡單，任何地點都有可能開啟這封郵件，但這也減弱了「收信地點與收件者的日常生活環境的任何關聯性」，更不用說有哪個意圖洩密的人會堂而皇之將原始信件當作附件夾帶或是使用公司的郵件伺服器寄件而留下紀錄。

圖一 郵件的HEADER顯示出一旦信件打開讀取，系統會知會哪家公司。

筆者先後以WebMail（如IE）與常見於洩密事件中的Tunnle跟特殊型前端程式（如Torpak）進行追蹤測試簡單做了實驗。結果發現，該技術的確可以追蹤毫無戒心的使用者。但是有警覺心的用戶可以從郵件的Header看出異常的訊息位址存在（圖一所示）。如果使用者用的是隱藏蹤跡的技術（如Torpak），則該技術完全無法有具體顯示出成效（如圖二）。

圖二　該服務蒐集到來自Torpak的訊息，訊息簡單很多。

由上面小小實驗可以得知，現有揭露的電子郵件追蹤其實並不足以證明她們所認定的犯罪者確實涉案；電腦遭他人或是駭客利用而自行寄送郵件的例子比比皆是，因此也僅能證明「該電腦設備涉案」而非「該電腦使用者或擁有者涉案。」無怪乎HP總部舉行的記者會上，該公司律師Michael J. Holston表示在監控的電子郵件並未達成什麼具體成果。

如果還是執著於從郵件行為模式來分析（然後又得不到結果！），其實根本用不著委託他人。

委外反易升高資料外洩風險

在本次事件中，HP乃委託外部第三方單位郵件使用歷程分析服務來追蹤郵件流向。除了效果之外，這種服務另一個問題是，反而可能致使更多不相干的人士接觸所謂的機密資料，導致機密的全面性外洩。

整個追蹤郵件的過程中，首先必須將所追蹤之機密資料後將其郵件位址、檔案加工，或是直接於所懷疑人員的電腦上安裝追蹤模組後再委由他人進行追蹤。不管所採用的方式為何，外界均可以輕易從回傳的訊息了解被追蹤標的物為何。不論是基於「家醜不可外揚」或商業犯罪可能性的理由，多增加一個知悉內情的人就是增加一分曝光之風險，當誘因夠大時，業者不管是與被追蹤者交涉、或對媒體爆料以獲取更大的利益報償，如電影中「變節」之情況也不是完全不可能。對洩密者而言，洩密一次可以一輩子不愁吃穿，縱虎歸山或許可以減少數十年奮鬥；可以想見的是當任何一種狀況發生時其實傷害將更甚於以往。這也是為什麼企業本身需要具備相當之鑑識技術與經驗之原因。

機關算盡太聰明 賠了夫人又折兵

鑑識的第二要素是證據合法性。透過證據蒐集，在「企業的涵蓋範圍之下」，對可疑者行為模式像電視影集「CSI」般進行各式各樣的反覆檢驗與關聯性的分析，完整地依照其行為模式重建犯罪的現場，而非利用設計過的事件「誘使犯罪、陷人於刑」。

當鑑識進行到這個階段，就要確保收集證據手法的合法性。像HP採用郵件歷程的追蹤「任意」將他人郵件加入追蹤系統，或是以「pretexting」技術，冒名取得他人隱私資料，更甚者採用實體跟蹤非企業內員工，都是藉由欺騙、不正當的手段以遂一已之願，反突顯鑑識決策的不完整。因此，HP雖然證明了可能的犯罪嫌疑，但是卻因為證據取得不當而導致官司敗訴，進一步影響公司聲譽。這或許是HP高層在當初所始料未及的吧。

HP事件可以當成精彩與複雜的商業競爭故事來看，也可以抽取出值得企業主參考的教訓：企業應當具備對鑑識應有的技術、認知與應用之道德操守，了解你用的「技術」與「程序」是否真正符合鑑識所要求的標準；面對洩密事件與犯罪者所應用的心理與技術複雜程度，企業為保護機密資料機關算盡，但也只能透過「合法的程序與手法」來自我保護，而非為求結果不擇手段，否則使用了不適當的追蹤手法，不但沒有達到效果還吃上官司、賠上名譽，小心賠了夫人又折兵。