为促进国内电子数据取证相关技术的全面进步和发展,更好地与国际接轨,CCFC计算机取证技术峰会应运而生。自2005年至2019年,CCFC计算机取证技术峰会已成功举办了15届。
第15届CCFC计算机取证技术峰会于2019年11月5日至11月7日在湖北省武汉市荷田大酒店举办,历时三天,主题为“电子数据取证技术最新发展与应用”。峰会吸引了来自中国大陆、中国台湾、俄罗斯、加拿大等地的技术专家,以演讲和研习会的形式,围绕最新的手机取证、密码破解、恶意代码逆向分析、综合取证技术进行深入交流。
大会吸引了来自全国公安网安、公安刑侦、海关缉私、检察院、监察委、科研单位、高等院校、司法鉴定机构、律师事务所、外资企业等350余名行业精英,在CCFC峰会现场汇聚一堂,共襄盛会。
本届峰会由湖北省网信办网络信息安全与信息化处,湖北省公安厅网络安全保卫总队,武汉市海关缉私局指导,武汉大学国家网络安全学院、华中科技大学网络空间安全学院、电子取证及可信应用湖北省协同创新中心、保密通信重点实验室共同主办,天宇宁达科技有限公司等共同承办。
本届峰会围绕“电子数据取证技术发展与应用”主题进行研讨,研习会针对
“密码破解”、“恶意代码与逆向”、“手机取证”、“综合取证”
四个方向进行培训和交流,峰会还首次引入了“技术反窃密、企业内部安全风险管理与合规调查”、“CISAW电子数据取证方向基础级认证”两个实务培训。同时,为增加各个环节的专业性,大会特别邀请了国内顶级网络安全高手“坐镇”主持,他们分别是
“黑客教父”老鹰万涛、逆向“老顽童”钱林松、“呆神”王英建、RC2反窃密实验室“杨叔”杨哲、“取证大赛优秀导师”张俊教授、“CDF电子数据取证训练营创始人”郭永健老师。
许榕生研究员是中国互联网和中国电子数据取证技术的先行者,先后十届出任CCFC峰会主席,他对CCFC有着深厚的感情和期望。在开幕致辞中,许老师用
“勇于实践,勇于讨论”
八个字,表达了对第十五届CCFC的肯定和祝贺,并鼓励大家紧跟国际网络安全发展脉搏,围绕世界关注的AI、5G、物联网、区块链等方向,开展创新研究,引领未来中国取证技术发展。
华中科技大学网络空间安全学院邹德清院长,分享了《云计算环境隐私追踪取证》,中南财经政法大学侦查学博士生导师胡向阳院长分享了《电子证据的审查与判断》。湖北警官学院张俊教授分享了国内外院校和教育机构在人才培养方面的课程设置和培训内容。
三位教授分别从取证技术的底层架构建设、电子数据取证的证据学原理、电子数据取证学科建设和人才培养等不同方面,阐述了人才教育和培养对取证技术发展起到的重要作用。
攻与防,诉与辨,鉴定与质证,其实一直都是取证圈的话题。社会中的每个人都希望得到法律的支持,每个人也可能会面对无法预料的法律诉讼。如果可以提供证据,解释证据,这时大家会需要律师、公证机构、鉴定机构的权威意见;如果我们无法说清法律和技术问题,无法反驳控方观点,这时候我们需要律师和专家证人、专家辅助人的帮助。
本届峰会,我们又一次引入了司法会计这个话题,只是本届演讲专家是完全站在审判方的立场指出取证方向和司法鉴定意见中的瑕疵。诚然,取证人不会希望自己的取证过程和分析结果被怀疑,鉴定人也不会希望拿出的司法鉴定意见被挑战。但是当
章宣静老师把司法会计、审计和电子数据司法鉴定意见书的面纱一层一层的拨开,参会听众立刻就对此话题极度地关注。
不仅是因为参会的取证人和鉴定人受到了挑战,更是因为这种理论、标准和规范与技术的对抗,切实落到了每一个执法人员、每一个鉴定人员、每一名律师、每一个公民的利益身上。这种话题的探讨,让每一名参会者都得到了不同程度的启发。保持司法公证,相信也是未来,我们取证人要不断研究的一个方向。电子数据取证与司法会计鉴定的交集,决定了电子数据取证专家与司法会计鉴定专家应该互相学习,取长补短,共同协助司法机关精准打击犯罪提供优质技术服务。
最高人民检察院的赵宪伟副处长也大会中针对刑事案件中的电子数据勘验和司法鉴定的关系进行了详细阐述
,明确指明了什么情况需要鉴定,鉴定的方法和规范。
无规矩不成方圆,取证分析有规范,取证实验室有认可,取证人员有认证。
天宇宁达咨询及培训总监魏智煌在峰会中对认证认可在电子数据检验鉴定中的作用进行的深入的剖析,分享了申请和维持认证认可过程中的注意事项以及如何轻松、高效地通过认证认可。
依据CNAS、CMA准则条款及相关法律法规建立并运行管理体系,可以优化鉴定机构管理流程、提升工作效率,大大降低了司法鉴定风险,也是各行业规范管理、法律法规要求的大势所趋!
而针对电子数据取证人员认证,中国网络安全审查与认证中心首次在CCFC培训年会中设置了CISAW电子数据取证方向基础级认证考试
。数十位参会嘉宾在紧张的会议期间,一方面努力吸取专家的技术分享,同时还要认真准备考试。在大会最后一天晚上,在CDF取证训练营郑春燕营长的主持下,报考人员进行了三个小时的CISAW认证考试。相信凭借他们扎实的取证技术功底,很多人都能够顺利通过这个国家级电子数据取证专业认证。
在逆向和破解技术主题研习会中,来自
中国网安的密码破解技术专家吉庆兵分享了《基于语义的口令攻防研究》,他从原理上分析了当前在用的口令破解系统和破解软件采用的主流口令破解方法并提出了它们存在共同问题——生成的口令没有泛化能力或泛化能力极低,
针对这个密码破解急需解决的现实问题,他从口令构成的核心元素即词汇与结构出发分享了一种基于语义的口令快速生成技术,从根本上解决了口令泛化问题。最后,他结合破解案例表明该技术与其他技术相比,在相同的条件下破解成功率和生成速率都得到了显著的提高。此结果的分享引起了与会电子技术取证人员的强烈反响。
来自
北京未来安全的两位技术专家Light、胡一米以全新的角度,演示了智能门锁的破解技术。
当参会者亲眼目睹了针对国际大牌Yale电子门锁的快速破解演示之后,再结合
湖北省公安厅网安总队王远征、武汉市公安局钟运涛两位警官针对智能穿戴设备的研究测试报告,以及武汉大学国家网络安全学院陈晶教授对NFC设备安全与威胁问题的研究后,
都对未来智能设备、IoT设备的安全和取证技术引发了思考。
恶意代码的逆向分析是电子数据取证的常用手段之一,在揭示恶意程序意图及行为方面发挥着重要作用。通过反汇编代码来理解攻击者目标、方法,可从中获取其他取证手段无法掌握的重要证据和线索。
本届峰会还特别邀请了
江民新科技、360的反病毒专家和台湾警察专科学校的恶意代码研究教学专家,他们采用理论结合实践的授课方式,配合案例教学和实际的恶意代码逆向分析演练,深入解读了电子数据取证过程中面临的法律风险,
使得学员通过培训可具备恶意代码分析和取证的实战能力,直接投入到企业的应用业务中。
台湾警察专科学校的张志汖老师多年来一直对恶意代码在做深入研究,
他在介绍“利用AI技术爆破恶意代码”技术时说到:
“ 黑客的攻击手法不断创新,已无法完全依靠传统的专家规则进行侦测防范。
透过AI技术的人机协作方式,辅以区块链上数据设定为具有逻辑顺序的训练样本,网络安全取证专家便能制定各种恶意威胁的特征与学习策略,藉由模型自主提问与专家反馈的方式来成长茁壮。
模型便可视为一位网络安全取证专家,辅助企业解决网络安全问题,将节省的人事资源投入至其他所需之处。”
会场的技术气氛浓厚,大家凝神静听,
江民科技技术专家周垒带来了勒索病毒的全方位立体化的认知;360的安全专家边亮先生演示了高级威胁,通过溯源并定位到其身份背景;广州蝉鸣的代兆军先生分享了IOT设备的高隐蔽与防溯源控制技术。
主持人科锐逆向的钱林松说到:
“感谢各位大咖给大家带来了眼睛一亮的技术盛宴。
CCFC会议真是越办越好啊!”
随着科技发展,电信诈骗、网络传销、变化多端的黄、赌、毒等类型犯罪不断涌现,新型的网络诈骗时刻威胁着公民的财产安全。
网安实战专家武汉市公安局钟运涛、黄石市公安局晏军分别分享了“短信嗅探器盗取公民网银类案件的鉴定方法”、“一起网络盗窃案件引起的思考——电子数据取证篇”的话题,真实的案例带来震撼的话题,引起与会者的极大关注。
来自成都无糖、武汉零号线、南京拓界、北京安信荣达、四川神虎、加拿大Magent、大连睿海等公司的技术专家,就如何基于互联网、基于大数据、基于局域网,进行远程勘验、网络证据固定、碎片化分析、关联分析、密码破解、防溯源控制技术等专题进行了全方位的深入探讨。
这些技术贯穿于高科技犯罪调查的始终,或可独立实现,或者密不可分。大家都清楚的认识到,面对未来的新型犯罪,单一的技术的确能够解决某一案件中具体的问题,但是如果希望彻底消灭网络犯罪,保护中国互联网络的清洁,则一定需要各个执法部门与科研机构、高等院校和技术服务团队的紧密结合,需要全社会的共同参与才可实现。
在手机取证专题研习会中,
深圳云帆张彬、苏州龙信王海啸、河北阮咸李佳林,这三位国内手机取证技术高手大牛对国内外安卓手机密码破解发展历史进行了回顾,对把目前最新的安卓手机解锁方法进行了重点介绍。
演讲嘉宾还抛砖引玉,将各类APP的手工分析方法和一些尚未被手机取证软件所支持的技术要点拿出来与参会者分享,鼓励大家尝试学习手动分析,填补实际业务中的技术缺失。几位专家的纯技术探讨,引发了参会者对手机取证手动分析技术的研究热情,并对这些专家的深厚技术功底和专业精神表示钦佩。
俄罗斯Elcomsoft公司创始人、技术专家 Vladimir Katalov先生结合了目前国际社会针对iOS设备的取证难题,针对iOS设备数据存储方法、iCloud备份原理,全面阐述了iCloud云取证的意义。
他指出,目前各个手机取证厂家可以通过解析iTunes备份获得手机中的通讯录、短信、微信聊天数据,但却无法获取到加密的iMessage数据、iOS Health App保存的健康数据、第三方APP上传的地理位置、iOS钱包中的信用卡和消费记录、iOS钥匙圈保存的账号密码等加密数据。如果调查员无法采用越狱或高级逻辑获取方法,那么只能通过获取iCloud数据才能掌握这些隐秘的信息。在研习会中,他还亲自利用自己iCloud账户中的实际数据,演示了如何提取云中存取的iOS钥匙圈各类密码、智能设备记录的步数、时间和位置信息等。很多参会者对俄罗斯嘉宾展示出的真实数据所震撼,他们纷纷表示:
没想到,iCloud会对一个设备的数据保存两个备份,很多已被删除的数据仍然存在于前一次备份之中!更没有想到,iCloud中隐藏了这么多被偷偷记录并上传、且不被外界所知的秘密!
俄罗斯Elcomsoft公司创始人、技术专家 Vladimir Katalov先生
