Slayman
2021-05-16T15:04:12+00:00
来源: 安阳特斯拉EDR数据与计算机取证 - FSKOMO的文章 - 知乎
[url]https://zhuanlan.zhihu.com/p/370094137[/url]
首先摆立场,支持安阳特斯拉车主给事故车贴封条,同时支持安阳特斯拉车主不自行读取EDR数据。
原因:遵循国家对计算机取证相关法律法规的要求,在合理合法的前提下维护自身权益。
河南安阳特斯拉事故发酵至今,网络上有一个很大的声音始终在呼吁车主自行启封事故车,将车内的EDR(车辆事故记录仪)中的数据读出并在网上公布,可以让大家从中获得事故更详尽的数据,从而终结此一事件。
但实际上,按照国家对计算机取证的相关法律法规要求,事主如果自行取出该数据不仅不能解决事故原因的判定问题,而且还很可能因此在随后的法庭判决中处于不利的地位,原因是这种行为并不符合国家对于计算机取证的相关规定。
计算机取证(Computer Forensics、计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。在本事件中因为没有涉及到犯罪行为,所以我们取的是计算机取证中的广义含义,即通过计算机取证中的事实取证方法,取得与证明车辆事故原因相关事实的证据,从而给后面展开的事故原因调查、事故调解以至于庭审提供可信的证据。
也就是说,严格按照计算机取证相关法律法规、标准和规程执行的取证行为,其得出的结论可以拿到法庭上作为强证据使用;反之其结论可能因为人为的原因、技术和技术的影响造成出错,从而影响到证据的可信程度,严重的会造成证据的失效。
安阳特斯拉事件中涉及到两种不同的计算机取证方法,其一是从EDR中取出行车记录,属于对存储设备中的文件内容调查;其二是从特斯拉后台数据库中取出车辆上传的数据信息,属于对数据库中的数据内容进行提取取证,需要分别进行讨论。
首先我们要强调一下计算机取证的基本理念:
应该从一开始就把计算机作为物证对待,在不对原有物证进行任何改动或损坏的前提下获取证据;
证明你所获取的证据和原有的数据是相同的;
在不改动数据的前提下对其进行分析;
务必确认你已经完整的记录下你采取的每一个步骤以及采取该步骤的原因。
接下来是取证的方法:
根据电子证据的特点,在进行计算机取证时,首先要尽早搜集证据,并保证其没有受到任何破坏。在取证时必须保证证据连续性,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。特别重要的是,计算机取证的全部过程必须是受到监督的,即由原告委派的专家进行的所有取证工作,都应该受到由其他方委派的专家的监督。计算机取证的通常步骤如下。
1、保护目标计算机系统。计算机取证时首先必须冻结目标计算机系统,不给利益相关方破坏证据的机会。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况。
2、确定电子证据。在计算机存储介质容量越来越大的情况下,必须根据系统的破坏程度,在海量数据中区分哪些是电子证据,哪些是无用数据。要寻找哪些留下的活动记录作为电子证据,确定这些记录的存放位置和存储方式。
3、收集电子证据:
记录系统的硬件配置和硬件连接情况,以便将计算机系统转移到安全的地方进行分析。
对目标系统磁盘中的所有数据进行镜像备份。备份后可对计算机证据进行处理,如果将来出现对收集的电子证据发生疑问时,可通过镜像备份的数据将目标系统恢复到原始状态。
用取证工具收集的电子证据,对系统的日期和时间进行记录归档,对可能作为证据的数据进行分析。对关键的证据数据用光盘备份,也可直接将电子证据打印成文件证据。
利用程序的自动搜索功能,将可疑为电子证据的文件或数据列表,确认后发送给取证服务器。
对网络防火墙和入侵检测系统的日志数据,由于数据量特别大,可先进行光盘备份,保全原始数据,然后进行犯罪信息挖掘。
各类电子证据汇集时,将相关的文件证据存入取证服务器的特定目录,将存放目录、文件类型、证据来源等信息存入取证服务器的数据库。
4、保护电子证据:对调查取证的数据镜像备份介质加封条存放在安全的地方。对获取的电子证据采用安全措施保护,无关人员不得操作存放电子证据的计算机。不轻易删除或修改文件以免引起有价值的证据文件的永久丢失。
那么,如果车主对特斯拉汽车内的EDR进行数据提取,需要做什么呢
1、保护目标计算机系统:取证时必须冻结目标计算机系统。这里车主做得很好,贴上了封条保证了车辆不被利益相关方继续接触,也就是保护了证据的完整性。但还有一点需要保留的是,在事故后到车主贴上封条之前,有一段时间车子是在特斯拉4S店中进行过检查的,也就是说该段时间内有EDR证据被利益相关方破坏的可能性,如果EDR最终出现不能被读取或有部份数据被破坏,其证据利益应归于车主,也有可能出现EDR数据被车主方质疑有没有被特斯拉方在4S店内修改过的疑问。
2、做取证准备,包括但不限于:车主方和代表车主方的技术人员到场,特斯拉方和代表特斯拉方的技术人员到场,具有计算机数据取证资质的第三方人员到场,公证人员到场。三方验证即将进行取证的目标物是否完整,验证取证工具是否符合法律法规要求,验证取证环境是否符合法律法规要求。
3、做操作准备,车主方和特斯拉方协商取证细节并提出各自的意见,然后取证人员根据法律法规、相关规范和操作规程对其进行最终确认,最终结果需要三方确认签字。
4、设备准备:包括拆卸EDR记录仪的工具,重建读取EDR记录仪内容的环境,读取EDR记录内容的设备,保存EDR记录读取原始记录的设备(比如说电脑、连接线、转接头等),解密EDR记录的设备与方案,记录EDR记录解密后明文的设备,最终形成证据交三方保存的介质等等。
5、证据识别:在三方监视下,由具备计算机数据取证资质的人员执行操作,将EDR记录仪接入电脑,此时,该取证人员需要同时提供A计算机截屏视频图像以及B执法记录仪视频图像。在同时录制上述AB两份视频图像的情况下,三方共同鉴证打开EDR记录仪后的文件结构内容,并确认哪些内容是与本次事故相关。在此过程中,由于事主方和取证方不具备EDR数据记录仪内部数据结构的认知,所以主导方是特斯拉方,也就是具体操作内容由特斯拉方提出,经由另外两方同意后方可执行。
6、现场证据保护:记录下整个EDR记录仪里面的数据内容,包括但不限于文件夹名、文件夹结构、文件夹属性、文件名、文件属性,文件大小等等。以取证工具扫描EDR记录仪,以最大限度地寻找可能存在的被删除、被隐藏、被加密的文件,以及可能存在的临时文件、交换文件、SLACK空间中存在的文件,系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息;
7、证据收集、原始证据提取和原始证据保存:将EDR记录仪中所有的数据导出复制到外部的电脑上,并对其进行备份以保存原始证据。再对其进行分析,找出与当天车祸事故相关的那部份数据,然后将上述数据通过网络提交给特斯拉后台服务器,由其进行解密以生成EDR的明文记录,以PDF方式返回取证者。
8、取证分析、结论报告和证据提交:
9、证据展示和证据返还;
经过上述9个步骤,整个取证活动才能说是告一段落,取出来的证据交到法庭上可以作为证据使用了。
大家请看一下,这个操作流程,和网上很多人建议的车主自行打开EDR拿出里面的数据发表有多大的区别?
最后,这个数据可信吗?完全不可信。对车主方有着太多的不平等。
为什么呢?
上文主要写了一些数字取证的主要要求,这一篇就写一下针对安阳特斯拉这个事件里面,在EDR记录仪数字取证方面可能存在的坑。
数据保护方面,车主做了封车处理,保证了利益关方的特斯拉无法从物理层面接触到EDR记录仪,但还有另一个方面,就是车子停在4S店门外时,特斯拉是否可以通过远程连接,以无线网络方式从外部接触到车机系统,从而对车机系统进行操作?这一点需要在做现场证据保护的时候加以确认,如果发现特斯拉方在事故发生后试图对车机系统进行远程访问或远程修改,则可能对特斯拉方的举证造成不利影响。
取证准备、操作准备和设备准备方面,大概也没什么新意了。不过有一点要注意的是如果要取用特斯拉的EDR数据读取套装(特斯拉官网卖1100美刀的那个),可能还需要看看是谁出这笔费用,一般来说取证工具要由第三方提供(以防利益相关的两方作手脚),但这1100美刀不便宜……
设备准备方面,这里面就出现第一个坑了。
按照一般的常识来说,计算机取证证物(计算机、存储介质,网络上存储数据的数据库、手机等等)都是属于第三方设备,比如说要从一台诈骗犯的电脑上取证文件,那包括电脑硬件和操作系统本身都属于第三方通用设备,是没有倾向性的。但安阳这事不同,如果取证时使用车机系统加上连接线和转接头来读取EDR记录,特斯拉车机系统是利益相关方特斯拉自行开发的系统,并非是开放的通用系统,而且也具备有远程更新的功能,一般的取证人员不具备深入了解车机系统内部原理的能力,只能依据特斯拉的操作流程进行依赖于特斯拉车机系统的读取操作,就违反了原则一(保护目标计算机系统)中“不给利益相关方破坏证据的机会。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况”的要求,建议不予采用。
第二个方法就是拆开车辆,从车辆里取出EDR记录仪,再在外部重建一个读取EDR记录仪的环境,但拆车本身从广义来说就是一个破坏目标计算机系统完整性的行为,也违反了原则一(保护目标计算机系统)中“避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况”,如果一旦在拆车过程中出现EDR数据损坏,那这个问题就只能变成无头公案了。
如果还有什么可以不使用车机系统,也不用破坏目标计算机系统完整性的读取EDR记录方法,也请大家提出。
接下来证据识别是按步就班的执行,注意要全程录像,而且这个录像也要是作为证据留存的。
然后是现场证据保护阶段,正如我前面所说,需要检查特斯拉是否在事故发生后对车机系统进行过升级、修改、删除等操作,也需要保留证据。
接下来到了第七步,最关键的也是最大的坑所在,证据收集阶段。
假设我们已经收集到EDR数据(但仍处于特斯拉的加密保护下),这个EDR数据作为取证阶段的阶段目标是已经完成了,但作为证据提交法院还不行,因为这个数据是加密的,没有解密之前无法说明什么。所以需要进行解密。
但解密要怎么做?
按照特斯拉的操作要求,首先这个解密EDR数据功能并不向非北美用户开放;其次这个解密EDR数据功能的实现方式是通过特斯拉官网上传你手上的EDR数据,再由特斯拉官网向你返回一个解密后的EDR数据文档(以PDF文件方式)。
那么问题来了,特斯拉是利益相关方,将EDR数据文件上传到特斯拉进行后台解密,那特斯拉岂不又是比赛选手(利益相关方)又是工作人员(EDR数据解密方),甚至因为解密后台远在美国,我们还没有办法对解密过程进行监督。没有办法保证解密的明文是否与密文一一对应,也就是说没有办法保证你上传的密文在解密回到你手上之前,有没有经过删除、加工或清洗掉某些部份。那就意味着取证过程中,证据的可信链条在这一步被完全打破了,取证工作宣布失败。而接下来的取证分析、结论报告都不用写了,直接结束。
所以,大家知道特斯拉在EDR里面设下了一个多大的坑了吧?数据你可以收集,但不好意思,为了保护特斯拉所以把EDR数据加了密,要解密还得找特斯拉,如果利益相关方不涉及特斯拉的话这个取证方法还能走得通,但利益相关到特斯拉的话这个证据链的可信度就自然置0了,你想质疑特斯拉吗?你已经没有证据了……
另外温州特斯拉那件事里面,温州市汽车工程协会是怎么处理这个设备准备和证据收集的,我也比较有兴趣了解一下。
[url]https://zhuanlan.zhihu.com/p/370094137[/url]
首先摆立场,支持安阳特斯拉车主给事故车贴封条,同时支持安阳特斯拉车主不自行读取EDR数据。
原因:遵循国家对计算机取证相关法律法规的要求,在合理合法的前提下维护自身权益。
河南安阳特斯拉事故发酵至今,网络上有一个很大的声音始终在呼吁车主自行启封事故车,将车内的EDR(车辆事故记录仪)中的数据读出并在网上公布,可以让大家从中获得事故更详尽的数据,从而终结此一事件。
但实际上,按照国家对计算机取证的相关法律法规要求,事主如果自行取出该数据不仅不能解决事故原因的判定问题,而且还很可能因此在随后的法庭判决中处于不利的地位,原因是这种行为并不符合国家对于计算机取证的相关规定。
计算机取证(Computer Forensics、计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。在本事件中因为没有涉及到犯罪行为,所以我们取的是计算机取证中的广义含义,即通过计算机取证中的事实取证方法,取得与证明车辆事故原因相关事实的证据,从而给后面展开的事故原因调查、事故调解以至于庭审提供可信的证据。
也就是说,严格按照计算机取证相关法律法规、标准和规程执行的取证行为,其得出的结论可以拿到法庭上作为强证据使用;反之其结论可能因为人为的原因、技术和技术的影响造成出错,从而影响到证据的可信程度,严重的会造成证据的失效。
安阳特斯拉事件中涉及到两种不同的计算机取证方法,其一是从EDR中取出行车记录,属于对存储设备中的文件内容调查;其二是从特斯拉后台数据库中取出车辆上传的数据信息,属于对数据库中的数据内容进行提取取证,需要分别进行讨论。
首先我们要强调一下计算机取证的基本理念:
应该从一开始就把计算机作为物证对待,在不对原有物证进行任何改动或损坏的前提下获取证据;
证明你所获取的证据和原有的数据是相同的;
在不改动数据的前提下对其进行分析;
务必确认你已经完整的记录下你采取的每一个步骤以及采取该步骤的原因。
接下来是取证的方法:
根据电子证据的特点,在进行计算机取证时,首先要尽早搜集证据,并保证其没有受到任何破坏。在取证时必须保证证据连续性,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。特别重要的是,计算机取证的全部过程必须是受到监督的,即由原告委派的专家进行的所有取证工作,都应该受到由其他方委派的专家的监督。计算机取证的通常步骤如下。
1、保护目标计算机系统。计算机取证时首先必须冻结目标计算机系统,不给利益相关方破坏证据的机会。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况。
2、确定电子证据。在计算机存储介质容量越来越大的情况下,必须根据系统的破坏程度,在海量数据中区分哪些是电子证据,哪些是无用数据。要寻找哪些留下的活动记录作为电子证据,确定这些记录的存放位置和存储方式。
3、收集电子证据:
记录系统的硬件配置和硬件连接情况,以便将计算机系统转移到安全的地方进行分析。
对目标系统磁盘中的所有数据进行镜像备份。备份后可对计算机证据进行处理,如果将来出现对收集的电子证据发生疑问时,可通过镜像备份的数据将目标系统恢复到原始状态。
用取证工具收集的电子证据,对系统的日期和时间进行记录归档,对可能作为证据的数据进行分析。对关键的证据数据用光盘备份,也可直接将电子证据打印成文件证据。
利用程序的自动搜索功能,将可疑为电子证据的文件或数据列表,确认后发送给取证服务器。
对网络防火墙和入侵检测系统的日志数据,由于数据量特别大,可先进行光盘备份,保全原始数据,然后进行犯罪信息挖掘。
各类电子证据汇集时,将相关的文件证据存入取证服务器的特定目录,将存放目录、文件类型、证据来源等信息存入取证服务器的数据库。
4、保护电子证据:对调查取证的数据镜像备份介质加封条存放在安全的地方。对获取的电子证据采用安全措施保护,无关人员不得操作存放电子证据的计算机。不轻易删除或修改文件以免引起有价值的证据文件的永久丢失。
那么,如果车主对特斯拉汽车内的EDR进行数据提取,需要做什么呢
1、保护目标计算机系统:取证时必须冻结目标计算机系统。这里车主做得很好,贴上了封条保证了车辆不被利益相关方继续接触,也就是保护了证据的完整性。但还有一点需要保留的是,在事故后到车主贴上封条之前,有一段时间车子是在特斯拉4S店中进行过检查的,也就是说该段时间内有EDR证据被利益相关方破坏的可能性,如果EDR最终出现不能被读取或有部份数据被破坏,其证据利益应归于车主,也有可能出现EDR数据被车主方质疑有没有被特斯拉方在4S店内修改过的疑问。
2、做取证准备,包括但不限于:车主方和代表车主方的技术人员到场,特斯拉方和代表特斯拉方的技术人员到场,具有计算机数据取证资质的第三方人员到场,公证人员到场。三方验证即将进行取证的目标物是否完整,验证取证工具是否符合法律法规要求,验证取证环境是否符合法律法规要求。
3、做操作准备,车主方和特斯拉方协商取证细节并提出各自的意见,然后取证人员根据法律法规、相关规范和操作规程对其进行最终确认,最终结果需要三方确认签字。
4、设备准备:包括拆卸EDR记录仪的工具,重建读取EDR记录仪内容的环境,读取EDR记录内容的设备,保存EDR记录读取原始记录的设备(比如说电脑、连接线、转接头等),解密EDR记录的设备与方案,记录EDR记录解密后明文的设备,最终形成证据交三方保存的介质等等。
5、证据识别:在三方监视下,由具备计算机数据取证资质的人员执行操作,将EDR记录仪接入电脑,此时,该取证人员需要同时提供A计算机截屏视频图像以及B执法记录仪视频图像。在同时录制上述AB两份视频图像的情况下,三方共同鉴证打开EDR记录仪后的文件结构内容,并确认哪些内容是与本次事故相关。在此过程中,由于事主方和取证方不具备EDR数据记录仪内部数据结构的认知,所以主导方是特斯拉方,也就是具体操作内容由特斯拉方提出,经由另外两方同意后方可执行。
6、现场证据保护:记录下整个EDR记录仪里面的数据内容,包括但不限于文件夹名、文件夹结构、文件夹属性、文件名、文件属性,文件大小等等。以取证工具扫描EDR记录仪,以最大限度地寻找可能存在的被删除、被隐藏、被加密的文件,以及可能存在的临时文件、交换文件、SLACK空间中存在的文件,系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息;
7、证据收集、原始证据提取和原始证据保存:将EDR记录仪中所有的数据导出复制到外部的电脑上,并对其进行备份以保存原始证据。再对其进行分析,找出与当天车祸事故相关的那部份数据,然后将上述数据通过网络提交给特斯拉后台服务器,由其进行解密以生成EDR的明文记录,以PDF方式返回取证者。
8、取证分析、结论报告和证据提交:
9、证据展示和证据返还;
经过上述9个步骤,整个取证活动才能说是告一段落,取出来的证据交到法庭上可以作为证据使用了。
大家请看一下,这个操作流程,和网上很多人建议的车主自行打开EDR拿出里面的数据发表有多大的区别?
最后,这个数据可信吗?完全不可信。对车主方有着太多的不平等。
为什么呢?
上文主要写了一些数字取证的主要要求,这一篇就写一下针对安阳特斯拉这个事件里面,在EDR记录仪数字取证方面可能存在的坑。
数据保护方面,车主做了封车处理,保证了利益关方的特斯拉无法从物理层面接触到EDR记录仪,但还有另一个方面,就是车子停在4S店门外时,特斯拉是否可以通过远程连接,以无线网络方式从外部接触到车机系统,从而对车机系统进行操作?这一点需要在做现场证据保护的时候加以确认,如果发现特斯拉方在事故发生后试图对车机系统进行远程访问或远程修改,则可能对特斯拉方的举证造成不利影响。
取证准备、操作准备和设备准备方面,大概也没什么新意了。不过有一点要注意的是如果要取用特斯拉的EDR数据读取套装(特斯拉官网卖1100美刀的那个),可能还需要看看是谁出这笔费用,一般来说取证工具要由第三方提供(以防利益相关的两方作手脚),但这1100美刀不便宜……
设备准备方面,这里面就出现第一个坑了。
按照一般的常识来说,计算机取证证物(计算机、存储介质,网络上存储数据的数据库、手机等等)都是属于第三方设备,比如说要从一台诈骗犯的电脑上取证文件,那包括电脑硬件和操作系统本身都属于第三方通用设备,是没有倾向性的。但安阳这事不同,如果取证时使用车机系统加上连接线和转接头来读取EDR记录,特斯拉车机系统是利益相关方特斯拉自行开发的系统,并非是开放的通用系统,而且也具备有远程更新的功能,一般的取证人员不具备深入了解车机系统内部原理的能力,只能依据特斯拉的操作流程进行依赖于特斯拉车机系统的读取操作,就违反了原则一(保护目标计算机系统)中“不给利益相关方破坏证据的机会。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况”的要求,建议不予采用。
第二个方法就是拆开车辆,从车辆里取出EDR记录仪,再在外部重建一个读取EDR记录仪的环境,但拆车本身从广义来说就是一个破坏目标计算机系统完整性的行为,也违反了原则一(保护目标计算机系统)中“避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况”,如果一旦在拆车过程中出现EDR数据损坏,那这个问题就只能变成无头公案了。
如果还有什么可以不使用车机系统,也不用破坏目标计算机系统完整性的读取EDR记录方法,也请大家提出。
接下来证据识别是按步就班的执行,注意要全程录像,而且这个录像也要是作为证据留存的。
然后是现场证据保护阶段,正如我前面所说,需要检查特斯拉是否在事故发生后对车机系统进行过升级、修改、删除等操作,也需要保留证据。
接下来到了第七步,最关键的也是最大的坑所在,证据收集阶段。
假设我们已经收集到EDR数据(但仍处于特斯拉的加密保护下),这个EDR数据作为取证阶段的阶段目标是已经完成了,但作为证据提交法院还不行,因为这个数据是加密的,没有解密之前无法说明什么。所以需要进行解密。
但解密要怎么做?
按照特斯拉的操作要求,首先这个解密EDR数据功能并不向非北美用户开放;其次这个解密EDR数据功能的实现方式是通过特斯拉官网上传你手上的EDR数据,再由特斯拉官网向你返回一个解密后的EDR数据文档(以PDF文件方式)。
那么问题来了,特斯拉是利益相关方,将EDR数据文件上传到特斯拉进行后台解密,那特斯拉岂不又是比赛选手(利益相关方)又是工作人员(EDR数据解密方),甚至因为解密后台远在美国,我们还没有办法对解密过程进行监督。没有办法保证解密的明文是否与密文一一对应,也就是说没有办法保证你上传的密文在解密回到你手上之前,有没有经过删除、加工或清洗掉某些部份。那就意味着取证过程中,证据的可信链条在这一步被完全打破了,取证工作宣布失败。而接下来的取证分析、结论报告都不用写了,直接结束。
所以,大家知道特斯拉在EDR里面设下了一个多大的坑了吧?数据你可以收集,但不好意思,为了保护特斯拉所以把EDR数据加了密,要解密还得找特斯拉,如果利益相关方不涉及特斯拉的话这个取证方法还能走得通,但利益相关到特斯拉的话这个证据链的可信度就自然置0了,你想质疑特斯拉吗?你已经没有证据了……
另外温州特斯拉那件事里面,温州市汽车工程协会是怎么处理这个设备准备和证据收集的,我也比较有兴趣了解一下。