無痕瀏覽與可攜式瀏覽的新型態使用方式近來相當普及,但由於網頁瀏覽器鑑識是數位鑑識中非常重要的一部分,因此鑑識人員必定會面臨極大的挑戰,對此,本文針對可攜式瀏覽器進行跡證萃取的研究,以期解決鑑識人員面對這兩種瀏覽狀態時的困境。
最近幾年,一種新形式的網頁瀏覽器出現了!因為它的方便性、快速執行以及免安裝等功能,使得使用率越來越高,這種新形式的網頁瀏覽器就是所謂的「可攜式網頁瀏覽器」。可攜式網頁瀏覽器與無痕瀏覽帶給使用者極高的隱私性,但水可載舟亦可覆舟,非法者也會利用這兩種瀏覽方式進行網頁瀏覽,以達到湮滅罪證的目的。
網路從誕生至今,不斷地改變著用戶的使用習慣,從早期的Web 1.0到現今的雲端時代,網路上的應用程式讓人們不再滿足於本機端的應用程式,因此在時代的變化以及網路普及的狀態下,網頁瀏覽器對使用者來說更加重要。
網頁瀏覽器是一個允許使用者在網際網路上存取應用程式和網頁的軟體,近來網頁瀏覽器的使用更隨著線上應用程式作為網頁應用程式而持續增長。在十年前,電子郵件、即時訊息、文件編輯和檔案分享等多依賴本機端軟體,而現今,因為使用者可以利用網頁瀏覽器隨時、隨地並在任何裝置上使用上述的功能,所以網頁瀏覽器不再僅僅被用來瀏覽網頁,而是被視為很多線上功能的使用平台,例如在網路信箱上確認電子郵件、在Facebook上寄收即時訊息、在Google Hangouts上撥打網路電話或進行視訊通話、在YouTube上觀賞影片。隨著網頁瀏覽器的高度使用性,網頁瀏覽器上也留下更多的跡證,可供鑑識人員分析使用者的使用痕跡與使用行為。
在數位鑑識領域,網頁瀏覽器鑑識亦是很重要的一項技術。網頁瀏覽器能留下許多使用者瀏覽網頁的資訊,除了網路犯罪外,也有非法者利用網頁瀏覽器協助傳統犯罪的進行。若能取得網頁瀏覽器中的資訊,將可有效幫助鑑識人員重建非法者的線上瀏覽活動,譬如持有或散布兒童色情圖片、侵犯智慧財產權,或是違反網路的使用原則。
近年來,網頁瀏覽器都增強了使用者的隱私性活動,無論是無痕瀏覽或是可攜式瀏覽器都主打著不會留下任何瀏覽痕跡。非法者為了隱匿罪證而不使用固定的電腦,並且也開始利用可攜式瀏覽器或無痕瀏覽進行網頁瀏覽及資料搜尋。
為了防止非法者利用可攜式網頁瀏覽器或無痕瀏覽來逃避其刑責,有必要對這個領域進行探討,這樣未來調查與鑑識人員在遭遇這種情況時才能從容不迫地進行電腦鑑識。
大多數人對於可攜式網頁瀏覽器或無痕瀏覽的了解甚少,只知道它相較於瀏覽器的一般模式能在電腦留下較少,甚至完全不留下使用痕跡,但真的是如此嗎?本文將對可攜式網頁瀏覽器和無痕瀏覽功能的隱密性進行探討。
相關背景知識簡述
以下介紹相關的背景知識,先從一般的網頁瀏覽器鑑識技術談起,然後說明什麼是無痕瀏覽和可攜式瀏覽器。
網頁瀏覽器鑑識
網頁瀏覽器的鑑識,在數位鑑識中並不算是新的研究,鑑識人員若要還原網路犯罪,網頁紀錄是最重要的關鍵跡證。此外,網路技術的快速發展,也令網頁瀏覽器廠商不斷地釋出新的版本,每次改版對於鑑識人員都是一個挑戰,因為他們必須不斷地研究新出現的網頁瀏覽器,才能知道如何對它們進行分析。
一般來說,安裝在Windows作業系統的網頁瀏覽器會將使用者的網路瀏覽紀錄存放在硬碟內。鑑識人員可以利用不同的鑑識工具重建網路瀏覽的歷史紀錄,並且在鑑定歷史紀錄後萃取瀏覽器在硬碟留下的數位證據。
重建瀏覽網路活動的技術,主要利用網頁瀏覽器的歷史紀錄、快取、Cookies、偏好設定以及登錄檔等進行現場重建。因此,鑑識人員必須從一堆檔案中將所需要的證據取出,用來確定所有的數位證據確實都是與非法者網頁瀏覽器的使用行為有關的活動。
隨著網頁瀏覽器的多元化,許多關於重建網路瀏覽歷史紀錄的技術已經聚焦在鑑定和萃取個別瀏覽器的跡證,例如Firefox利用SQLite資料庫儲存歷史紀錄、網頁書籤、Cookies以及其他與使用者相關的資訊。鑑識人員利用SQLite紀錄復原進行萃取有關Firefox瀏覽器的相關跡證。
網頁瀏覽器活動的跡證,不論是對網路犯罪還是傳統案件,都能提供相關的數位證據。鑑識人員對於以下三種使用者的網頁瀏覽紀錄有不同的採證目的:
1. 受害者:受害者網頁瀏覽器活動的跡證,能夠幫助
鑑識人員了解受害者電腦遭受入侵的過程,或者受害者的瀏覽紀錄可以提供鑑識人員鎖定追查目標。
2. 組織內部人員:組織內部員工有可能會牽扯進網路
犯罪相關案件,例如散布網路病毒或是洩漏組織機密文件等。此時,組織內部員工的網頁瀏覽器活動的跡證能幫助鑑識人員了解瀏覽紀錄,以及是否利用雲端硬碟洩漏相關文件等。
3. 非法者:非法者的網頁瀏覽器活動的跡證,可以幫
助鑑識人員更完整地掌握非法者的犯罪跡證,例如非法者利用盜用的帳號進行登錄或是架設釣魚網頁等行為。