IP Camera除保存關鍵畫面外,也可從遠端連線即時監看,若有不法分子加以利用時,可能造成機密資訊的外流。本文將針對IP Camera在電腦端使用情形,探討可能留存的跡證,挖掘出登入電腦端錄影程式的帳號密碼,進一步找出有連線的監視器資訊。
近期信用卡公司發現有多起的信用卡盜刷案件,經調查被害者都是在家中使用網路刷卡購物,調查人員至被害者家中訪查後,發現被害者家中剛好都有購買同一款的IP Camera,懷疑可能是從該處洩漏機密資訊,著手展開調查。
從監視器的拍攝角度來看,應該是無法拍攝到被害者的電腦和信用卡等資訊,調查人員轉向當初販售此款監視器的賣家,發現被害者都是跟同一個網路賣家A所買,再檢視被害者電腦連線紀錄,發現不同被害者電腦都有一組同樣的IP位址連線紀錄連線至監視器,該IP位址經查也是A所有,認定A涉嫌重大,前往A的家中進行搜索。
在對A家中進行搜索時,找到一台A平常所用的筆記型電腦,帶回進行鑑識分析。按照鑑識流程,調查人員使用FTK Imager Lite進行映像檔萃取,並使用Autopsy進行分析。初步搜尋後,並沒有發現A電腦中有任何可疑的影片檔,但發現A電腦內有安裝IFCAM PC-V1.5程式。
調查人員在IFCAM程式安裝路徑資料夾中發現,其中「Download」資料夾內,有資料夾名稱為被害人家中監視器的ID,依上述結果可知,代表A有使用本款程式對被害人家中監視器連線並下載過影片,惟打開資料夾並沒有發現影片,研判可能已遭到A刪除。
再來調查人員使用在L.txt內找到的帳號密碼,登入A電腦的IFCAM程式,發現A的監視器列表中確實有連線數名被害者的監視器,A才坦承犯案。
原來A意圖竊取他人隱私,挑選I-Family IF-002D作為標的,在網路上隨機轉售。A在賣出前記錄所有的監視器編號,在售出後,隨即以預設編號密碼嘗試連線疏忽未更改預設帳號密碼的用戶。
A以竊取之編號連線所有賣出的監視器,雖然被害者在使用IP Camera時並沒有設定拍攝電腦使用畫面等角度,但由於疏忽監視器本身具有調整角度的PTZ功能,A使用PTZ控制伺機調整監視角度,找尋機會監看各種機密資訊。A一旦發現目標有使用網路購物刷卡行為,便利用監視器蒐集其信用卡資訊,再將蒐集到的信用卡資訊賣給黑市圖利。
結語
網路監視器的便利,雖為加強目標周遭安全,但也可輕易將機密資訊外洩,造成個人、公司或政府機關的傷害和損失。而案件調查人員則須層層循線向上追查找出洩密來源,調查過程中對傳送機密資訊之可能來源,鑑識所得的相關證據連結須環環相扣,藉以釐清洩密之原因。而透過本文章之實驗,呈現IP Camera在PC端使用所可能留下之跡證,包含帳號密碼及其他資訊。
雖然錄影資料可能先行遭到刪除,但透過破解之帳號密碼登入錄影程式可發覺其連線攝影機,可供案件調查人員進行後續之調查蒐證的偵查工作。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>