記憶體跡證分析 隱私安全 數位鑑識 資料外洩 反鑑識

無痕瀏覽仍有跡可循 記憶體鑑識萃取數位證據

2016-11-30
與隱私安全有關的資料抹除或網頁隱私瀏覽等應用程式能夠抹除敏感資料,但卻可能被非法份子拿來當作反鑑識工具。對此,本篇將介紹Android手機常見的反鑑識手法,並針對Android手機進行網頁隱私瀏覽鑑識,得以萃取關鍵的數位證據。
科技追求便利,而便利形成曝光,所以當科技越進步,資料外洩就越多,如Facebook打卡與追蹤、雲端的同步等,都有可能因使用者的不慎操作而將隱私洩漏出去,也因此各個軟體開發商開始投入隱私安全的防護,像是網頁隱私瀏覽器、資料抹除及檔案加密軟體等,主打能夠在電腦或手機上避免留下任何紀錄。

隱私防護軟體在網路上很容易取得,尤其是智慧型手機相關的應用程式提供多種的防護機制,例如App安全鎖、保險箱及即時通訊的閱後即焚機制等,而時常被使用者拿來操作的是隱私瀏覽器,因為使用者在網頁上瀏覽過的資訊,包含搜尋的關鍵字、網頁即時通的對話內容及電子郵件的信件內容等,都有可能殘留在電腦或是手機當中,更不可忽視的是,使用者在網頁中輸入過的帳號密碼。

為了避免網頁瀏覽的隱私外洩,許多網頁瀏覽器有提供隱私瀏覽的功能,能夠刪除敏感性資料,如瀏覽紀錄、交易訊息等等,而且操作上相當容易,使用者只要開啟隱私瀏覽分頁就能夠進行網頁瀏覽,當關閉瀏覽分頁的時候,系統就會自動刪除使用者相關記錄。

從資安角度來看,隱私軟體的確能夠確保使用者的隱私安全,不過在負面的用途上卻可能成為非法者利用的反鑑識工具,常見的如非法者在進行電腦犯罪時,會利用相關的隱私軟體將手機進行反鑑識操作,以躲避執法人員的查緝。

相關隱私軟體隨著使用者需求不斷進步,鑑識調查人員更需要了解反鑑識工具的發展與特性,當遇到反鑑識攻擊的情形時,應有對應的取證流程,並依照現場狀況採取不同程序,以確保數位證據的收集與獲取程序能有效地進行。

在本實驗的過程中,將模擬非法者利用網頁隱私瀏覽器進行犯罪聯繫並進行相關的反鑑識操作,說明Android手機經過反鑑識之後如何有效地萃取出手機的關鍵數位證據。

相關背景介紹

根據2015年IDC的全球手機市佔報告顯示,Google Android平台的手機市場佔據整體手機市場的81%,因此這裡以目前智慧型手機使用率較高的Android系統來進行實驗。

首先介紹反鑑識與隱私安全的差異、網頁隱私瀏覽器及Android手機常見的反鑑識手法,再舉隱私瀏覽及相關的反鑑識手法,並執行對應的鑑識程序,最後探討如何有效地進行反反鑑識取證作業。

反鑑識vs.隱私安全

以生活中常見的案例來介紹為何隱私需要保障,一般而言,隱私侵犯可分為兩種情況,其一,到私密場所如飯店、住家等,發現有未經同意的偷錄、偷拍行為時,實侵害到個人隱私;其二,在街道上的跟蹤、捷運座位旁的竊聽及利用望遠鏡窺視對面沙灘上人家的活動,則可能因屬於公開性質,沒有權利限制對方不可錄影或拍攝,故無侵害個人隱私。

當隱私受到侵害,可能會導致機密資料外流、婚姻關係破裂、人際關係疏離等種種問題,因此基於法律與道德的評判標準之下,對於日益盛行的偷拍、偷錄風氣,有必要去遏止這種為了個人利益目的,而侵害他人隱私的行為,所以隱私是必然需要保障的。

反鑑識與隱私保護的效果相似,但目的不同,隱私安全是為了避免機密資料外流而導致個人財產及精神遭受侵害;反鑑識則是企圖影響鑑識工作所為之一切的行為操作,通常容易被非法人士拿來利用,作為規避法律刑責的一項工具,以下歸納出反鑑識與隱私安全的特性,如表1所示。

表1 反鑑識與隱私保障之關係

反鑑識手法能見度低,且有些技巧可能尚未公開,常造成鑑識工作上的困難,目前Android智慧型手機更支援第三方應用程式開發,使得App程式更貼近於使用者的生活,相對地,也難以抵擋反鑑識工具軟體的盛行。對鑑識人員來說,必須見多識廣,識多路廣,勇於實驗與突破,以有效地因應反鑑識攻擊。

Android的反鑑識

Android手機提供第三方應用程式開發,且網路上普遍存在許多程式開發論壇,從來自四地各方的程式好手彼此腦力激盪不斷地精進,目的是為了釋出更貼近使用者需求的開放源碼。但是,具備高度彈性的開發環境,卻有可能被有心人士拿來設計成反鑑識工具。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!