當數位證物不幸遭受污染或破壞時,鑑識人員必須跳脫以往的思維,在偵辦方式上轉守為攻,方能以主動出擊的手法掌握破案的契機,有效地發揮科學辦案的精神。
幹員不敢置信,怎麼也想不透在運送證物的過程中出了什麼差錯。R研判這支iPhone應該是遭到L的同夥以「Find My iPhone」功能,進行遠端徹底清除了。
會發生此狀況的原因是因為負責封存及運送的幹員,未使用手機訊號遮蔽器(圖5)或訊號遮蔽袋等設備之故,以致L的同夥仍能透過「Find My iPhone」功能進行定位找到該支手機,並從遠端進行手機資料抹除。
 |
| ▲圖5 手機訊號遮蔽器。 |
在此情況之下,幾無可能救回原有資料了。本來,一支有著指紋鎖或6碼Passcode的iPhone已是十?分棘手,再加上因未依標準作業程序進行手機訊號遮蔽,導致手機資料遭全數抹除,這使得目前的偵辦行動受到重挫。
R在說明的過程中也示範了如何登入iCloud執行「Find My iPhone」功能以遠端抹除手機資料,分述如下:
登入iCloud後,點擊右方的「清除iPhone」便會看到下方視窗中的提示訊息,點擊「清除」,如圖6所示。
 |
| ▲圖6 點擊「清除iPhone」。 |
然後,須輸入該iPhone的Apple ID及密碼,如圖7所示。
 |
| ▲圖7 輸入Apple ID及密碼。 |
接著,點擊「下一步」,如圖8所示。
 |
| ▲圖8 點擊「下一步」。 |
如圖9所示,此時開始清除手機資料。
 |
| ▲圖9 開始清除資料。 |
接著,手機便會進入回復模式(圖10)。
 |
| ▲圖10 手機進入回復模式。 |
清除完畢時,便會呈現如同回復至出廠預設值狀態一樣的初始畫面(圖11)。
 |
| ▲圖11 回復至出廠預設值。 |
以退為進 科技辦案
國安高層得知此一狀況後十?分震怒,但也無濟無事,只能要求M上校提出因應方案。M上校在聽取鑑識團隊的分析之後,提出釋放L的方案。主因是L亦深知iPhone的6碼Passcode安全性而有恃無恐,目前也難再從他口中套出相關線索。
而釋放L之後,他必定會設法再與同夥取得聯繫,我方便可抓住這個機會取得更多的線索。長官們討論過後亦同意採用M上校的方案,並責成鑑識團隊全力支援。
正如R的推測,當恐怖組織發現L未依時程進行安全回報之後,即透過手機定位進行遠程抹除,以確保不會有任何跡證留下。而L在被釋放後,落腳處為郊區的一棟別墅,專案小組研判此即為恐怖組織在此地的第二處安全屋。
L一方面與組織取得聯繫,一方面持續進行恐攻計畫的準備工作,於此同時,鑑識團隊亦已佯裝為住戶,秘密進駐比鄰的一棟別墅,展開MITM(Man in the Middle)攻擊,亦即所謂的「中間人攻擊」,以破解及取得恐怖份子的計畫內容。
採用中間人攻擊的主要目的是在被監控方未及察覺的情況下,進行封包的攔截及側錄,猶如站在通訊閘道與被監控方的中間一般,以取得被監控方的網路通訊內容如聊天訊息或是瀏覽過的網頁等等。
中破解無線路由器WEP
鑑識人員分析周遭的無線訊號SSID之後,經過濾排除後,確認L在安全屋中所使用的即是名稱為3COM的SSID。如此一來,便有了明確的目標展開攻擊行動。首先便是監控Handshake狀況,同時假造自身的MAC身分並進行封包側錄,這麼做的目的在於取得封包以進行連線密碼的破解。
順利錄得封包後,便是重頭戲了,開始對封包進行字典攻擊。攻擊是否有效也牽涉到所採用的字典檔而定,而什麼樣的字典檔是對付L的最有效武器呢?毫無疑問,必然是與L相關資訊的組合。
通常,若是設了較複雜的密碼,為了避免忘記時造成困擾,可能背後都會有個意義或規則存在,例如出生年月日、身分證字號、車牌號碼、偶像的名字、伴侶的暱稱等的排列組合。畢竟人的記憶力較難將複雜密碼強記在腦海中,但若有個意義或規則可循,則好記且不易忘卻。