Google可透過「傳統印表機」提供雲端列印服務,若使用Google Android Debug Bridge對行動裝置進行實體萃取,再將獲取的映像檔匯入Autopsy鑑識工具,即可找出雲端列印的蛛絲馬跡。雖然Google雲端列印不會保存列印暫存檔案,但卻詳細記錄了列印工作,足以指引後續的偵查方向。
資料庫的相關內容則如表2所示,從表2的「Printers」資料表(Table)可以得知進行雲端列印的軟體服務,調查人員可以藉此得知哪些軟體進行雲端檔案列印,指引調查人員另一條偵查途徑。
表2 CloudPrint.db資料庫內容說明
現今雲端儲存服務結合雲端列印,提供使用者直接在雲端儲存空間進行雲端檔案的列印,以Google Drive為例,表3為Google Drive重要資料夾目錄,實驗發現在「cache」資料夾內可以發現雲端列印的快取檔案資料,可供調查人員了解使用者曾進行哪些檔案的列印。
表3 Google Drive重要資料夾
實例演練
近日科技公司研發部主任A發現另一家公司推出的一款新產品,其設計概念正是自己所帶領的研究團隊正在著手研發設計的新產品,該產品的研發已達最後階段,這時另一家公司也推出相似的新產品,讓A不禁懷疑有內神通外鬼,報請調查人員進行內部調查。
由於該公司的研發部嚴格控制員工只能使用公司配給的行動裝置,且為了讓員工便於工作,在這些裝置上都安裝雲端列印服務功能,調查人員猜想公司機密資料可能透過雲端列印洩漏,確立偵查方面後,隨即針對這些裝置進行數位調查。
調查人員透過ADB的「dd」指令對Andorid行動裝置進行實體萃取,取得裝置的映像檔,並將檔案匯入鑑識工具Autopsy進行數位證據分析檢視,因為使用者安裝的應用程式資料會存放在「data」資料夾內,調查人員仔細檢視這個資料夾內的雲端列印檔案,企圖尋找列印暫存檔案的蹤跡。
在雲端列印資料夾路徑「data/com.google.android.apps.cloudprint」底下,調查人員並沒有發現列印檔案的暫存檔,推測當列印工作結束後,暫存檔案隨即被刪除,讓調查人員大失所望,但隨即發現雲端列印程式資料庫。
由於Autopsy無法直接檢視資料庫內容,調查人員遂將雲端列印資料庫「CloudPrint.db」透過Autopsy擷取出來匯入DB Browser for SQLite進行檢視。
從雲端列印資料庫「PrintJob」資料表中,可以檢視請求列印的使用者電子信箱、列印檔案的URL、ID編號、列印的狀態、印表機型號、列印檔案名稱與檔案類型等,但從檔名並無法確認機密檔案是從那裡被洩漏出去,但可以確認是何人使用過雲端列印。
調查人員進一步檢視資料庫的「Printers」資料表,發現在資料表欄位「printer_description」中顯示了「將您的文檔在Google雲端硬碟中另存為PDF文件」,由於現今雲端儲存服務提供雲端列印的功能,調查人員猜想機密資料應該是先被上傳至雲端儲存服務空間再進行列印。緊接著,改變偵查方向朝Google Drive雲端儲存服務進行調查,結果在Google Drive路徑「data/com.google.android.apps.docs/cache/docs_glide/temp」下的「cache」資料夾內發現了公司機密的產品設計圖暫存檔。
此帳號為同屬研發部B所有,在證據確鑿的情況下,B坦承接受其他科技公司收買,洩漏公司機密設計圖換取高額報酬,B萬萬沒有想到就算將列印檔案刪除掉,但在雲端列印和Google Drive內卻還是留下犯罪痕跡。調查人員接著透過ADB實體萃取技術將B企圖刪除的檔案進行復原,B百口莫辯俯首認罪。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>