保障個人隱私的意識逐漸抬頭,新式的行動裝置和軟體逐步強化自身的安全防護,因此想要從中鑑識分析來獲得犯罪跡證也越來越困難,但若改從目標對象的社群網絡關係來尋求突破點,則可能會有意想不到的收穫。
現今個人隱私保護意識高漲,因此不論是行動裝置製造廠商或是軟體開發商,皆逐漸強化各項安全保護措施。雖然如此一來可有效保障個人隱私,但也會造成鑑識分析所獲得的跡證十分有限,使得犯罪案件調查的難度倍增。
儘管如此,萬法不離其宗,「人」本身依舊是關鍵所在,人與人之間的關係何其錯綜複雜,因此從目標對象的社群網絡關係下手,往往能在目標對象的親朋好友或朋友的朋友之中,找到突破點。請讀者一同化身為鑑識人員,進行抽絲剝繭,深入案情。
消逝性跡證不可輕忽
前情提要,某高科技公司爆發營業秘密外洩案,負責領導新產品研發團隊的資深工程師阿威疑似將重要機密攜出,且有傳聞阿威將帶整個技術團隊出走。公司高層向警方報案,檢警兵分多路,至公司及涉案員工家中進行搜索。
警方深知數位鑑識對此類案件的重要性,因此要求第一線處理人員務必要做好現場鑑識工作,以確實保全證物。
當警方抵達阿威住處時,阿威正泰然自若地使用筆電上網。鑑識人員進行全程錄音錄影,並拍下證物的所在位置,輔以口述及文字記錄現場狀況及所採取的動作,阿威的筆電等證物的狀態如圖1所示。
 |
| ▲圖1 現場證物擺放位置及狀態。 |
鑑識人員立即對該筆電進行記憶體傾印(Memory Dump),以確實掌握消逝性(Volatile)跡證,將產生出的記憶體傾印檔與阿威的筆電、手機、隨身碟一併帶實驗室進行鑑識分析。
案情進展不順
警方逐一訊問相關涉案人,包括阿威在內全部矢口否認,強調絕無帶走公司機密資料,亦無打算集體出走投奔競爭對手陣營之情事。
另一方面,鑑識人員初步先對自辦公室內所扣得的證物進行鑑識分析,由於是公務用的電腦和筆電,如同預期般地並未找到可疑跡證,鑑識人員便將焦點放在涉案人私人住處所扣得的證物上。
鑑識人員查看了阿威所使用的iPhone處於鎖定的狀態,並且有設定指紋辨識以及6碼PIN Code,如圖2所示。
 |
| ▲圖2 證物手機處於鎖定狀態。 |
在訊問阿威時,問及是否願意將iPhone解鎖以配合警方調查,阿威竟大方地同意並加以解鎖,如此做的目的顯然是為了證明自己的清白,但另一方面也意謂著阿威肆無忌憚,可能早就進行滅證。
鑑識人員立刻操作手機進行檢視,發現雖有使用LINE和WeChat,但卻是空空如也,沒有任何聊天訊息存在(圖3),研判阿威在警方抵達其住處前已刻意刪除所有聊天訊息。
 |
| ▲圖3 LINE和WeChat的聊天訊息均已遭到全數刪除。 |
鑑識人員不以為意,心想儘管聊天訊息遭到阿威刻意全數刪除,但基於資料庫的特性,它們必然仍「躺」在資料庫的Free Block之中。鑑識人員隨即以手機鑑識設備對阿威的iPhone進行擷取(Extraction),結果卻出乎意外之外,手機鑑識設備竟未能撈出任何遭刪除的聊天訊息。
為何無法像先前一樣順利取得手機中遭刪除的LINE和WeChat的聊天訊息?原因並非手機鑑識工具找不到遭刪除的聊天訊息,而是因為新版本的LINE和WeChat加入了「徹底刪除(Wipe)」的功能。
不論是一般聊天模式或是限時聊天模式,只要使用者將聊天訊息刪除,便會將遭刪除的聊天訊息內容再以其他值加以覆蓋,這使得那些聊天訊息內容不復存在。另一方面,其他涉案人的相關證物中亦未找到任何線索,案情一度陷入膠著。