2012年8月24日 星期五

手機犯案招式百變 行動鑑識蒐證與時俱


手機犯案招式百變 行動鑑識蒐證與時俱

在鑑識領域中,電腦鑑識軟體的發展已漸趨完整,而手機因為其推陳出新的速率遠高於電腦,且其軟硬體以及作業系統的多元化和客製化,使得手機鑑識軟體更新的速率,往往跟不上手機推陳出新的速度,導致有些資料無法完整地被蒐集。

本文將介紹現階段蒐集手機上資料的方法,在交叉善用這些方法下,可以得到較完整的行動證據,使得行動鑑識得以在智慧型手機普遍運用的現代,得以發揮最大功用。在無線科技發達的通訊機制中,依然可取得有力證據以阻抑科技犯罪的非法企圖。

近十年,PDA、智慧型手機的普遍運用與行動通訊協定的成熟,再加上無線網路頻寬的進步,讓各種E化後的資訊,不論何時何地都能透過手持的裝置即時存取,達成與使用電腦同步的效果,這種過程稱為M化(行動化)。

智慧型手機的功能越來越多元化,人們不只利用它來傳簡訊和通話,更可上網瀏覽網頁,儲存個人相關資訊如行事曆和便條。

然而,水能載舟亦能覆舟。也有不肖之徒會利用手機作為犯罪的工具,利用手機聯絡共犯,詐騙被害者,所以對話紀錄和簡訊會記錄有關犯罪的事實;而有些資訊會幫忙建立犯罪者與行為者的連結,例如手機資訊、SIM卡資訊及網頁瀏覽紀錄。

有鑑於此,如何萃取行動證據的方法和工具,必須加以說明與介紹。本文使用交叉分析方法,說明各種行動證據萃取方法和工具之間的特質,讓犯罪者在手機上所留下的證據,能夠盡量完整地呈現出來,接近原始現場與能夠重建現場為數位鑑識的重要訴求。

數位證據與行動鑑識 

以下說明何謂數位證據,以及介紹目前市面上常見的幾種手機作業系統。

數位證據

數位證據又稱為電子證據,是以數位形態儲存或傳輸,足以證明犯罪構成要件或關聯,並可在法庭上作呈堂證據用的電子資料,由於其屬於數位之形式,故具有以下特性:

容易竄改與刪除
電磁紀錄是以0與1的型式儲存於電腦系統,所以有容易被修改的特性,同時,每次存取都有可能會改變資料的欄位,因此數位證據的證據能力及證明力,在法庭上容易受到質疑。

無法以人體直接感知
電磁紀錄儲存於儲存媒體中,必須使用電子設備來檢視,不像傳統證據可以直接以視覺、嗅覺、味覺、聽覺的方式來發現。

難以證實連結關係
在偵查網路犯罪的過程中,往往可以查出這台電腦上做過某件事,卻無法得知到底是誰在這台電腦上做這件事,在這種情況下,需要其他相關證據來佐證。

行動鑑識

手機上的證據,屬於數位證據在行動鑑識領域的延伸。手機與電腦的差異在於,軟硬體及作業系統更為多元化,易於攜帶,但計算能力相較於電腦差了不少,這些特性使得行動鑑識的成熟度仍然不及電腦鑑識。

但是人手一機及行動上網的時代已然來臨,利用手機作為犯罪工具的可能性亦隨之提升。下列資訊為有可能藏有犯罪相關證據的標的:

● 手機資訊
● SIM卡資訊
● 通訊錄
● 通話記錄
● 瀏覽網頁的記錄
● SMS、MMS和 E-mail的訊息
● 行事曆、便條
● 多媒體檔案,含照片、影像及聲音

手機作業系統

以下列出目前主流的手機作業系統,包括主要由Nokia公司開發的Symbian作業系統、由Google公司領軍的開放手機聯盟(Open Handset Alliance)開發的Android作業系統,以及由Apple公司所開發的iOS作業系統(表1)。

Symbian
Symbian的發展基礎是Psion公司的EPOC(可攜式裝置專用的作業系統),是Symbian公司為手機而設計的作業系統。

Symbian股份被Nokia收購之後,Nokia將其移轉到Symbian基金會,並依據Eclipse開放原始碼授權條款以開放原始碼的形式釋出,讓各家手機廠商和軟體供應商得以加入這個聯盟。Symbian的特色是較節省記憶體和電力,所以市占率維持一定的水準。

Android 
Android是基於Linux核心開發的手機作業系統,原先是由Google所開發,後來與Sony Ericsson、HTC、Motorola等34家公司建立開放手機聯盟,並於免費開放的原則下達成一致的協議。Android的特性是免費、開放,且操作較容易上手,近來對智慧手機的市場帶來了不小的旋風。

iOS 
iOS是由Apple公司為iPhone開發的作業系統,是以自家開發的Darwin作業系統為基礎,專門設計給可攜式裝置使用的作業系統。它主要是給iPhone、iPod touch及iPad使用。iOS的特色是使用者介面美觀、應用軟體較一般作業系統多元,且螢幕可以多點觸控。

表1 各種手機作業系統比較


行動證據的取得方法 

現今手機的款式是五花八門,手機作業系統的存活時間極為短暫。由於各款手機軟硬體及作業系統的差異性,使得很難只用一個蒐證方法來蒐集完整的行動證據,再加上法庭上對證據有交叉驗證的需求。

因此,熟習蒐證方法的交互運用,是鑑識人員所須具備之技能。本文列舉部分手機蒐證方法如下:

人工檢驗(Manual Examination)

這個方法雖易於使用,但也最不具證明力,它用人工的方式如對手機進行拍照,從裝置上顯示的資訊抓取資料。這個方法的使用時機有兩個,第一個時機是在裝置中只想獲取部分特定的資料時;另一個時機是,用過所有其他方法之後都沒成果的時候。

因為使用這個方法取得的行動證據,在法庭上無法被第三方驗證其來源的完整性和可信度,進而影響到證據的證明力,但可以藉由蒐證中錄影的方式來驗證由此蒐集而來的證據,解決證明力不足的問題。人工蒐證所能取得的資料種類如圖1所示。


▲圖1 人工蒐證所能取得的資料種類。

連結服務(Connectivity Services) 

此方式是利用一些命令/回應的協定,開放式的就像是AT Command Set、SyncML和OBEX;非開放式的則有Nokia FBUS,來達成取得資料的目的。這個方法有兩種應用方式,其中一種是利用製造商隨機附贈的軟體,但它有可能會修改到原裝置的檔案,因此使用時要特別小心。

另一種應用方式是使用專門為手機鑑識開發的軟體,它們操作時會考慮到原裝置的完整性,較不會修改到原裝置的檔案,例如XRY、OPM這些軟體。

連結代理程式(Connection Agent) 

此方式是把程式放進裝置內,建立裝置與工具軟體之間連結和交換資料的管道。這個方法與Connection Services不同的地方,在於不使用既有的協定,較為客製化。

其優點是能獲得更多的資料,缺點則為目標裝置內會多出一段程式,因而會破壞原裝置的完整性。

電信公司的協助(Service Provider) 

電信公司因營利的需求,在手機使用者使用特定服務時會記錄使用者的行為,例如簡訊、通話和使用者資訊等等紀錄。

通常,這些紀錄對鑑識人員來說,由於是來自公正第三方,且具有難以竄改的特性,所以是比在原裝置上的紀錄來得可靠些,但其缺點則是紀錄的資料項目較少。

硬體對拷(Direct Access)

此方式透過兩種方式取得手機上的資料,第一個方式是直接將裝置的記憶晶片取出;另一個方式則是利用供JTAG(Joint Test Action Group,聯合測試行動小組)測試的埠口來存取裝置內記憶晶片的資料。

其優點是能跳過作業系統的限制,直接將整個裝置的記憶體擷取出來,且被修改或刪除的檔案也可能因此被擷取。缺點則是,由於科技的日新月異再加上專業人才的不足,執行起來難度不小。

數位證據—手機vs.電腦

電腦發展的時間較為長久,且其軟硬體及作業系統較為單純、標準化及規格化,所以電腦鑑識軟體發展的程度漸趨成熟。

而手機具有可攜的特性,故其運算能力及蓄電能力往往不及電腦,且其連接方式的規格不一,再加上作業系統較電腦更為多元化,導致手機鑑識工具(如刑事局目前使用的手機鑑識工具CellBrite,此工具使用連結服務的方法和連結代理程式的方法,取得手機上的資料)的支援,往往跟不上手機本身推陳出新的速度。

假如只依靠手機鑑識工具,所取得的資料將有所缺漏。因此行動鑑識取得證據的方法較為多元化,除了利用手機鑑識工具外,還可以透過人工檢驗如對手機進行拍照、電信公司的紀錄(如通聯紀錄),以及其他手機鑑識軟體的輔助(如OPM和XRY以連結服務的方法取得手機上的資料),讓蒐集到的證據更為完整,達到偵查手機犯罪時的成效。表2為手機與電腦於取得數位證據的差異整理。

表2 手機與電腦取得證據之差異


結語 

目前行動鑑識領域中蒐集證據所面臨問題,首先是手機鑑識工具、軟體大都使用連結服務的方法蒐集手機上的資料,這使得被刪除或修改過的資訊無法被擷取。

第二個問題是目前手機鑑識工具所提供的功能無法完整擷取各種廠牌手機中的資訊,再加上使用山寨機的現象日益猖獗,使得手機鑑識工具的功能無法蒐集到完整的行動證據。本專文約略對各種蒐證方法作介紹,若能交叉運用與進一步深入瞭解,相信有益於遏止科技手機犯罪的趨勢。

轉載自《網管人》

沒有留言:

張貼留言