2012年11月5日 星期一

從使用者搜尋關鍵字鑑識取證


善用Google運作特性
從使用者搜尋關鍵字鑑識取證

鑑識人員除了要盡其可能地透過鑑識步驟將儲存於使用者電腦內的數位跡證進行萃取工作外,另一重要的議題是如何從蒐集的資料中找尋關鍵證據讓事件還原。對此,本文將介紹Google關鍵字搜尋的鑑識方法,利用ChromeAnalysis Plus鑑識軟體萃取相關數位證據,若有非法人士利用網路進行違法活動,即可判斷使用者有無進行非法活動。

近年來,因為網路觀念普及且Web 2.0概念推出,使得網路資源日漸豐富,甚至可以將網路比擬為資料豐富的大型資料庫。根據《Wired》雜誌創辦者Kevin Kelly粗略統計,網路由數兆個網頁組成,在這廣大無邊的資料內,如何找尋符合自身需要的資料,想必需要一套好的搜尋方法,才能在浩大的網路中找到屬意的資訊,而搜尋引擎則是此類問題的解決方法。

瀏覽網路就好比在森林旅行,遊客依靠著地圖做指引以到達目的地,而本文中提到的關鍵字搜尋則扮演這個指引者的角色,協助使用者正確有效率地獲取資料。使用者通常透過搜尋引擎平台的關鍵字搜尋服務及點選網頁來瀏覽網路的資料。

但是,透過搜尋引擎同時也可以搜尋到某些敏感資料,如毒品製造方法及原料、槍械及彈藥販賣、人口交易等資料,使原本不易取得的敏感資料,利用處於開放情況的網路空間內輕鬆獲得,進而達成使用者非法的意圖,導致社會治安不佳。

而這一切於網路的活動,無論是正向或負向,皆會經由瀏覽器而被記錄在本地端電腦,儲存成網路紀錄檔。同理,若非法人士利用網路進行犯罪,鑑識人員可透過萃取紀錄檔來還原事件真相,使用者的一舉一動是可被了解的。

相關背景介紹 

由上方的敘述可知,當使用者對於自身不熟悉領域的資料,透過搜尋引擎平台上的關鍵字搜尋服務可以讓使用者找到想要的資訊,但非法人士同樣也會透過此管道來搜尋他想要的犯罪資訊,那麼搜尋引擎是如何運作的呢,又會留下何種紀錄,將是需要被關注的問題。

以Google搜尋為例,Google創辦人Larry Page曾經說過,Google要給用戶「恰如所需的資訊」,從1998年創立至今,位居全球搜尋引擎市占率排名龍頭,除了顯示使用者人數龐大之外,也代表Google搜尋技術相當優秀受到肯定。搜尋引擎是透過良好的演算法,將資訊搜集、過濾並整理,提供使用者搜尋資訊的系統。以下對搜尋引擎原理及Google資訊蒐集作基本討論整理。

蒐集資訊 

Google從1998年創立至今,已成為全世界搜尋引擎的佼佼者,原因在於其優異的搜尋演算法。搜尋引擎原理是利用網路蜘蛛(自動搜尋機器人程式)自動搜尋網頁並儲存網頁資訊,然後再根據網頁上的超連結搜尋其他網頁,一直循環下去,隨著時間的推演,所蒐集的網頁資訊將會相當可觀。Google基於此原理,利用資料關連性及全面性來取代傳統文字排序的搜尋方式,有如以下特色:

1. 關聯性 
Google可根據網頁中所能連結其他網頁的資料來區分網頁的重要性,訂出網頁級別。重要性並非固定,因為網路資料隨時在變動,為此Google每周都會更新搜尋演算法,並重新評估網頁級別。所以,Google透過使用者的網頁紀錄,可判斷網頁資訊與使用者的關聯性,進而提供個人化搜尋結果。

2. 全面性 
網路資料種類繁多,為能夠滿足眾多使用者的需求,Google有規模地建立網頁索引,在數兆的網頁中,Google索引的編制便占一億GB的空間,在此龐大的資料庫,足以說明網路豐富的資料,而在此全面性的要求下,Google除需有足夠的空間儲存外,還需有良好的索引系統。

網路紀錄檔種類 

在網路上會留下的紀錄檔類型有下列四種,包括HTTP Cookie、自動填入表單、暫存檔、網頁紀錄檔,如圖1所示。


▲圖1 網路紀錄檔之四種類型。

HTTP Cookie 
HTTP為用戶端與伺服端之間互相商量溝通的準則,例如在台灣彼此利用國語溝通,雙方都聽得懂對方在說些什麼,而在網路世界中,用戶端與伺服端則透過HTTP來彼此通訊。而Cookies是用來儲存溝通過程中彼此所交談的內容,例如兩人交談過程中所使用的文字及帳號ID資訊(圖2)。Cookie可區分為內部記憶體Cookie及硬碟Cookie,差別在於當使用者關閉瀏覽器時,內部記憶體Cookie會消失,而硬碟Cookie不會。


▲圖2 含有ID資訊的Cookie。

自動填入表單 
有些網站會要求使用者填寫表格,假如每次進入該網站都要重新填寫,既浪費時間且會影響使用網路的效率,所以瀏覽器會將使用者所填寫的表單內容進行儲存,當下次遇到相同表單須填寫時,網站便從紀錄檔自動載入表單內容,節省時間,例如網頁要求使用者輸入姓名、電話、地址等身分資料,下次需要再填寫時就會自動載入。同理,非法人士於網路上所填寫的表格內容同樣會被記錄於自動填入表單中,分析其中的內容便可獲取非法人士於網頁表格中所輸入的文字,從中掌握當事者身分或聯絡資訊。 

暫存檔 
當使用者從網站上存取圖片、影片、Flash動畫等檔案時,瀏覽器會同時下載存放這些網路檔案。而當使用者下回再次讀取相同檔案時,瀏覽器會先從暫存區讀取暫存檔,而非重新從網路存取下載,這樣做目的是為了加速顯示網頁內容,從檔案就能夠初步判斷使用者經常瀏覽何種網站類型,例如暫存檔中有電玩人物的圖檔或動畫,則可推測使用者可能有玩電玩的習慣或興趣。 

網頁紀錄檔 
網頁紀錄檔記載著使用者瀏覽網路時執行什麼程序、使用哪些應用服務,例如使用者造訪的網頁、搜尋的內容及存取的檔案,其紀錄檔的內容是豐富的,而紀錄檔內的資訊能幫助鑑識人員了解使用者的網路習慣,包括造訪頻率最高的網頁、曾經下載哪些檔案及存取時間,這些紀錄即是使用者瀏覽網頁的數位證據。 

ChromeAnalysis Plus鑑識工具 

Google Chrome於2008年推出,為Google自行研發的網頁瀏覽器,強調穩定、速度、安全性,在提供如此優秀的瀏覽服務下,2011年市占率達20%,顯示使用人數快速增加。Google Chrome使用BSD授權的軟體原始碼所撰寫,並採用自家研發的V8引擎來加快解譯JavaScript的速度。而ChromeAnalysis Plus(圖3)由英國Foxton Software公司研發,是針對Google Chrome所研發的鑑識軟體,其功能如下所列: 

▲圖3 ChromeAnalysis Plus的鑑識功能。

1. 萃取書籤、Cookies、下載清單、圖標、造訪過的網頁、搜尋項目、登錄檔、網頁紀錄等。
2. 時間軸呈現網頁歷史紀錄。
3. 過濾資料及排序功能。
4. 儲存及載入專案資料。
5. 支援Google Chrome 1-16版本。 

Google網頁紀錄的鑑識分析 

關於Google網頁紀錄的鑑識分析,先從Google服務架構談起,然後說明如何辨析Google Chrome紀錄檔案。 

Google服務架構簡介 

Google搜尋引擎內有一項人性化的設計——智慧搜尋提示,能夠讓使用者搜尋到最符合自己需求的資訊,做法是將使用者所輸入的關鍵字與查詢網頁儲存至伺服器,等到下次使用者再次利用Google搜尋引擎時,Google的智慧搜尋提示會讀取使用者先前的搜尋紀錄,將與使用者最相關的關鍵字優先列出,其次才是Google的普通搜尋清單,如圖4所示。 

▲圖4 Google智慧自動搜尋提示。

Google設計此搜尋方法,主要是考量資料的重要性對每一個人是不同的,使用者覺得重要的東西,對其他人而言可能不重要,重要性因人而異,所以搜尋列中前兩項會列出以往使用者曾經輸入過的關鍵字,而非大眾搜尋次數高的關鍵字。 

而Google智慧搜尋提示的設計內涵包括三個重要元素:Google Web History、Google Authentication與Google Cookies,其運作概念是由Google Authentication認證使用者身分,經確認後,Google Cookies便會儲存使用者搜尋資訊,而這些搜尋資訊再透過Google Web History來呈現歷史紀錄,從中了解使用者的搜尋動作。以下介紹Google Web History、Google Autehtication及Google Cookies的相關內容。 

Google Web History 
Chrome瀏覽器的網路紀錄以不同的檔案格式儲存在使用者的電腦中,例如SQLite、圖檔。基於個人隱私及在保護個人資訊或系統安全措施下,電腦中的瀏覽紀錄可以由使用者手動刪除,或是透過瀏覽器清除瀏覽紀錄內建功能來清除。不過,瀏覽紀錄不單單只是存在於使用者電腦內,Google搜尋引擎也會將使用者搜尋資訊傳送至伺服端進行儲存,所以當使用者登入Google Web History後,可以在使用者自己家中電腦以外的電腦連線至伺服端查詢瀏覽紀錄,如圖5所示: 

▲圖5 Google Web History。

Google Authentication 
Google Account整合Google眾多服務的身分認證,其作業方式是Google Service將Google Authentication Request導向至Google Account,讓用戶端的身分憑證在Google Account進行身分認證。成功登入後,Google Account會回傳Set-cookies給使用者,然後使用者再利用含有身分認證Cookies與Google Service進行身分認證,而之後使用者若再使用Google的其他服務如Mail、Maps時,就不必再重新登入進行身分驗證,遠端認證伺服器會自動讀取Cookie確認身分,因Cookie內包含了之前的認證訊息,如圖6所示: 

▲圖6 Google Service與Google Accounts進行用戶端身分認證。

Google Cookies 
與Google Account認證過程中會產生不同型態的Cookies,其中包含Session ID與Secure Session ID,兩者的區別在於有無加密。而關鍵字搜尋服務是無加密連線的服務,屬於SID Cookie,以明文方式被記錄於Cookies,所以鑑識人員可以很清楚地察看到使用者的搜尋內容。

辨析Google Chrome紀錄檔案 

鑑識人員分析紀錄檔之前,需要知道網頁相關紀錄檔被儲存在的地方,換句話說,也就是網路記錄的儲存路徑,而Google Chrome紀錄檔的存放路徑,依Windows作業系統版本不同而有差異,通常使用者未改變儲存路徑的話,其系統預設路徑如表1所示: 

表1 Google Chrome紀錄檔案預設路徑 

其中,相關網路紀錄檔以History、Web Data與History Index Files為鑑識分析所需的重要紀錄檔,介紹如下: 

History 
使用者造訪過的網頁資料會被記錄於名為History的表單檔案內,此紀錄檔中除了儲存網頁中所連結的URL外,也同時記錄了使用者造訪該網頁的時間、次數及最後存取時間點,表2為History表單欄位的彙整表。 

表2 History欄位 

Web Data 
使用者於網路上所用的帳號及密碼記錄於Web Data檔案內,帳號是以明文方式儲存,密碼則以密文方式儲存。除了帳號密碼外,還可能記錄著更詳細的資料,例如信用卡卡號、聯絡資訊。 

History Index Files 
使用者瀏覽過的網頁URL、標題及文字內容皆記錄在History Index Files檔案內。History Index紀錄檔會依年月份的方式儲存,例如History-Index-YYYY-MM,而此紀錄檔的內容非常豐富。 

案例說明 

網路的盛行,讓資訊比以往更容易取得,並且可以拿到大量的資料而不需要到圖書館辛苦地找尋資料,或者攜帶大批資料回去查閱,現在,只要輕鬆地坐在電腦前連上網路後,便能藉由搜尋引擎服務,待輸入關鍵字後就可以獲取許多相關的資料。但是,如此方便的資料取得管道,卻也成為另一個犯罪的溫床。在毒品犯案方面,已經有許多透過網路來學習製造毒品的例子。接著就以此為例進行數位鑑識的案例說明。 

據調查,在人員A之住處發現疑似販賣毒品名單,從名單中鎖定另一名人員B。為確定B是否參與毒品交易,而至B家中進行現場搜證,發現少數化學藥品和一台電腦。B主張少數化學藥品是個人興趣,而且自己只有高職學歷,並沒有製作毒品能力以及相關販賣的意圖行為,在沒有直接證據的前提下,調查人員扣押B的電腦及化學藥品,並將電腦交給鑑識人員做進一步的分析。 

在鑑識過程中,鑑識人員發現B於電腦中使用Google Chrome上網且刻意將瀏覽紀錄清除,這個行為引起鑑識人員的懷疑,研判其中必有與毒品案件相關線索。首先,鑑識人員利用Guidance Software所研發的鑑識軟體Encase將B所刪除的檔案恢復,如圖7所示。 

▲圖7 Encase恢復Google Chrome暫存區。

待檔案恢復後,利用ChromeAnalysis Plus進行網頁紀錄檔分析。ChromeAnalysis Plus能夠以樹狀圖呈現網頁連結關係,顯示使用者瀏覽網頁的訊息,如URL、關鍵字搜尋及造訪網頁時間等。鑑識人員發現B利用Google搜尋引擎瀏覽有關安非他命(Amphetamines)製作所需的材料、方法等網頁資訊,如圖8∼9所示。 

▲圖8 ChromeAnalysis Plus Web History列出網頁搜尋樹狀圖。

▲圖9 ChromeAnalysis Plus Search Terms列出網頁搜尋項目。

以上證據已經與先前B供稱沒有製毒意圖的行為不符。鑑識人員又進一步查證,將B與此數位證據建立連結,確定搜尋毒品為B所輸入而非其他第三人。 

在ChromeAnalysis Plus的Logins項目內,鑑識人員發現B於網路上使用的帳號,雖然帳號是明文顯示,但密碼卻因加密而無法直接查看。故此,鑑識人員利用Google Chrome內建密碼管理功能,顯示出加密後的密碼,如圖10所示。 

▲圖10 Google Chrome密碼管理功能。

因為Gmail帳號密碼與Google Web History通用,鑑識人員就以Gmail帳號密碼來登入Google Web History查看B所瀏覽過的網頁,發現B的搜尋紀錄中儲存了相關製作毒品的網頁連結(圖11)。於此,鑑識人員透過Google關鍵字搜尋的鑑識方法獲得關鍵證據,成功地推翻B的供詞。 

▲圖說。

結語 

因網路科技發達,人們皆可透過網路進行學習,以本文的案例來說,一旦有人透過網路來學習製毒方法,也可透過刪除網路瀏覽器相關搜尋紀錄來逃避責任。然而,鑑識人員透過鑑識工具將遭刪除的紀錄檔還原,並提出關鍵字搜尋鑑識方法,再利用ChromeAnalysis Plus與Google Web History互相進行分析,藉此確認當事人的搜尋紀錄,還原事件真相。

轉載自《網管人-中央警察大學資訊密碼暨建構實驗室(ICCL)》

沒有留言:

張貼留言