2013年12月20日 星期五

復原iPhone備份記錄檔 鑑識Facebook跡證

智慧型手機瘋臉書 社群網站應用易遭濫用
復原iPhone備份記錄檔 鑑識Facebook跡證

本文以iPhone探討使用者對社群網站應用程式的操作,及萃取出可能的存留數位證據,並透過案例說明在iPhone上Facebook的可能非法活動,這些活動的存留證據可利用手機鑑識技術進行資料回復,以協助釐清真相,還原現場。

近幾年,社群網站迅速崛起,它們提供使用者一個可以進行溝通、建立社團、分享各種資訊和想法、對其他訊息進行評論、上傳檔案和相片、參加活動及進行即時訊息溝通和網路通話的平台。研究顯示,在2012年底世界上網路使用人數大約已有2.4億人,而每個月在Facebook上活動的人數就超過1億人,Twitter也有200萬人。

社群網站原始目的主要用於溝通及與朋友交往,但各式各樣的社群網站和網路匿名性使得它們成為非法者進行不法行為的溫床。非法行為者如詐騙、戀童等,都可能以假造身分進行社群網路使用註冊。

社群網站也讓人們習慣將個人資料如年齡、性別、興趣和行程安排等公開,使得網路非法者得以利用他們的專長取得這些資訊,並用這些非法取得的資訊進行非法行為。

透過社群網站,大量的非法行為也隨之出現,數位鑑識的重要性也跟著提高。因此,取得非法者電腦中的社群網站活動數位證據,對於調查非法行為有很大的幫助。

除了透過電腦登入社群網站外,使用者也可以利用智慧型手機進行登入、張貼新文章、更新訊息、打卡等等服務。透過智慧型手機或其他可攜式裝置,使用者可在任何時間、地點更新個人資料,但這些方便的功能可能也隱藏了風險,像是打卡的功能會暴露個人目前的所在位置以及旁邊有誰,有心人士就可藉機進行闖空門或是擄人勒贖等違法情事。

根據Facebook官方調查,使用智慧型手機的使用者的活躍程度是那些不透過智慧型手機登入Facebook使用者的兩倍。因此,當在非法者的智慧型手機上進行鑑識調查時,對於尋找數位證據十分有幫助。

相關背景

智慧型手機的使用率越來越高,相對地帶動整個社群網站的使用程度,使用者對智慧型手機及社群軟體的依賴日漸加深,因此獲取手機裡的數位證據將會是數位鑑識的一個新方向。智慧型手機等可攜式裝置內的資料,可以拿來證明非法者的行為、犯罪動機以及其與共犯的相關性,讓相關案件得有跡證可抽絲剝繭。

可攜式裝置之鑑識 

所謂的可攜置裝置,指的是包含手機、平板等攜帶方便的裝置,裡面可能儲存了多媒體、私人活動、社交關係等資訊。以往相關的研究一直專注於智慧型手機的採證技術與一般的鑑識分析。而近幾年來的研究,則概述了手機所使用的技術、處理程序和常見的證據儲存位置。

一般來說,這些資料都可以從手機的內部記憶體中進行萃取,例如通話紀錄、簡訊、電子郵件、照片等,希望能從中得知提取每個手機的內部記憶體資料的方法。

iPhone內的資料可以透過物理或邏輯的方法進行萃取,不過物理萃取通常需要將系統進行越獄,使得系統的資料經過輕微的修改。Android智慧型手機也可透過物理或邏輯的方法進行萃取,但通常必須經過root程序才能獲得完整的資料。

社群網站鑑識 

社群網站提供了使用者一個可以進行溝通、建立社團、分享各種資訊和想法、對其他訊息進行評論、上傳檔案和相片、參加活動及進行即時訊息溝通和網路通話的平台。以往的使用都是透過電腦,但由於現今許多社群網站應用程式都已經整合進智慧型手機等可攜式裝置,對於智慧型手機和可攜式裝置的鑑識重要性便與日俱增。

一般而言,鑑證人員可能在非法者的智慧型手機找到相關證據。智慧型手機儲存的資料往往可以協助確認該設備如何被使用者使用。因此,透過社群網站的應用程式所進行的活動可能儲存在智慧型手機內。

不過,之前的研究都一直侷限在社群網站應用程式的基本資訊復原。在本文則將側重於有關社群網站應用程式的資訊復原,透過活動的執行來確定這些應用程式的資料是儲存在智慧型手機中,並且可以加以萃取成為證據。

智慧型手機系統

目前最常見的智慧型手機系統非Android、iOS莫屬,另外還有曾經紅極一時的BlackBerry,以下分別加以介紹。

Android 
Android OS是以Linux為底層基礎開發的作業系統,後來被Google所併購,目前可說是iOS最強勁的競爭對手之一,也是目前世界上市占率最高的智慧型手機作業系統。

Android在早期時是由Google所獨立開發,後來則由開放手機聯盟(Open Handset Alliance)進行聯合開發,它採用軟體堆層的架構。Android最大的特色便是開放原始碼,也就是說它的SDK是開放給任何的開發人員,因此所有開發人員都可以按照其想法自行開發介面,著名的大陸小米機就是其中的代表。

iOS 
iOS為Apple公司為iPhone所開發的作業系統,使用該系統的設備包括iPhone、iPod touch以及iPad。iPhone最著名的特色之一便是直觀且簡便的觸控式用戶介面,iOS使用者的介面概念基礎是能夠使用多點觸控直接操作。該螢幕的下方的圓形Home按鍵是其特色,底部則是有使用者最經常使用的四個程式的圖示被固定在上面。

其方便且調校良好的系統以及流線時尚的設計,至今仍是大受年輕人歡迎。通過審核的第三方應用程式都可以透過Apple的App Store進行發布與下載,但也因為iOS的封閉系統策略,使得核心系統的功能受到諸多限制。

BlackBerry 
黑莓機(BlackBerry)是由加拿大Research In Motion(RIM)公司所開發,其特色除了一般手機所具備的功能如通訊、上網、傳簡訊、影音播放外,還主打Push Mail(自動將電子郵件傳送到手機中,在早期算是十分新潮的功能)以及BBM(黑莓機獨有的即時通訊程式,可以在黑莓機間互傳訊息,在最新的版本中還加入了視訊對話的功能)。

其他的功能如電話簿、行事曆也一應俱全。此外,其專門配備的QWERTY鍵盤十分受到使用者的喜愛,非常適合行動商務人士使用。

黑莓機使用者能夠迅速且安全地將一些重要的資料與訊息傳輸到接受者的黑莓機上,讓客戶得以隨時掌握到資訊。更因為其通話、網路、訊息皆經過高度加密處理,因此其安全性十分有保障,大受政商人士及企業用戶的喜愛。

社群網路應用程式 

現今最流行的社群網路應用程式當屬Facebook,而Twitter、Plurk也非常受到歡迎。

Facebook 
Facebook是一個提供社交網路服務的網站。Facebook的創辦人是Mark Zuckerberg,該網站於2004年2月4日正式開始運作。基本上,使用者想要加入都是免費的(但也有部分功能需要收費,像是擴增好友最大數量)。

使用者可建立自己的個人頁面,裡面包括照片和個人興趣等,使用者也可以彼此進行公開或私下留言,還可以加入其他朋友所建立的社團。使用者詳細的個人資料只有同一個學校或公司的用戶或是已被認證的朋友才可以觀看,除非使用者將其資料設定為公開。

Twitter 
Twitter建立於2006年,由Evan Williams所創立,它是一個兼具社交功能及微網誌服務性質的網站,使用者可以將自己的最新消息動態和各種想法以短短幾個字傳送到手機和其個人專頁,讓其他朋友能夠得到其最新的消息。

Twitter的特色是允許使用者發布短消息給其朋友或其他Followers(粉絲),如果使用者想輕易地讀取特定人士所發布的消息,也可以透過指定想跟隨的Twitter使用者達成目的。

Twitter一開始是希望能在手機上使用,且能跟電腦一樣的容易使用,因此才會有字元數量需在140個之內的限制;如此一來,每條短消息都可以使用SMS(Short Messages)簡訊發送。如果使用者怕自己所發的資料被特定人士看見,則可以設定權限,唯有當朋友獲得使用者的允許才能查看。

Plurk 
噗浪(Plurk)是一個限制字數且類似於Twitter的社群網站,成立於2008年。Plurk透過時間軸的概念與好友分享自己的近況動態,Plurk的特色是其Karma值,Karma值會依使用者使用Plurk發文及回文的次數而有所增減,當Karma值越高,使用者擁有設定及自訂介面的授權程度也隨之提高,Plurk透過這些小巧思,除了吸引使用者使用外,也同時增加使用者對Plurk的黏著度。

鑑識相關工具 

說到鑑識工具,最受信賴的計有iTools、plist Editor以及SQLiteDatabase Browser。

iTools 
使用iOS系統相關設備(iPhone、iPad、iPod touch等)的使用者都知道Apple產品有一個共通的缺點,就是iTunes在使用上有一定的限制,因此出現了一個非官方第三人所開發出來方便管理iOS系統相關設備的人性化工具iTools,讓使用者可以用傳統「拖、拉」的方式管理檔案,亦可針對備份進行管理。

plist Editor 
plist Editor是一個在Windows系統下的Mac OS屬性列表文件的編輯工具,它讓使用者可以編輯plist文件。plist Editor主要特點包括:支援XML的格式和二進位格式的plist文件、語法重點標記、支援一般的表達式搜尋及替換、刪除無限制、提供書籤、可隨時更改外觀並提供容易使用的使用者介面、能夠在保存之前檢查plist語法是否正確。

編輯plist文件,只需透過Windows PLIST編輯器,再打開XML或二進位格式屬性的文件,之後以純文件就可進行編輯,最後以原始格式儲存即可。

SQLiteDatabase Browser 
SQLite是一種小型的資料庫,它包含在一個相對較小的C函式庫內,是一個遵守新增、創造、插入、刪除(Add, Create, Insert, Delete;ACID)的關聯式數據庫管理系統,並且能夠支援Windows、Linux、UNIX等作業系統。SQLite是一個免費、開放原始碼的圖像式工具,一般用在建立、設計和修改一些與SQLite相容的資料庫文件。

SQLiteDatabase Browser讓使用者和開發人員可以使用熟悉的電子表格介面,無需學習複雜的SQL命令,其功能包括:建立和壓縮資料庫文件;建立、定義和刪除索引;瀏覽、編輯、增加和刪除紀錄;建立、定義、修改和刪除表;搜尋紀錄等。

Facebook的愛與恨 

隨著科技的日新月異,人們日常生活中充滿著各種電子用品,無論是手機、平板或電腦都受到大眾的喜愛。而近幾年來社群網站的興起,讓大家的生活幾乎離不開Facebook、Twitter、Plurk。每一個社群網站都有各自的特色,也各自發展出自己特有的使用方式,其中最受大眾歡迎的還是Facebook。

Facebook是功能最為齊全的一項社群網站,可以上傳各式影音、新增網誌,還可以線上聊天;而Twitter和Plurk雖然功能較為簡單,但就是這種簡約的特色讓許多人愛不釋手。

但在快樂地使用這些網站時,人們往往忽略了資訊安全的重要性,讓自己的資料在不知不覺中洩漏出去,甚至因此受到了詐騙集團或有心人士的利用,讓人不得不更加提高警覺。

現在有許多人一不小心就會被有心人士透過這些社群網站詐騙,甚至是電腦資料被竊取、個人資料洩漏,但這些攻擊往往防不慎防,讓人對社群網站感到又愛又恨。

為了讓讀者更了解社交攻擊的危險性,以及對可攜式裝置鑑識有更多的理解,先簡單地介紹一下整個鑑識過程。這裡使用的器材是iPhone(iOS版本5.1.3),所使用的軟體包括iTools、plist Editor以及SQLiteDatabase Browser,安裝的應用程式為最新版本的Facebook。

一般來說,鑑識的方式分為物理萃取和邏輯萃取,物理萃取指的是鑑識人員在被鑑識之手機中安裝鑑識工具,透過鑑識工具將手機內部資訊以位元複製或製作映像檔的方式萃取出來,再以傳統的數位鑑識方式分析。

而邏輯萃取則是透過與作業系統的互動,將被鑑識之手機內可以見到的內容擷取出來。此處必須透過直接操作iPhone的方式搜尋欲取得的數位證據。若所查獲之iPhone手機已經過反鑑識技術加密或損毀,則無法透過邏輯萃取的方式將資料萃取出來。

一開始,採用邏輯鑑識的方式來對iPhone手機進行數位證據的蒐集,先將iPhone連接到電腦上,再開啟iTools讀取iPhone的資料(圖1)。


▲圖1 利用iTools讀取iPhone 4的介面。

然後,從要進行鑑識的資料夾開始尋找可使用之資料(圖2),並依照檔案類型的不同來使用不同的檔案讀取軟體。


▲圖2 iPhone中儲存Facebook資料的資料夾。

基本上,手機內所可能復原的應用程式資訊,包括使用者登入帳號、基本個人資料、登入者的好友帳號、姓名、大頭貼以及信箱等。而這些資料對於鑑識人員來說十分有用,尤其是確認登入者及其發布各項訊息的時間,有助於確認非法者之非法行為及其身分。

情境模擬與案例 

由於前述社群網站的特性,加上許多人因不具備資訊安全意識與個人資料保護的概念,非法者容易利用使用者隨意公布的個人資訊,來進行身分竊盜行為,或藉由其好友圈,了解其習性及身分背景,再藉此進行其他犯罪行為,相關情境如下:

阿陳在路上閒晃時看見使用者小美的iPhone遺落在位置上,阿陳趁四周無人注意偷偷將iPhone手機拿走,學有專精的阿陳回家後將小美的手機進行分析,得知其個人資料及相關照片,甚至是小美的朋友資訊,如姓名、信箱等。

心懷不軌的阿陳先找到小美的共同好友小明(小美國小同學),並冒用其身分新創一個帳號,為了安全起見,阿陳還新增一些基本資料、照片,這些資料皆從小美、小明的帳戶內取得,且加入一些小美、小明的共同好友,一切準備就緒後才加小美為好友。

小美因為好友太多且不具資訊安全概念,不經思考就同意非法者阿陳的交友申請。之後阿陳便開始進行相關詐騙行為,例如向小美和其朋友發送訊息進行相關詐騙行為,或是代接收手機簡訊、代買點數卡、加入有問題的購物社團等。小美在發現手機遺失後,不久便呈請執法單位處理。關係圖如圖3所示。


▲圖3 關係圖。

調查人員循線調查找到阿陳的住處,並在阿陳家中的電腦內找到相關詐騙人士清單,為了確定該部分資料是從小美手機取得,依程序接著將小美的手機進行相關的鑑識工作,整個過程描述如下。

鑑識人員先使用iTools工具進行iPhone的檔案管理備份,由於iTools工具的功能可以讓使用者管理iPhone手機更為方便、自由,而其另外一個好處便是可以直接以模擬手機連結的方式管理備份檔案,並讓備份檔案的資料以介面化的方式呈現,有助於鑑識人員尋找各種資訊,因此鑑識人員只需將備份檔案匯入iTools工具中,便能做進一步的管理,如圖4所示。


▲圖4 工具箱→iTunes備份管理→導入。

鑑識人員發現,由於iOS版本持續地更新以及Facebook應用程式也不斷推出新版本,因此從備份檔案中獲得的資訊十分有限。但透過iTools的功能仍得以直接在iPhone上尋找儲存於Facebook應用程式中的資料,以確認非法者的非法行為,如圖5所示。


▲圖5 開啟Facebook應用程式的檔案管理。

鑑識人員以iTools打開Facebook應用程式後,在「/Facebook」資料夾中找到以介面化所呈現的應用程式分類資料夾,並在其中發現「Facebook/Library/Caches/」資料夾裡儲存了許多備份檔中所沒有的資料。

在該資料夾中找到一個名叫「fbsyncstore」的sqlite檔案,在使用SQLiteDatabase Browser打開後發現,其中存放了使用者小美登入帳號的所有好友及其部分註冊帳號的紀錄,如圖6∼7所示。


▲圖6 顯示好友姓名。


▲圖7 顯示好友註冊帳號。

接著,鑑識人員打開一個名叫Orca2的sqlite檔,發現裡面存有使用者小美登入的姓名、手機號碼以及電子信箱,如圖8所示。


▲圖8 找到使用者的姓名、手機號碼以及電子信箱。

再來打開其子資料夾「FBStore」,從裡面發現一個名叫「Store」的sqlite檔(圖9)。由於該檔案無法直接由SQLiteDatabase Browser打開,必須透過Firefox瀏覽器中一個名為SQLite Manager的附加套件才能執行。


▲圖9 儲存Store檔案所在資料夾。

開啟之後,發現裡面儲存十分多的資料,包括使用者小美所加入過的社團、好友分類、所點選過的應用程式以及連結等等,如圖10∼11所示。


▲圖10 顯示使用者加入過的社團、所點選過的應用程式及連結。


▲圖11 使用者的好友分類。

除此之外,在「Facebook/Library/Caches/ ImageCache」資料夾內發現有儲存部分好友的大頭貼,而從「Facebook/Library/Caches/FBStore/FBDiskCache」資料夾中也找到了許多與使用者小美有關的圖片檔(圖12)。


▲圖12 部分使用者好友的大頭貼圖片檔。

透過上述鑑識人員的操作,經實際比對確認,可以發現在小美的手機中找到的資料與儲存於阿陳電腦中Facebook名單有所重疊(圖13),證明阿陳曾經透過該手機取得相關使用者的個人資料,並與小美進行互動。

也就是說,阿陳是進行詐騙行為的非法者,利用小美對小明的信任與朋友關係,在Facebook建立一個帳號,利用小明在網路上分享的資料與照片,盜用小明的身分,在Facebook上與小美成為朋友關係。

接著,阿陳透過小美所公布的Facebook塗鴉牆、個人訊息、照片內容等相關資料,了解其生活與動態以及小美與小明之間的關係,透過時常攀談建立熟悉感與信任程度之後,藉此進行詐騙取財等等的非法行為。


▲圖13 儲存於非法者阿陳電腦中資料夾內的圖片。

結語 

科技的進步,讓手機等可攜式裝置可以安裝許多有用的應用程式,社群網站為資訊產業帶來新的契機與商機,卻也隨之帶來了許多新的資安事件。

本文透過iPhone手機操作社群軟體,進行手機的鑑識流程,協助鑑識人員在遭遇手機遺失導致資料外流以及社群網站詐騙相關鑑識案件時的因應之道,並透過案例說明了對於非法者盜取了相關的應用程式資訊,其相關的數位證據還是會留存在手機中。

本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。

轉載自《網管人》