記憶體 手機 證據 鑑識

犯罪現場電腦別關機 從記憶體鑑識手機洩密

智慧型手機在資料傳遞上具有多種的選擇性,但這樣的特性卻被不法人士用來竊取資料,並對其竊取行為進行反鑑識操作,進而增加鑑識工作上的困難。為此,本篇將利用記憶體跡證進行分析,找出經反鑑識後的相關數位跡證,得以還原事件真實狀況。
目前智慧型手機已在生活中扮演重要的角色,從以往的行動助理晉升為工作夥伴,使用者透過智慧型手機能夠使用雲端服務提供的SaaS(Software as a Service,軟體即服務)。許多企業亦針對SaaS特性,對於公司內部員工工作需要或其外部商品進行相關App開發,員工只要在智慧型手機下載安裝App程式後,即可帶著手機隨時隨地處理工作。

智慧型手機打破了空間與時間的限制,促成了BYOD(Bring Your Own Device)的觀念,企業從而放寬對於員工設備要求的限制,允許自行攜帶私人的裝置設備到公司上班,除提升工作效率外,也能為公司降低設備採購成本等好處。

智慧型手機加速了企業與員工的溝通協調能力,卻也讓資安亮起紅燈。常見的如企業機密資料竊取事件,對公司來說,內部網路主機受到的資安威脅會來自於手機的雲端服務,任何人都有可能透過手機將機密資料上傳到雲端;而一般員工經常透過LINE來傳遞重要的訊息或文件,也能輕易地將照片或文件上傳至個人的雲端硬碟,使得商業機密資料外洩。根據資料竊取調查中心(The Identity Theft Resource Center,ITRC)於2015年11月份所釋出的報告指出,當年度資料外洩總件數共669件,其中商業資料外洩高達258件佔據第一,而在商業資料外洩中,內部竊賊比例高達18.7%。另外,也觀察到資料外洩比率有逐年增加的趨勢,這意味著隨科技越進步,資料則越容易外洩。

現階段行動網路技術發展相當迅速,傳輸速率已有4G的頻寬,且各個手機軟體服務平台(如Google Paly、App Store)所提供的App應用程式越來越貼近使用者需求,使得智慧型手機成為日常生活中不可或缺的一部分,因此企業應刻不容緩對BYOD提出完善的資訊安全政策。

以公司內部不肖員工利用智慧型手機進行資料竊取並上傳網路為例,說明可能會進行的反鑑識行為,以及如何利用記憶體跡證,從被竊取的電腦中找出智慧型手機的登錄檔資訊及相關竊取動作,鑑識人員利用這些資訊來辨識智慧型手機裝置為何,以及其最後拔除的時間,藉著分析這些資訊,以供還原現場情境。

目前智慧型手機以Android系統開發為主流市場,該系統能夠支援使用者對於作業系統進行第三方程式開發,常見的如CyanogenMod開放原始碼作業系統套件,容易被不法人士用來開發反鑑識程式,設計為資料抹除或阻礙鑑識程序的工具。因此,鑑識人員在證據的識別與獲取的過程中,對於各種可能發生的反鑑識行為必須提高警覺,並且彈性地實作可行的數位證據萃取技術,找出經反鑑識後的證據殘跡。

由於智慧型手機在使用上具有多種用途,當中可能牽涉到許多不法手段,如透過手機去竊取敏感性資訊,所以為了讓大家了解有關智慧型手機的操作性質,這裡先介紹智慧型手機作為資料竊取工具之相關特性及發展趨勢,再探討可能的反鑑識技術。

以智慧型手機為資料竊取工具之特性

目前智慧型手機的使用率相當普及,在連接電腦設備時,會使用USB(Universal Serial Bus,通用序列匯流排)的單一標準介面進行資料的儲存與傳輸,其隨插即用(Plug-and-play,PnP)及高傳輸速率特性更符合企業所要求的操作效率。

在USB資料竊取領域中,智慧型手機具備主動、功能多樣及外部連通等性質,相較於傳統的隨身碟,具有更多優勢用來進行資料竊取。使用者可主動從智慧型手機端控制USB儲存裝置的連結與關閉,如圖1所示。


▲圖1 智慧型手機端控制USB儲存裝置的連結與關閉。

企業內部電腦連結上網際網路的途徑,除了內部網路實體線路或無線AP(Access Point)外,還能以智慧型手機當成無線Wi-Fi熱點方式連上網際網路,如圖2所示。若內部員工欲竊取企業內部資料而不透過企業內部網路或USB介面,採用智慧型手機可攜式Wi-Fi熱點方式進行網路連線,就能避開企業內部防火牆並排除傳統網路佈線限制,將資料輕易上傳至雲端。


▲圖2 智慧型手機設定可攜式Wi-Fi熱點與電腦無線網路進行連線。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!