雲端服務是近年相當引人注目的網路服務,雲端上的運算資源與儲存空間滿足了使用者多元需求,這樣的發展固然增加生活便利,但犯罪者也藉此進行違法活動,無論是未經允許竊取雲端資料或是將犯罪資料儲存至雲端,皆是不可漠視的違法行為。對此,本文將以線上文件儲存服務Dropbox為例探討如何運用鑑識技術分析雲端運算服務的犯罪跡證。
確定嫌疑犯安裝Dropbox後,可透過解讀Dropbox相關檔案搜查重要數位跡證。在Dropbox安裝路徑下,有「config.db」及「filecache.db」兩個檔案,此檔案為SQLite檔案格式,可使用「SQLite Database Browser」軟體解讀檔案內容。
「config.db」檔案內含使用者登入Dropbox所使用E-mail的帳號資料(圖5),而filecache.db內則記載使用Dropbox上傳檔案的紀錄(圖6)。
|
▲圖5 Dropbox安裝路徑下config.db開啟畫面。 |
|
▲圖6 Dropbox安裝路徑下filecache.db開啟畫面。 |
從這些檔案中,鑑識人員發現類似引喻毒品及交易金錢的檔案名稱,如櫻桃小丸子、藥丸頭兒、大伙兒的錢。藉此獲取重要關鍵跡證,鑑識人員得以繼續往後的鑑識作業。
結語
科技設計來自人性的需求,若使用在正確的地方,對一般人生活是大大的助益,一旦淪為犯罪工具,日常安全必定會受負面影響,雲端便為一例。雲端服務改變了一般人對應用程式使用的方式,透過網路連線至雲端平台,用戶便可隨時隨地取得運算資源,取代過往須安裝軟硬體且高成本無彈性的電腦執行環境。
管理方便及隨時隨地存取資源的運作模式,雖帶來高品質服務,但相對地卻也增加鑑識人員鑑識的困難度。當嫌犯利用雲端服務進行違法犯罪時,除了犯罪範圍不受限制外,犯罪跡證易隱藏,鮮少留下數位跡證。故此,鑑識人員如何運用鑑識方法,從相關數位痕跡,一一探究推索,找出關鍵證據,或許一個不起眼的檔案,卻是破案的關鍵。