雲端檔案相關的數位證據除原始檔外,縮圖檔存放在快取資料夾內的非揮發性記憶體,即使無法復原原始檔案,但仍可透過縮圖檢視檔案內容,得到關鍵性證據。本文採用UFED Physical Analyzer對iOS裝置進行雲端鑑識分析,模擬使用者可能的操作行為與使用狀態,分析雲端檔案在iOS裝置上復原的可能性。
行動雲端運算承襲了雲端運算的優點,解決了以往行動裝置有限的儲存空間與運算能力。新型態的檔案存取方式,改變使用者的檔案存取行為,同時也改變了犯罪模式。此外,行動設備的普及與成長,不但增加了資料的多樣性,也使得數位鑑識調查更為複雜。
行動裝置鑑識定義為在遵守鑑識流程情況下使用符合鑑識流程方法恢復裝置內的數位證據的科學,行動裝置數位證據來源可從手機的SIM卡、裝置內部儲存記憶體、外接記憶卡等方面著手。
雲端鑑識則定義在雲端計算環境下的數位鑑識科學應用,可劃分為三個層面,一、科技層面,使用混合性的鑑識方法來取得數位證據;二、組織層面,涉及雲端成員間的互動,有利於內外部的調查活動;三、法律層面,涉及多管轄權與多租用戶的問題。因此,在進行行動雲端鑑識時必須考慮到行動裝置鑑識與雲端鑑識兩種不同的鑑識環境。
現階段對於雲端鑑識仍有許多挑戰,但隨著行動雲端的興起,間接提供雲端鑑識調查的方向,國外學者提出數位跡證會遺留在存取雲端服務的設備端,提供一個雲端儲存服務的調查模型,明確地指出除了電腦端的雲端跡證外,在裝置端也會留有使用者曾存取雲端檔案的足跡,可與PC端雲端證據進行互補。
本篇文章即是利用鑑識工具找出雲端檔案殘留的痕跡,讓鑑識人員除透過尋求雲端服務商協助外,還有另外獲取證據的方法。
了解相關背景知識
在實作雲端鑑識之前,先說明相關的背景知識,例如什麼叫越獄(Jailbreak),進行iOS行動裝置鑑識時會面臨那些挑戰,並介紹Google Drive、OneDrive、Dropbox等常見的雲端儲存服務軟體。
越獄(Jailbreak)
所謂越獄程序是一種破解蘋果iOS作業系統的技術,使用者透過越獄程序可以取得iOS裝置的使用者最高權限,取得存取iOS系統檔案的權限與解除GSM營運商的網路使用限制,適用於越獄程序的iOS產品包括iPhone、iPad、iPod touch以及Apple TV等,蘋果產品越獄後仍可繼續正常使用,並且可以執行其他越獄應用程式。
iOS行動裝置鑑識挑戰
不同於Android採開放原始碼, iOS採取封閉式系統模式,在iOS裝置上執行的應用程式必須經由蘋果公司授權認可後,才能從官方App Store下載安裝執行,嚴格的系統環境限制使得非蘋果公司官方認證的應用程式無法在蘋果的產品上執行,因此數位鑑識調查人員若想在iOS裝置上執行安裝鑑識軟體工具時,必須進行越獄程序取得裝置使用者最高權限,否則會受到阻礙無法進行後續的調查工作。除此之外,蘋果產品沒有支援外接的記憶卡,無法透過記憶卡取出資料,使得對iOS裝置鑑識有一定程度的困難。
雲端儲存服務軟體
目前在台灣較廣為流行的雲端儲存服務軟體有Google Drive、OneDrive、Dropbox,以下分別介紹。
Google Drive
Google Drive為Google所提供的雲端硬碟服務,提供15GB的免費儲存空間,相片、影片、簡報、PDF,甚至是Microsoft Office檔案,各種檔案類型都能安全地儲存在雲端硬碟。同時Google Drive與自家提供的雲端服務緊密結合如Gmail電子郵件附件、Google相簿、Google文件、簡報、試算表等,都可直接儲存到雲端硬碟並進行線上的編輯。Google Drive採用SSL加密功能,即使智慧型手機、平板電腦或桌機發生任何問題,雲端硬碟中的所有檔案仍然安全無虞。
OneDrive
OneDrive為微軟所提供的雲端儲存服務,提供5GB的免費儲存空間。OneDrive一大特點在於與自家的Word、Excel、PowerPoint及OneNote文書服務緊密結合,可透過電腦、行動裝置及網頁進行共同編輯作業,對於習慣使用Office的使用者是一大福音。另外,OneDrive也允許使用者透過Microsoft Account來限制不同的使用者存取檔案,允許使用者決定是否將檔案與公眾分享,或是限於聯絡清單上的人才能存取;而對所有人公開的檔案,則不需要Microsoft Account即可存取。
Dropbox
Dropbox是一個線上檔案同步服務,申請時提供2GB的免費儲存空間,可利用推薦連結邀請朋友加入的方式,最高提供16GB儲存空間上限。Dropbox會保存Dropbox帳戶裡30天內任何的檔案變動紀錄(使用延長版本紀錄期間或Dropbox Business方案時,則可保存更久),可以恢復檔案舊版、還原遭刪除的檔案,或是復原刪除活動。在檔案內點選「更多」→「版本紀錄」,可還原下方任何版本,還原的版本會變成檔案目前的版本,而Dropbox系統仍會儲存其他所有的舊版本。
實驗操作示範
本實驗在越獄的iPad Air智慧型平板安裝Dropbox(Android version 20.2.2)、Google Drive(Android version 2.4.542.14.75)、OneDrive(Android version 4.5.1)等應用程式,使用瀏覽器存取上述三種雲端儲存服務,分別上傳測試檔案,透過平板端雲端應用程式存取測試檔案,對測試檔案執行多種檔案操作,使用UFED Physical Analyzer手機鑑識工具對iPad Air進行數位證據分析,比較不同雲端服務軟體的操作對數位證據收集的影響與跡證的變化量。