雲端服務是近年相當引人注目的網路服務,雲端上的運算資源與儲存空間滿足了使用者多元需求,這樣的發展固然增加生活便利,但犯罪者也藉此進行違法活動,無論是未經允許竊取雲端資料或是將犯罪資料儲存至雲端,皆是不可漠視的違法行為。對此,本文將以線上文件儲存服務Dropbox為例探討如何運用鑑識技術分析雲端運算服務的犯罪跡證。
Dropbox服務介紹
Dropbox是一套免費網路儲存空間及檔案同步的工具,提供免費用戶2GB儲存空間(付費版本提供100GB),具有檔案共享、線上備份、網路存取等功能,如圖2所示。
|
▲圖2 Dropbox.com網路的檔案管理介面。 |
以下為Dropbox各項功能的簡略介紹:
檔案儲存及同步
此軟體工具支援Windows/Mac/Linux電腦及iPhone手機,可同步各種類型及大小的檔案,不像Google只支援特定的副檔名,此外,也支援檔案續傳。由上可知,Dropbox強調支援各家作業系統及資料同步與離線編輯的功能。
檔案共享
透過權限控管,資料擁有者可設定共享資料夾的存取權限,並允許多人存取同一組的檔案。若檔案更動,也可以即時掌握。
線上備份
Dropbox除了會自動備份檔案之外,還有反刪除檔案及資料夾的功能,並有30天期限的記錄回復功能。若是付費版本,則有無限期的回復可選。
安全及隱私
共享資料夾須獲得允許才能瀏覽。Dropbox採用SSL通訊協定,並使用AES-256加密,若要線上存取資料檔案,需要帳號及密碼登入,無法直接瀏覽或搜尋。此外,Dropbox網站和用戶端程式都已加強防駭功能。
手機存取
iPhone或Andriod使用者可利用App應用程式,連線Dropbox存取檔案或下載檔案以供離線存取,目前Dropbox有iPad專用版、Android手機版以及Blackberry黑莓機等智慧型手機的用戶版本。
Dropbox提供網路文件儲存的雲端服務,使用者只須輸入帳號、密碼登入,再利用行動連線裝置,便能不限時間地點、不限於原上傳裝置,自由地存取上傳的檔案。
進一步推想,若使用此工具進行違法犯紀之事,該如何處理。以偵查鑑識角度而言,必須了解在安裝Dropbox後會有什麼數位跡證存留在電腦,並進一步搜尋關鍵的犯罪證據檔案。
Dropbox之電腦鑑識
以手機販毒案為例,嫌犯利用手機上網功能,將販毒交易明細儲存至網路空間,以利隨時掌握毒品買賣狀況,惟鑑識人員要將手機進行扣押鑑識時,嫌犯竟將手機破壞,讓鑑識人員無法從手機中萃取相關數位跡證,在此情況下,鑑識人員遂前往嫌犯住處,扣押嫌犯平日所使用的電腦,進行鑑識。
在鑑識過程中,發現嫌疑犯有安裝Dropbox,判斷嫌犯應該是利用此軟體來進行網路毒品交易,接下來將檢視Dropbox安裝後,在電腦裝置當中存有哪些數位跡證。
檢查Dropbox的捷徑或連結檔
除了簡單檢查桌面或電腦功能列是否有相關Dropbox連結外,鑑識人員也可透過「MyUninstaller」軟體將目前電腦已安裝的軟體進行統計清單。
首先,檢查清單中是否包含Dropbox,此軟體工具除了可列出軟體基本資訊如軟體名稱、發行公司、軟體版本外,還能顯示安裝時間與所使用的資料夾與登錄檔位置(圖3)。
|
▲圖3 有安裝Dropbox的狀態畫面。 |
在微軟系統中,對於曾執行過的程式均會產生相對應的PF檔,因此可透過「.PF」檔檢查使用者是否曾經在電腦上執行Dropbox,而產生的PF檔存放在「C:\WINDOWS\Prefetch」路徑下。
檢查上網紀錄
藉由瀏覽紀錄,鑑識人員可追蹤嫌犯造訪過哪些網站,分析其網路行為。透過「Webhistorian」等軟體可查看嫌犯的瀏覽紀錄內容或是解析Cookie檔,查看是否有Dropbox的可疑瀏覽紀錄。
檢查安裝路徑
電腦中存有軟體相關安裝路徑,因此可以到相對應的安裝路徑下查看有無軟體相關檔案。Dropbox的安裝路徑位於「Application Data」目錄下。可在檔案總管資料夾選項下,開啟「顯示所有檔案及資料夾」功能,查看此目錄。
在Windows XP的作業系統內,預設路徑為「Documentsand Settings/username/Application Data/Dropbox」;而在Windows 7作業系統上,其預設路徑為「Users/username/AppData/Roaming/Dropbox」。
檢查註冊機碼
在Windows系統內,註冊機碼(Registry)是存放系統及軟硬體、使用者環境設定、系統執行等相關詳細設定數據的大型資料庫。若電腦中有安裝過Dropbox,在Registry中將會存有紀錄。
利用登錄檔管理軟體,或者至Windows作業系統的「執行」功能視窗輸入「regedit」來查看註冊機碼內容,以尋找關鍵檔案紀錄。
利用連線狀態來檢查
Dropbox是一套雲端服務的工具,藉由遠端連線將檔案文件上傳至Dropbox檔案伺服器。
所以,若要確定嫌疑犯有無執行此雲端服務時,可利用命令提示字元輸入「netstat -an」指令,或者使用網路連線檢測工具程式「TCPView」觀察其電腦連線狀態,如圖4所示。
|
▲圖4 Dropbox的電腦連線狀態。 |