本文將以Mac OS系統的相關軟體來針對可能的犯罪工具iOS裝置進行鑑識,目標是要找到攻擊者利用iOS裝置進行遠端桌面連線到被害人電腦後所可能留下的足跡。
使用遠端桌面的時候,透過TCP/IP的一些協定,讓使用者可以在不同的裝置上操作其他地方的電腦。不像傳統的File Transfer Protocol(FTP)只能用來傳輸資料,遠端桌面技術可以用來存取資料和檔案、收發信件或管理系統執行程式,這些功能對許多使用者或企業組織來說都非常實用。以往遠端桌面的運用是以電腦為Client來連接另一台作為Server的電腦,而現今隨著行動運算的進步而有了不一樣的格局。
根據台灣資策會FIND2014報告指出,台灣持有行動裝置的人數已超過1,400萬人,占12歲含以上人口的七成。如此高的行動運算普及率主要是利用無線網路或行動網路的無所不在特性與方便性,讓使用者能夠使用應用程式、執行商務或參與其他活動。許多Virtual Network Computing(VNC)軟體和遠端桌面(RDP)程式也在這個情況下蓬勃發展,而相對的功能也愈來愈多愈來愈好,有些VNC軟體甚至有多人連線或會議模式的功能。
知名機構國際數據資訊(IDC)在2015智慧型手機市場研究報告中指出,蘋果公司所推出的iPhone系列手機在市場反應上持續保持第二名的領先地位。隨著行動裝置商品的熱賣,蘋果公司的Mac系列電腦也在這幾年有所成長。根據市場調查權威公司Asymco的報告,Mac電腦已漸漸成為PC市場的主流,特別是高階個人電腦的市場。
遠端桌面受到許多企業組織的使用,相對留下可能的漏洞被犯罪者利用;行動裝置的方便性也很容易成為犯罪者隨身攜帶使用的犯罪工具。所幸在使用遠端桌面時,行動裝置不僅協助犯罪者從事非法行為,還能留下犯罪跡證來提供調查,讓執法人員能進一步掌握犯罪真相。
本文將以Mac OS X Yosemite為遠端桌面Server並以iPhone iOS 9.1作為連線的Client端,來研究進行遠端桌面連線所可能留下的數位跡證。
背景知識簡介
本文將從遠端桌面的相關協定說起,並說明手機鑑識與相關的作業系統環境,再介紹與本文有關的軟體工具。
Remote Desktop Protocol
遠端桌面協定,簡稱為RDP,是一個讓使用者(或稱用戶端)連上提供終端機服務電腦的多通道(Multi-channel)協定。與遠端桌面協定相容的用戶端可以執行於多種作業系統,許多系統上甚至將遠端桌面用戶端功能列為其核心功能,而Windows系統也因其相容性的廣泛而衍生出許多安全顧慮。
Remote Framebuffer Protocol
Remote Framebuffer(RFB)協定為一種簡單的遠端存取協定,讓使用者能夠透過網路來存取遠端電腦。要求連線並得到遠端畫面的一方稱為Client,相對的另一端稱之為Server。RFB協定重點在於建立一個Client端,此Client為了要應用於更廣泛的硬體上,Client功能必須愈簡單愈好。RFB協定能使Client端中斷連線後,隨即再度連結同一個Server,而Client端的畫面將會保留。此協定能夠應用於所有的視窗介面,主因在於其運作於Framebuffer層級,因此包括Windows和Macintosh都能透過此協定來進行遠端存取。
Virtual Network Computing
虛擬網路運算(Virtual Network Computing),簡稱為VNC,是透過RFB協定進行螢幕畫面分享與遠端操作的一種軟體。此類軟體藉由網路,可傳送鍵盤與滑鼠的動作以及即時的螢幕畫面。
VNC並提供跨平台的使用,例如可用於Windows連線到Macintosh電腦,甚至在沒有安裝用戶端程式的電腦中,只要有支援Java瀏覽器也可使用。此類軟體近來已發展到行動裝置平台,藉由行動裝置來進行遠端電腦的存取控制。
手機數位鑑識
欲對iOS裝置進行數位鑑識與分析,分析對象主要可區分為對「備份」分析及對「裝置」分析兩種。
·對「備份」分析:iPhone必須利用iTunes進行備份,於此備份中可以取得完整之使用者資訊,包含通訊錄、通話紀錄、行事曆、應用程式資訊、相片影片等等。由於iPhone對其檔案內容有保護設定,故須透過鑑識軟體進行分析。
·對「裝置」分析:將iOS裝置與電腦或鑑識工具連接並進行萃取與分析,其萃取方法又可分為邏輯萃取(Logical Acquisition)與實體萃取(Physical Acquisition)。
iOS作業系統
iOS為蘋果公司以Darwin為基礎所開發的行動裝置操作系統,支援的裝置包括iPhone、iPad、iPod touch與Apple TV,並不支援非蘋果的硬體裝置。本文將使用目前iOS的最新版本為iOS 9.1。
iOS系統的檔案架構為HFS+(全名是Hierarchical File System Plus),而系統分成系統磁區(System or Root Partition)與使用者磁區(User or Media Partition)兩種。