雲端中最主要的應用之一是「雲端儲存」,因為可以隨時隨地存取檔案和文件,所以受到廣大使用者的青睞。這樣的發展固然增加生活便利,但非法者也可藉此進行違法活動,並且利用雲端特性讓鑑識人員無法單憑主機來進行電腦鑑識及搜證。為了掌握非法者在雲端上的犯罪證據,本文將探討如何運用鑑識技術來分析利用雲端運算服務的犯罪跡證。
雲端運算發展至今,已成為日常生活的一部分。根據IDG和EMC的研究報告,顯示全世界與Data有關的產品每年成長50%,而主要的應用「雲端儲存」之相關產品也不斷地創新與改進。
現代人配合智慧型手機行動上網,隨時隨地都能夠存取網路供應商所提供的軟硬體服務,不再只侷限於辦公室、住家等室內空間,而且也因其方便性,使用者數量急遽增加。
全世界政府都已認識到雲端對使用者所帶來的優勢,但也承認其所帶來的相關安全與隱私方面的風險。舉例來說,澳洲政府在2011年提出一個如何使用雲端運算來協助政府機關傳遞資訊做適當選擇的策略方向報告(AGIMO, 2011)。澳洲的信號防禦局(DSD)已發表權威論文指出政府機構在審查雲端解決方案時應有的安全考量。
綜合以上所述,對於雲端服務之安全的重要性是不可忽視的。本篇文章以Google所提供的雲端儲存服務為例,提出非法者可能之行為與其鑑識分析。
相關背景介紹
相關背景介紹將分為「雲端運算概觀」、「數位鑑識的程序」、「Google Drive雲端硬碟」等三方面來加以說明。
雲端運算概觀
雲端運算是指將應用程式和檔案交給「雲端」處理,雲端是由無數台電腦和伺服器所組成,並且透過網際網路相連與存取。有了雲端運算,使用者的一舉一動都是透過網路(Web-based)執行,而不是透過個人的桌上型電腦(Desktop-based)進行運算。使用者可以從任何連接到網際網路的電腦存取所有的程式和文件。
現今網路上有著許多不同業者提供的多元雲端服務,以Google為例,它提供了搜尋引擎、影音(YouTube)、文書處理(Google Docs)、程式開發平台(Google App Engine)等雲端資源,使用者只要透過網路便能夠獲取資源服務。
數位鑑識的程序
數位鑑識的定義為:以周延的方法及程序保存、識別、抽取、記載及解讀電腦媒體證據與分析其成因之科學。而其方法與基本原則為:
- 在不改變或破壞證物的情況下取得原始證物
- 證明所抽取的證物來自於扣押的證物
- 在不改變證物的情況下進行分析
進行數位證據的採證與鑑識程序,則要包含以下步驟:
1. 事件辨別
事件辨別即情報蒐集與案件分析。其目的在於取得所需的資訊與相關資料,也在於預先了解案件的挑戰與可採取的因應之道。
2. 保存證據
進入現場後,最重要的便是保存證據。調查之前,要確保得到允許後再開始調查。這一點,對於電腦犯罪案件中脆弱的數位證據(Digital Evidence)尤其重要,因為數位證據隨時都可能因為鍵盤或滑鼠的一按而改變。所以到現場的第一步,就要控制好現場,並開始記錄時間與進行調查及鑑識人員對證據的操作,也就是證物鏈(Chain of Custody)的管理。
3. 檢驗證據
在現場取得證據後,下一步就是如何去分析這些證據。一般電腦文書資料、圖片、聲音等都可以利用許多工具軟體來檢視。然而,最大的問題在於被刪除的檔案,這些被非法者所刪除的檔案有時會是重要的證據資料。因此,便要對磁碟中的剩餘空間(Slack Space)進行檢視,這也就是為何要使用字元串流拷貝(Bit Stream Copy)的原因之一。在此,就利用工具軟體來進行字串搜尋與檔案重建。
4. 案件分析與陳述
在取得證據並分析後,就是如何將鑑識結果與非法者之間的關係進行分析。藉由對證據進行分類、比對與個化,檢驗鑑識所得是否可連結到非法者,並藉由所得之證明來推斷出非法者的行為,例如非法者是否經常連線到某個網站,或經常撥打哪些電話。這也就是說,要將證據與非法者、受害人、現場的關係建立起連結。
5. 呈現結果
結果必須清楚地陳述。在探究證據的來源、成因與非法者的關係時,要排除掉所有可能的替代解釋,來證明己方解釋為唯一解釋,方可明白確定無罪或有罪之假定。在法庭之上,對證據與因果關係些微的懷疑,就足以影響證據是否被採納及告訴是否成立。
Google Drive雲端硬碟
Google Drive雲端硬碟的重要功能與操作方式,包括以下幾項:
檔案儲存及同步
在雲端放置的檔案可以在drive.google.com存取。此外,在電腦、手機、平板上安裝Google雲端硬碟,也可以對檔案做管理,所有的檔案和文件都會自動化同步。