拜Web 2.0所賜,社群網站如雨後春筍般蓬勃發展,且越來越強調使用者彼此間的互動性,Facebook最近推出的打卡功能便是一例,然而這也引發不少議題。本文透過探討Facebook的「打卡」(Check in)功能,介紹其原理及步驟,並從商業價值、風險、偽造等各種角度進行分析,然後利用相關的數位鑑識技術去發現打卡者的一些蛛絲馬跡。
偽造
打卡的位置並非可以絕對相信,換句話說,也可能被偽造。舉例來說,就有一款名為「Fake GPS location」的手機應用程式(圖7),可以將打卡的地點隨使用者的意願加以改變。
|
▲圖7 Fake GPS location的Logo及使用介面(取自官網)。 |
其運作原理為結合手機模擬位址(Mock Location)的功能藉以欺騙GPS真正的定位,另外「checkin fake」、「GPS Cheat!」、「Catch Me if U can」等手機應用程式,也都能達到類似的效果。
至於電腦版的Facebook,毋需地理定位的功能便可隨意打卡(例如人在台北的家裡,但是打卡的位置卻可在高雄的壽山動物園裡),換言之,該打卡位置並不具任何可信度,相關資料整理如表3所示。
表3 打卡於不同Facebook版本與操作平台之比較
案例解說
甲君在瀏覽Facebook時,無意間看到乙君打卡並留下的恐嚇字眼「XXX(甲君的名字), I WILL KILL YOU!!」,且打卡地點名稱為「Unknown Place」,並顯示「來自手機」(圖8)。甲君因心生恐懼而報案。
|
▲圖8 嫌犯乙的恐嚇訊息。 |
由於甲君與乙君素為熟識,因此偵查人員很快地就找到乙君。經警方調查,乙君所使用的手機並無上網功能,因此研判作案工具應為其家中唯一可上網的筆記型電腦。
但乙君矢口否認其犯行,且由於其使用私密瀏覽(InPrivate Browsing)上網,並不會留下任何瀏覽紀錄,因此鑑識人員便透過記憶體傾印的方式,搭配相關的鑑識工具,證明乙君曾使用這台電腦恐嚇過甲君。
由於使用Facebook並不需要安裝任何應用程式,加上乙君是在私密瀏覽的環境下進行上網,而無法直接從電腦中找尋相關的檔案或是檢視遺留下的歷史紀錄。
因此利用免費軟體「MANDIANT Memoryze」(下載網址:http://www.mandiant.com/products/free_software)中的「MemoryDD.bat」程式,對乙君的電腦進行Memory Dump(記憶體傾印)(圖9),將揮發性記憶體中的資料在不干擾原電腦的前提下擷取出來,並輸出成一個完整大小的映像檔(Image File),如此一來,才能夠載入Encase等鑑識軟體中進行分析。
|
▲圖9 MemoryDD.exe的執行畫面。 |
將產生出的映像檔載入到鑑識工具「Encase」中進行分析。利用Encase的關鍵字搜尋功能,可以在「Keywords」中建立一些重要的關鍵字,如「I WILLKILL YOU」、「Unknown Place」、「checkin」等等,並將其一一打勾,開始著手進行搜尋(圖10)。
|
▲圖10 Encase設置關鍵字的介面。 |
如圖11所示,利用「Search」功能勾選好下列的選項後,便按下〔Start〕按鈕開始搜尋。左下方的「Compute hash value」選項,則可在搜尋過程中同時計算該映像檔的Hash輸出值,確保該映像檔的完整性。
|
▲圖11 Encase設置搜尋的畫面。 |
視窗右下方會顯示搜尋的進度及剩餘的時間,待搜尋完成後,便會出現一個「Searching」視窗告知最後搜尋的結果,而「Search Hits」便是在這次搜尋中,符合條件的關鍵字總數,如圖12所示。
|
▲圖12 Encase搜尋完成之畫面。 |
接著選擇「Search Hits」功能,並將剛剛選擇的搜尋條件一一打勾,然後在左下角選擇「HEX」(亦即十六進位的編碼方式)加以檢視,符合的關鍵字將會以黃底加以標示。
從中可以發現,「I WILL KILL YOU」、「Check in」、「Unknown Place」相互在鄰近的位置出現,而乙君所使用的帳號也一併顯現其中(圖13),因此就證明了乙君的確曾對被害人甲進行恐嚇,其原本的謊言當然不攻自破。
|
▲圖13 Encase所搜尋到的關鍵字。 |
結語
「打卡」僅為Facebook眾多功能裡的其中一項,透過對打卡的原理、操作及相關衍生議題的介紹與分析,不難看出,其中存在著不少問題,而且也息息相關,例如打卡可能會導致行蹤的曝光,而其本身的可信度也有待商榷。
另外,由於Facebook與瀏覽器的使用息息相關,而私密瀏覽是目前常見的簡易反鑑識手段,因不會留下瀏覽痕跡,所以事後仰賴相關的記憶體鑑識工具,將資料挖掘出來再加以分析,即可證明當事人使用過Facebook的事實。