網路釣魚之iPhone數位證據鑑識標準作業程序

中央警察大學資訊管理研究所 教授 林宜隆 

一、 前言
由於近幾年來網路釣魚越來越猖獗,被害的人數也持續在上升。網路釣魚為了取得個人身分資訊透過電話、電子郵件、即時通訊或傳真…等,來嘗試取他人身分資訊。這些網路釣魚行為大部分會以合法的企業組織(例如Yahoo、Google…etc)做為掩飾。最常看見的電子網路釣魚攻擊包含兩種,一種為電子郵件,另一種則是詐騙網頁。駭客通常是採用 HTML 格式的電子郵件包含公司標誌、色彩、圖形、字型樣式…等,而且主旨及內容通常是和帳戶驗證、安全性升級,及新產品或服務贈送等相關的詐騙信息,一般使用者通常根本分辨不出真假。電子郵件中的網頁連結大部分都具有和合法網站相同的外觀,使詐騙行為幾乎無法被偵測出來。依照統計,金融網站是釣魚駭客最喜歡攻擊的對象,因為可直接取得金錢。而花旗銀行、eBay、美國銀行及Paypal是前四大被攻擊的對象。

近年來智慧型手機已成為趨勢,多半智慧型手機都能連上網路瀏覽網頁等資訊,但這也造成許多安全上的問題。由於網路釣魚的氾濫及智慧型手機的迅速擴展,許多使用者很有可能隨時隨地在不知情的情況下利用手機上網而掉入駭客所設置的網路釣魚陷阱中。智慧型手機有許多種類(例如iPhone、HTC、Sony Ericsson…etc),其中由賈伯斯(Steve Jobs)為首的蘋果公司(Apple)所出產的iPhone最夯,相關的資訊安全問題也浮上檯面。


根據賽門鐵克在2010年12月份所有釣魚網站當中,釣魚網站在12月下降15%,而原因可歸咎於各類釣魚網站數的下降。但賽門鐵克發現,今年一月開始垃圾郵件似乎有重升的現象,原因來自於Rustock等殭屍網路的復活。最近幾個月,賽門鐵克發現一系列的釣魚網站都是針對知名社交網路所設計,駭客們利用幾個新的誘騙手法(Webcam釣魚網站),企圖誘拐消費者洩漏其個人機密資訊。需要有一套數位鑑識的標準作業流程來蒐集與分析這些釣魚網站,提供法官相關的數位證據,進一步來制止網路釣魚的氾濫。


二、 何謂網路釣魚

網路釣魚又稱為 Phishing(英文發音同Fishing),是一種「社交工程」(Social Engineering)的攻擊。網路釣魚是一種企圖從電子通訊中,偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和個人資訊的犯罪詐騙過程。典型的網路釣魚誘騙手段之一,是從電子郵件訊息開始。網路釣魚假冒銀行、信用卡公司或聲譽良好的線上商家 (例如Google、Yahoo、Microsoft、eBay…etc)可靠機構,向客戶發送看似正式的電子郵件通知,引導使用者點擊網釣者所製作外觀及與真正網站幾乎毫無差異的網頁,藉此來竊取受害者的身分資料及金融帳號及各類密碼等機密資料。


三、 何謂電腦數位鑑識及數位鑑識標準作業程序

數位鑑識(digital forensics)技術是關於如何在電腦內找到可供法庭上確認待證事實之證據資料;也就是將電腦內的相關數位資料加以保存、識別、擷取以及文件化之過程。透過嚴謹的鑑識程序,可使數位資料具備證據能力,進而提高證據證明力。換言之,數位鑑識之目的在於如何於蒐證過程中,確保數位證據(digital evidence)之「不可否認性」與「完整性」,使數位證據具有絕對證據能力,而能成為呈堂證據。

數位證據具有容易修改、不易個化、無法直接被理解,以及取證困難…等特性。專家需根據數位鑑識的標準作業程序,來解決數位證據易修改的問題,以確保原始資料及所擷取的證據之完整性。數位證據鑑識標準作業程序(Digital Evidence Forensics Standard Operating Procedure, DEFSOP)可分為以下四個階段:

  • 概念階段(Concept):
    主要是在於數位證據的取得須遵守合法、真實的原則, 當事人不得以非法侵入他人電腦資訊系統的方法獲取證據。取得的途徑必須以合法的規範,取得數位證據的程序及許可權。

  • 準備階段(Preparation):
    主要任務是做一些鑑識前的準備工作,並蒐集相關資料,為操作階段各程序執行預作準備。

  • 操作階段(Operation):
    這個階段又可以分為三個程序,分別為蒐集程序(Collection)、分析程序(Analysis)及鑑定程序(Forensics)。其中數位資料分為變動性數位資料、固定性數位資料及檔案系統數位資料,在「蒐集程序」中需考量數位資料的類型並選擇適當的工具來加以蒐集;「分析程序」需要分析的資料類型可分為一般檔案、(系統)記錄/稽核檔、各種日誌(系統日誌、事件日誌和安全日誌)、惡意程式碼…等;「鑑定程序」主要是資料萃取、比對及個化、重建犯罪現場。

  • 報告階段(Report):
    提供法院審判需要的相關資料,在此階段需特別注意報告的內容須呈現給非技術性人員作為法庭上的參考證物,所以鑑識人員須確實且詳細的呈現鑑識流程並盡量減少使用專有名詞。



圖1 數位證據鑑識標準作業程序架構

四. iPhone智慧型手機及鑑識軟體簡介

iPhone像其他電子產品一樣非常的複雜,是由許多晶片及其他電子元件所組成成的,其內部零件有CPU(架構是使用RISC)、記憶體、無線網路設備…等,簡單來說可以算是一台小型的嵌入式電腦。iPhone的鑑識流程需要由數位鑑識的鑑識流程來輔助。

iPhone智慧型手機可以透過許多的鑑識軟體工具(例如WOLF by Sixth Legion、Cellebrite UFED、Paraben Device Seizure…etc)來蒐集手機上的數位證據。iPhone沒有記憶卡的裝置,所以有些鑑識軟體只能透過「越獄」(JailBreaking)的方式來通過蘋果公司的驗證。iPhone鑑識軟體工具主要是蒐集Call Logs、SMS、Contacts、Email…等數位證據。 iPhone鑑識軟體工具蒐集數位資料的方法如下:

  • 直接擷取iPhone資料:主要是iPhone和電腦同步來回復檔案。
  • 備份及複製iPhone系統檔案:主要是直接查詢iPhone的資料庫,能夠還原更多被刪除的資訊,像是SMS。
  • 實體bit-by-bit複製:和一般電腦鑑識一樣,複製整個輔助記憶體的資訊,而不破壞原本的資料。

五. iPhone智慧型手機數位資料及數位證據標準作業程序

台灣學者林宜隆教授將智慧型手機的數位資料分成三個部分,變動性數位資料、固定性數位資料及檔案系統之數位資料,而將數位鑑識標準作業程序分為四個階段,分別為原理概念階段、準備階段、操作階段及報告階段,其中以操作階段最為重要,操作階段又分為蒐集、分析、鑑定三個部分。



圖2 智慧型手機數位資料分類

圖3 iPhone智慧型手機標準作業程序

六. iPhone智慧型手機與電腦數位鑑識標準作業程序之比較

iPhone 智慧型手機與一般電腦鑑識的標準作業程序其實差異不大,主要是在扣押的方式及操作階段有所不同。電腦鑑識在扣押的過程中主要是避免電腦內的數位資料受到更動及硬體的破壞,所以將電腦主機放置堅固的扣押箱內,但是智慧型手機扣押要注意的一點是,扣押箱必須有隔離訊號的功能,避免手機內部的資料因及時的訊號而被更動。

電腦鑑識在操作階段所要收集的資料和iPhone智慧型手機所要收集的資料及使用的鑑識軟體工具都不同。電腦鑑識主要蒐集的資料為「易失性」(例如記憶體、網路的連接資訊…etc)和「非易失性」(輔助記憶體)的資料,然而智慧型手機雖然也是蒐集「易失性」及「非易失性」(手機內部輔助記憶體及記憶卡)資料,但所存放的資料內容及結構都有所不同,所以有必要將兩者的標準作業程序獨立出來。


圖4 數位鑑識標準作業程序比較

七. 結論

由於近年來智慧型手機的迅速發展及擴展與網路釣魚氾濫及技術多變,網路釣魚的受害者逐年增加,導致個人資料外洩,因而受到損失及傷害。因此數位鑑識變得非常重要,藉由數位證據鑑識標準作業程序(Digital Evidence Forensics Standard Operating Procedure, DEFSOP)配合鑑識軟體來蒐集並分析電腦及智慧型手機上的資訊,並將分析的結果製做成鑑識報告以便法官審判有所依據。網路釣魚的技術越來越多變與智慧型手機的進步,這代表隨時都很有可能掉入網路釣魚的陷阱,經由數位鑑識相關流程與技術,可分析出網路釣魚的模式、行為以及相關的特徵,便可藉由這些資料來協助使用者避免落入網路釣魚的陷阱中,以達到預防的目的。相信數位鑑識的技術會不斷的進步,不管在電腦還是不斷改變的智慧型手機上,都可準確的蒐集並分析數位證據,來幫助受害者。


轉自 TWCERT/CC

0 意見: