暗網潛航——手機電子取證鑑識─鶴長鳧短(二)

  上個星期,我們在討論維持系統的封閉性及統一性方面,iPhone比Android有優勢,只要用戶經常更新手機系統,不破解iPhone或將其「越獄」(Jailbreak),手機安全性相對較高。

  不過,無線網絡發展迅速,加上廠方也重視用戶的個人資料,提供雲端備份功能,令用戶的資料,除了存放在手機內,也同時存放在數據中心內。另一方面,用戶也會安裝由第三方廠商編寫的程式及硬件,不管這些是社交媒體、即時通訊軟件、導航定位、生物活動記錄、外置記憶或功能媒體硬件,都是電腦取證的目標呢!

  所以,第二個要討論的重點就是這些第三方軟件的存儲方式和安全機制。顯然而見的是,如果資料並非存儲在手機內,而是透過網絡存儲在外部儲存器上,這時不管你使用iPhone還是使用Android,也沒有甚麼關係吧!

  我可以老實告訴你,破解備份和外置記憶功能的媒體硬件,絕對比直接破解你的手機系統容易。但如果你將資料存儲在第三方廠商的系統上,則視乎廠商的存儲方式和安全機制有沒有漏洞。

  最後一個重點,就是電腦取證人員的能力。行內有一句話,「就算有最好最先進的工具,也要你的取證人員有能夠使用這些工具的能力」。全球執法機關都面對一個困境,由於差不多所有罪案都涉及電腦取證的流程,但是懂得電腦取證的人並不多,加上有機會面對地域技術限制,例如歐美廠商的電腦取證工具,不一定能成功破解微信或者QQ,中國製造的電腦取證工具也對付不了只流行在某一個地域或群體的小眾通訊軟件。所以,他們都是退而求其次,買最好的工具回來,然後純粹教欠缺經驗的人員如何機械化地操作系統去進行取證。

  這個方法可行嗎?結果就是之前美國有FBI人員破解不了iPhone,結果向法庭申請搜令,企圖強制蘋果公司交出密匙,引起重大私隱風波。但轉過頭來,電腦取證廠商使用工具,配合零日漏洞輕輕鬆鬆就破解了。

  作為一名電腦取證人員,我可以說,比較iPhone和Android安全性並無意義,重點是使用系統的人和取證人員,在安全意識和能力之間的比併。我相信如果有一定技術背景的人看了這篇文章,應該可以倒過來思考如何在手機上施行「反電腦鑑證術」吧!

TOZ聯合創辦人

龐博文


hd