暗網潛航——通訊軟件鑑識與反鑑識(上)

  探討完Signal這類加密通訊軟件,都可以進行電子取證後,很多朋友都問,到底有甚麼方法,才能對抗電腦鑑識技術?事實上,這是一門專業,稱為「反鑑識術」(Anti-computer forensics/counter-forensics),但業內非常少人懂得及公開教授,而且所需知識及條件都十分苛刻,難以寥寥數語就能說清楚,故簡單介紹在日常生活條件下,如何在使用通訊軟件時保護自己。

  首先是我們的通訊器材,不管是手機、平板或電腦,都必定使用Dirty Machine,意思是與日常工作及社交通訊完全分離的機器。這部機器存在的唯一目的,就是秘密通訊,絕對不能讓它與互聯網上任何個人帳號及服務有連結。所以在選擇通訊器材時,我們不會用已綁定服務,以及支援多個通訊協定的著名品牌,反正這部機器只要連上電話網絡及可隨時拋棄就成。

  用戶也應有意識,Dirty Machine是隨時準備拋進海、焚化爐、被電擊、使用USB Killer,甚至放進攪拌機內把它絞碎成粉末的電話!買好東西又有甚麼用?最好是華強或南美的「山寨機」、「翻新機」或自行組裝的「積木機」,如果IMEI是複製出來的,那就更完美了。

  至於手機操作系統,實在想不出有甚麼好的理由使用IOS及Android,除非喜歡留下電子足跡吧。我會推薦使用Linux Phone OS,種類較多,硬件需求低,能夠在大量平價機器運行(想清楚一下有需要那麼多功能強大的軟件和硬件接口嗎?),而且可非常方便安裝多種性能強大的工具,保證有驚喜。除此以外,Sailfish及Debian and Kali等都是不錯選擇。

  機器到手後,必須進行系統固化(System Hardening),把所有不必要的功能,如藍牙及NFC全部都卸載(謹記是Remove,不是Disable),因為可不想遇上Bluejacking或RF Dump,然後在現實中被人辨認出來。接着要做全碟加密(Full disk Encryption),演算法由用戶自定吧,見過有人使用Twofish金匙演算法。

  另外,我們一定要設置遠端或自行安全刪除(Remote/Auto Wipe),即使機器被取走,也可以消滅資料;我亦見過會在系統儲存內放入一些邏輯炸彈(Logical Bomb),甚至是木馬、勒索軟件等小驚喜作為禮物,給予工作沉悶或勞苦的調查人員呢!用戶多數會把它們包裝,再來個普通刪除,畢竟讓調查人員慢慢把隱藏的小驚喜回復發掘出來,才更有情趣吧!還有數個「反鑑識術」的基本要點,我們下周再談!

TOZ聯合創辦人

龐博文


hd