暗網潛航——電腦鑒識術──冷徹心扉

  電腦鑑識術就像一場攻防戰,除了之前提過取證與反鍳識外,原來「凍結」(Frozen)在業內也是非常獨特的取證技巧之一。電腦鑑識術有兩種凍結技巧,第一種是把「時間戳記」(Timestamps)保存。由於機器每一次存儲數據時,時間戳記都會變動,取證時無法保存證據完整時間序列及連貫性。

  電子取證工具必具「寫入阻止程序」(WriteBlocker)功能,把證物機器的數據進行「時間戳記凍結」(Freezing Timestamps),再配合獨特的硬件和斷電技巧,同時凍結運行中數據及其時間戳記,保存作為將來證據之用。第二種凍結技巧更神奇,是用來盜取加密金匙的,叫做「冷啟動攻擊」(Cold Boot Attack)。基於能量逐漸衰減的物理法則,電腦DRAM和SRAM記憶體上的數據,都會在電力漸減而消失,即使斷電後數分鐘,記憶體仍有一些資料殘留,而且不管使用任何加密法,所有加密金匙在能量完全衰減前,都必會儲存在記憶體上。

  不管筆記本電腦或是手機,就算你登出及關機,只要電力未完全衰減,就可以進行冷啟動攻擊,從記憶體中把加密金匙複製到手。

  冷啟動攻擊最早出現在2006年研究論文,兩年後普林斯頓大學研究證實有關概念,並作出兩種不同示範。一種使用USB連接電腦,在資料殘留數分鐘內,直接把加密金匙複製;另一種是直接用冷凍劑對記憶體物理冷凍,成功延長資料殘留時間。2013年,德國Erlangen大學研究員利用冰箱,把三星Galaxy手機冷凍在攝氏15度下,從記憶體中截獲加密金匙。這特殊的取證技巧,一直都是我們慣常採用秘技之一,若看見我們攜帶小型冰箱或冷凍劑工作,請不要驚訝。

TOZ聯合創辦人

龐博文

hd