反计算机取证
反电脑取证,又称反取证,指的是对取证分析的反制。
定义[编辑]
反取证是一门于较后期才得到合法承认的研究领域,其有着各种不同的定义,当中又以普渡大学的马克·罗杰斯(Marc Rogers)所下的定义最为人接受。罗杰斯的定义如下:“[任何]企图对犯罪证据的有没、数量、质量产生不利影响,或使证据难以/无法分析[的行动]”[1]。《飞客杂志》于2002年详细介绍了反取证的技巧,当中定义反取证为“移除或藏匿证据,以图减低取证侦查的效力”[2]。
斯科特·贝里纳托(Scott Berinato)在一篇文章《反取证的崛起》中给出了一个更为简略的定义:“反取证不仅仅只是一门技术,其还是一门应对黑客犯罪的手段。这点基本可总结为:在让他们难以找到你之余,又让他们不可能证明找对人”[3]。
子分类[编辑]
反取证方法一般分成几个大类。马库斯·罗杰斯所创立的分类是当中较为人接受的一个,他把反取证方法分成四类:数据隐藏(data hiding)、资料抹除(artifact wiping)、踪迹混淆(trail obfuscation)、攻击电脑取证过程和工具[1]。直接攻击取证工具的手段可称为反取证[4]。
宗旨与目标[编辑]
在数字取证领域当中,反取证手段的宗旨与目标有着很大争议。不少人[谁?]认为反取证工具只有坏处。而另一些人则认为,应该以这些工具去说明数字取证的不足。在2005年的黑帽安全技术大会上,反取证工具的创作者詹姆斯·福斯特(James Foster)和维尼·刘(Vinnie Liu)便表达了这种观点[5]。他们表示,透过找出这些问题,取证人员将不得不更加努力地证明所收集到的证据是准确可靠的。故此他们相信这能提升取证教育和工具的水平。此外反取证对于防范间谍活动也有着正面意义,因为他们的手法可能跟取证人员类似。
数据隐藏[编辑]
数据隐藏是指让数据难以找到之余,又维持其可获得性的过程。“数据模糊化和加密让对抗者可以限制调查人员所识别和收集到的证据,同时令自身能够接触和使用之。” [6]
加密和隐写术等等建基于软硬件的技术常用于进行数据隐藏,它们使得取证人员难以检验数据。若对抗者混合采用各种不同的数据隐藏方法,那么取证调查将难以有效运行。
加密[编辑]
数据加密是对抗电脑取证的常见手段。电脑安全部副部长保罗·亨利(Paul Henry)表示,加密是“取证专家的梦魔”[7]。
加密技术透过运算等方式,使得信息化为密文,让获得密文的第三方,在没有密钥的情况下,较难得知信息的意义[8]:3-4、27。
隐写术[编辑]
隐写术指的是将信息或文件隐藏在另一个文件之下的技术,这能让它不被取证人员察觉。“隐写术所产生的黑暗数据,通常埋藏于明面数据之下。(好比如埋藏在数字照片当中的水印)”[9]。一些专家认为会用到隐写术的人十分稀少,故不值得花费精力去对付。但大多专家都会同意,若果使用得当,隐写术本身也能够破坏取证过程[3]。
杰弗里·卡尔(Jeffrey Carr)称,2007年版的恐怖主义双月刊《技术圣战者》(Technical Mujahid)讲述了使用隐写术程序“圣战者的秘密”(Secrets of the Mujahideen)的重要性。支持者认为该一款程序能够透过隐写术和文件压缩,来反制隐写分析程序[10]。
其他方法[编辑]
对抗者亦可透过工具和技术来把数据隐藏于电脑系统的各个位置。比如“存储器、碎片化空间、隐藏路径、坏区块、备用数据流、隐藏分区”[1]。
Slacker是一款能够实现数据隐藏的著名工具[11]。它会把目标文件分割,然后再把它们插入到其他文件的碎片化空间,使之不能被取证工具检出[9]。除此之外,对抗者也可透过把特定的轨道设置为“坏道”,来使之不被取证工具侦测[9]。
资料抹除[编辑]
资料抹除是指任何永久清除特定文件或整个文件系统的方法[1]。系统的删除功能一般只是把被删除的文件标记为可以改写,并没有把它从存储设备中删除。故此对抗者会以抹除手段使之从存储设备中彻底删除[8]:3-28。这点可以透过各种方法来实现,比如硬盘抹除工具、文件抹除工具、硬盘消磁/破坏[1]。
硬盘抹除工具[编辑]
硬盘抹除工具以各种方法来改写硬盘中的有效数据。一些专家认为它们不是很有效。因为根据美国国防部的政策,唯一可以接受的硬盘抹除方法就只有消磁。部分程序也因会留下文件系统已被抹除的痕迹,而受到了批评。硬盘抹除工具的例子有Darik's Boot and NukeDBAN、srm、BCWipe Total WipeOut、KillDisk、PC Inspector、CyberScrubs cyberCide。此外磁性记录研究中心的安全擦除方案也是较为有效的手段。它已得到美国国家标准技术研究所和国家安全局承认。
文件抹除工具[编辑]
文件抹除工具能把系统内的独立文件删除。与硬盘抹除相比,文件抹除所花的时间明显较少,而且只会产生小量的痕迹。其有两个主要缺点,第一就是它需要用户发起,第二就是该些程序可能没有完全删除文件的元信息[12][13]。文件抹除工具的例子有BCWipe、R-Wipe & Clean、Eraser、Aevita Wipe & Delete、CyberScrubs PrivacySuite。像shred和srm般的GNU/Linux工具亦能抹除单个文件[14][15]。固态硬盘相对较难抹除,因为固件会把数据写入其他单元,使其最终能够恢复。在这种情况下,则可用到像hdparm的工具,籍其运行ATA Secure Erase指令来抹除文件[16]。
硬盘消磁/破坏[编辑]
硬盘消磁指的是往数字媒体设备施加磁场的过程。这能使得此前存储于设备内的全部数据皆被清除。由于消磁机需花费当事人一定费用才能得到,故这种反取证方法相对较少应用。
与上述方法相比,较多人会选择去破坏硬盘本身。国家标准技术研究所表示:“可用到各种方法来进行实体破坏,包括拆解、焚毁、弄碎、撕碎、熔掉”[17]。
踪迹混淆[编辑]
踪迹混淆的目的在于蒙骗和迷惑取证人员/工具,或转移其焦点。能够达至踪迹混淆效果的工具和技巧有“记录消除器、欺骗、错误信息、骨干跳跃、僵尸账号、木马指令”[1]。
Timestomp为一款著名的踪迹混淆工具[11],它能够修改跟访问、创建、修改时间有关的文件元数据[3]。
Transmogrify是另一款较常应用的踪迹混淆软件[11]。大多文件的表头包含了识别信息,比方说.jpg即表示文件为jpg档,.doc则表示文件为doc档。Transmogrify使得用户能够修改文件的表头信息,比如可由.jpg表头修改成.doc表头,令锁定图像格式的取证工具不把它视为图像,继而跳过之[3]。
攻击电脑取证过程和工具[编辑]
过去的反取证工具大多侧重于破坏数据、隐藏数据、改变量据元信息这几个范畴。不过后来的反取证工具和技术重点则转移到攻击取证工具本身。有好几个因素导致这种趋势的出现:取证程序开始为人熟知、广为人知的取证工具漏洞、电脑取证人员对工具的依赖[1]。
取证人员在典型的取证过程中会创建映像副本,以避免取证工具影响原电脑(证据)本身。为了确定映像的完整性,取证检验软件一般会产生密码散列函数。于是程序设计者便制作了使证据本身受到质疑的反取证工具,它们会修改映像的密码散列函数[1]。
物理[编辑]
以下方法可阻止他人实体性地接触数据:
- 像USBGuard和USBKill般的软件会采用USB认证策略。一旦连接的USB设备不符合条件,它便会开始运行特定操作[18]。在丝路的管理员罗斯·乌布利希被捕后,开发者们便针对他的被捕情况,开发出一些反取证工具。它们能够检测电脑是否被夺走。若是,便会自动关机。因此若电脑经过全盘加密,取证人员便难以获取存储于内的数据[19][20]。
- 不少设备皆设有肯辛顿锁孔,可以以其阻止他人抢走设备。
- 也可利用电脑机箱的入侵探测功能或传感器(比如光传感器)来进行反取证——使之一旦符合特定的物理条件,便会点燃预先装上的炸药,炸毁整台电脑。在部分司法区域,此一方法为法律不容,因为它可能伤害未经授权的用户,并破坏了证据本身[21]。
- 可拆下笔记本电脑的电池,使之只能在连接到电源时运作。一旦切断电源,其便会关机,造成数据丢失。
取证人员可能会实施冷启动攻击,以检索关机后在随机存取存储器中保留几秒钟到几分钟的可读内容[22][23][24]。对随机存取存储器进行低温冻结可进一步使保留时间延长[25]。在关机前改写存储器可以对抗这种取证手段;一些反取证工具甚至会检测RAM的温度,当温度低于某个阈值时,就会关掉电脑[26][27]。
开发者已尝试制造出能够防止他人篡改的台式电脑。不过安全研究员兼Qubes OS开发者乔安娜·鲁特克丝卡则对这种方法表示质疑[28]。
留言
張貼留言