且其log 紀錄會進一步轉換傳送至 Cloud Forensic Center,由於雲端服務供應商及 執法機關均有其紀錄,所以使用者無法否認曾經創造某檔案。
‧
‧
‧
碼,假冒其他無辜使用者存取雲端資料」及「入侵執法機關的Cloud Forensic Center,
試圖竊取log 資料,找出可用的使用者資料」之風險發生,相關對策說明如下:
(二)在「入侵執法機關的Cloud Forensic Center,試圖竊取 log 資料,找出可用的使用 者資料」的情境中,可藉由機密性的安全性質C2,杜絕惡意駭客從 log 驗證資料 Litigation hold enabled cloud storage(LINCS) 架構,主要是針對雲端
‧
Our Scheme 與其他機制之 相異處
1、Threat Model 中的 執法機關也可能會
1、Threat Model 情境 僅 限 縮 在 訴 訟 階
1、Threat Model 納入 實際情況中各種可
Our Scheme 與其他機制之 相似處
1、均以加解密機制產生驗證資料,並儲存於第三方或專屬資料庫做為 驗證原始檔案未遭竄改之證明。
2、均有提出 Threat Model 作為運用情境,並以自身提出的機制解決各自 Threat Model 的問題。
Our Scheme 與其他機制之
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
28
端設備至執法機關所保存的驗證資料,都是我們關注的鑑識範圍。
3、所提出的 Threat Model 比起其他方法更加實際與貼切,將實際情況會 有的惡意同夥納入情境討論,並確立執法機關作為公正第三方代 表,避免任一方皆有可能成為惡意攻擊者之循環發生。
4、其他機制僅針對完整性與機密性的安全性質進行探討,但我們提出 的安全性質包含機密性、完整性、可用性及不可否認性,比起其他 機制更為廣泛與嚴謹,可提高數位證據的可信度。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
29
第 4 章 雲端 APP 鑑識分析研究
由於行動通訊網路的快速進步,以及硬體設備的發展,使得智慧行動裝置在近年來 有明顯成長,尤其在社群及通訊軟體的運用普及下,更使人們幾乎人手一機,無法離開 智慧行動裝置。因此,使用者自是會有許多資料儲存需求,雲端儲存服務無疑就是解決 這個問題的最佳方案,但許多犯罪者也因此將犯罪證據藉此傳送至雲端。為能夠澈底瞭 解 雲端 儲存服務 在行 動裝 置 上會留 下 哪些 數位證據,我們將針 對 iOS 裝置上的 OneDrive、Google Drive 及 MEGA 雲端儲存服務進行分析研究[5]。
目前鑑識分析類型大致可區分為動態分析(Dynamic Analysis)與靜態分析(Static Analysis)或者是網路分析(Network-based Analysis)與本機分析(Host-based Analysis),
為了能全面瞭解雲端儲存 APP 在運作過程中所能產生的數位證據,我們將結合兩種分 析類型的概念(如圖5),採用網路封包分析(Network packet Analysis)、檔案分析(File Analysis)及 APP 執行分析(APP runtime Analysis)這三種分析方法[27]。並對上述三 種雲端儲存 APP 進行鑑識分析,從不同的觀點切入,以全面呈現在各種分析條件下,
這些雲端儲存服務所能發現的數位證據。
圖 5:鑑識分析方法
本次實驗所採用的設備及環境如下(如表5),利用 iPhone 及 iPad 進行相關實驗操
‧
1、iPhone 6(iOS 9.0.1)
2、筆記型電腦(Windows 10)
1、iPad mini (iOS 9.3.1)
2 、 筆 記 型 電 腦
(Windows 10)
分 析 工 具
2 、 plistEditor Pro
(2.1)
2、Google Drive(8.13)
3、MEGA(3.4.1)
由於執行動態分析需要先將iOS 裝置執行越獄(JailBreak)後,才能利用分析工具 對目標APP 進行檢測分析,為求一致,本次各項分析實驗中的 iOS 裝置均已越獄。