17 世纪,法国政治家红衣教主 Cardinal Richelieu 有句名言,“给我这个世界上最诚实的人写的六行字,我一定能从中找到足够的理由来绞死他”。无独有偶,斯大林手下的秘密警察首脑 Lavrentiy Beria 曾扬言,“让我看一下那个人,我就能告诉你他是个罪犯”。
他们表达的是相同的意思,即 如果你拥有关于某人的足够的数据,你就能找到足够的证据来发现他犯了某些罪。这就是为什么许多国家的法庭禁止警方进行非法调查(fishing expedition)—— 就是那种基本上允许警方搜查任何东西的文件。空白搜查令是最有可能被极度滥用的东西,它们曾被统治美国的英国殖民者当成控制社会的方式。
而相比互联网时代,上述那些都显得太麻烦了。
如今,警察可以在未经你同意的情况下从你的手机中获取数据,你还有可能完全不知情。
在搜查你的房屋的过程中,如果警察没收了你的财产,你有权获得这些物品的清单,这受法律保护。但是,如果他们是从你的设备中提取数据,你可能甚至不知道这种事已经发生了,更不可能知道警方在他们的数据库中存储了哪种数据,储存多久。
在这个时代,每个人都非常依靠并信任自己的手机,也正因此,手机揭示了我们的身份,记住了太多我们自己都忘掉了的事,我们把太多隐私放在手机上了,甚至都没有意识到。照片,日历,互联网浏览历史,所到之处的详细信息,电子邮件,社交媒体,医疗信息,网上银行,健康和健身数据; 揭示了一个人的购物习惯,音乐品味和政治观点; 并拥有大量的应用程序,可生成并保存大量数据……并且,自己手机上的数据不仅与自己有关,还与朋友,家人,雇主和同事密切相关,一个人的手机被盗取数据,相当于一大群人的隐私被侵犯。
隐私国际组织已经发现,在英国,警方正在使用高度侵入性的技术,在没有法律基础的情况下从个人手机中提取和存储数据。该技术在 2012 年伦敦奥运会期间由大都会警察局使用后,已经在全国范围内推出。没有公众咨询,也没有议会审查。
隐私国际获得的文件显示了警方之间关于搜索、下载和存储个人数据之法律依据存在明显的相互矛盾的观点。此外,许多警察部队认为他们可以从移动设备中提取数据,而无需通知设备所有者,无论是对方是受害者、证人还是嫌疑人。由于没有明确的删除规则,警方认为他们可以无限期地保留数据,即使这个人根本无罪。
而且这些数据储存从未加密!也就是说,它很可能不止警方可见。
披露的文件中还包括大都会警察局的采购文件,其中显示“2016 年3月将在所有 32 个 MPS 区和12个枢纽中设置 SSK”,这表明警察在地方和地区一级越来越多地使用这种采掘技术/数据犯罪,而不是将设备送往相关高科技犯罪部门。
什么是手机提取?
该技术用于从移动设备恢复数字证据或数据。使用提取设备,警察可以获得可保存和分析的数据的存储器转储。根据所使用的硬件和软件,将生成一份提取报告,使调查人员能够一目了然地查看目标人的位置历史、与谁交谈及时间、还有潜在的大量其他揭示性信息。
延伸阅读:“一整面墙上布满了显示器。那些数据被整合成了一个详细的人格分析,以此来预测逃离者最有可能做出什么样的选择,然后提前下手围堵。这些构成你的人格分析图解的数据都来自于公开信息,来自你平时完全没有留意到就泄漏出去了的信息。它们最终会变成等着你的手铐”……《隐身游戏》
提取的数据类型
这些向英国警察部队出售入侵技术的公司并不羞于谈起他们的利益。 MSAB 公司声称:“如果您有机会使用 SIM 卡,那么您就可以访问一个人的全部生活”……
MSAB 承认“今天[在手机中]存储的大量数据比以往任何时候都要大得多“。他们声称他们生产的“XRY 软件”已提供给“97%的英国警察部队”,还有在私营部门工作的所谓“数字专家”。
MSAB 的 XRY Physical 允许访问“系统和已删除的数据,并可以使用额外的功能来帮助克服设备锁定和加密挑战。” XRY Cloud 允许从“超越移动设备本身连接的基于云的存储......无需用户重新输入登录信息。“他们说,”这在寻找 Facebook,Google,iCloud,Twitter,Snapchat,WhatsApp,Instagram 等服务的在线社交媒体数据和基于应用程序的数据时特别有用。 “ 即使是警察自己也会骄傲于手机可以容纳的信息范围。
莱斯特郡警察在其网站上声明:
“Think about the information stored it can reveal about you, your friends and your life? All of your calls, messages, who you know. It may have diary appointments, photographs and web browsing history.“
Cellebrite 工具可以获得“输入的地点、GPS 修复、最喜欢的位置、GPS 信息”,并提供“全面的数据提取,甚至设备无法访问的分区 ... 物理提取提供移动设备的整个闪存的逐位拷贝。该提取方法不仅能够获取完整数据,还能够获取隐藏或已删除的数据。
除了从您的联系人、电话和邮件中获取信息外,警方还会下载手机应用程序生成的数据。
如下面所指出的,警方可以“以每分钟 1500 多个移动应用程序的速度解码数据。”突出显示了从移动应用数据下载数据的潜在“价值”。
根据大都会警察局公布的一份文件,不可能限制提取的内容,也不可能隔离与特定日期相关的数据。
’10.4 Handling Irrelevant Data When a SSE kiosk is used to obtain electronic data from a mobile device, it will obtain all data of a particular type, rather than just the individual data that is relevant to a particular investigation. For example, if a photograph on a ‘witness’ mobile phone is relevant, because it shows an offence being committed, then the kiosk will acquire all photographs on that phone, rather than just the photographs of the offence. If text messages to a victim of harassment are required to investigate the harassment allegations, then the kiosk will acquire all text messages on that phone.’
哪种权力正在使用这项技术?
根据信息透明法案的要求,47 名警察透露了一些内情。XRY21(MSAB 产品)、MSAB22 和 Micro Systemation(MSAB)是为 26 个英国警察部队提供的入侵和数据采掘工具。
十二个警察部队明确表示他们在低级别犯罪和严重犯罪中都使用 SSK25;13 个部队使用集线器来提取低级别犯罪和严重犯罪的移动电话数据。
哪些公司在提供这种技术?
英国警察部队使用的技术来自多个安全公司,即 Cellebrite,Radio Tactics 和 MSAB。由安全公司制造的专门向政府机构销售的提取工具的复杂程度各不相同,但都可以访问设备上的数据并将其可视化以便于分析。
> Cellebrite 是最著名的手机“破解者”之一。该公司成立于以色列,现在由一家日本企业集团所有,该集团专门为执法部门提供黑客设备和技术。美国有线电视新闻网的调查报道称,“多年来,它一直是联邦调查局特工闯入嫌疑人手机的首选资源。”被称为 “邪恶的天才” 。
该公司并非没有争议。为了揭示与此技术相关的风险,The Intercept 曾经的一项调查研究了 Cellebrite 是否将其产品销售给人权记录较差的国家。他们根据人权活动家 Abdali al-Singace 审判中提供的证据得出结论,Cellebrite 卖给了巴林,其技术被用来起诉酷刑受害者 al-Singace。
Cellebrite 的“通用取证装置”(UFED)就是电子设备入侵装置,于2007年首次推出,是一款手持设备。宣传中称 UFED Ultimate“提供市场领先的数字设备访问和无与伦比的功能,可提取和解码每一盎司的数据。”功能和优势包括:
能够绕过模式、密码或 PIN 锁并克服加密的挑战;
能从更广泛的设备访问更多数据:从智能手机,功能手机,平板电脑,播放器,GPS 设备,SIM 卡,智能手表等设备,访问实时、隐藏甚至已删除的数据,附有大容量存储设备等,也就是说可以长期保存数据;
通过查看地图和时间表,跟踪并确定人员、地点和事件之间的联系强度;
据称可授权现场人员在几分钟内直接提取密码,绕过用户锁定,并从超过 1,500 个移动应用程序中解码数据”。
> MSAB33 总部位于斯德哥尔摩,自1984年以来一直参与移动通信项目。目前的产品包括:
XRY Logical:在犯罪现场从设备中访问和恢复实时及文件系统数据;
XRY Physical:允许审查员绕过操作系统以转储设备中的所有原始数据。通过此内存转储,可以访问系统受保护和已删除的数据,还可以克服锁定设备上的安全和加密挑战;
XRY Cloud:通过使用移动设备上的令牌从连接的基于云的存储中恢复移动设备本身以外的数据,这些令牌使应用程序无需用户重新输入登录详细信息即可运行。这在寻找 Facebook,Google,iCloud,Twitter,SnapChat,WhatsApp,Instagram 等服务的社交媒体数据和基于 appbased 的信息时特别有用。
> Radio Tactics 是一家总部位于英国的公司,成立于 2003 年,他们似乎多年来一直与英国警方有牵连。 James Hart 博士,据称拥有包括在大都会警察局和新苏格兰场的广泛运作和指挥经验,于 2012 年担任主席一职。他们网站的一个现已删除的部分指出,时间为 2004 年:
“在与泰晤士河警察 HTCU [高科技犯罪部门]会面后,新成立的'Radio Tactics Limited' 开始开发其第一个产品:Forensic SIM 工具包(FST)。在八个月内,FST 已经交付给了它的第一个客户,并且到第二年年底,要在超过三分之二的英国执法机构中占有一席之地。“
隐形数据:科技和移动电话公司的作用
很明显,警方提供的信息很少,与制造商和强大的科技公司对于手机产生的关于其用户的全部数据以及所有大量数据(可以提取的数据)缺乏清晰度相结合。在这个问题上出现的少数媒体报道反而突出了我们对设备如何工作以及如何被操纵的了解甚少。例如,在 2017 年5月的报道显示,优步可以使用持久性身份标记 iPhone,即使在手机数据被擦除之后也能识别设备;在另一个报道中,Apple 让 Uber 在他们不知情的情况下访问用户的 iPhone 数据。
保留,删除和个人权利
据了解, 警察局使用 SSK 专用终端提取数据是在 2012 年首次于 18 个大都会警察局进行试验的。英国广播公司报道了大都会警察局实施该系统的消息,从被拘留的嫌犯中提取手机数据,包括通话记录、短信和联系方式。无论当事人是否被起诉,这些数据都将保留。
大都会警察局关于 SSK 的当地工作指令提及了数据保留,但没有说明他们所指的法定义务,也没有提供任何监督证据。他们只是简单地说:“如果数据被认为没有警务目的,那么组织就有法定义务删除这些数据。”
英国隐私保护组织 Big Brother Watch 的 2017 年报告就指出:93% 的英国警察部队正在从包括手机、笔记本电脑、平板电脑和台式机在内的数字设备中提取数据。报告说,仅在 2016 年,德比郡警察局就从 635 台计算机和 680 部手机/平板电脑中提取数据。在 2013 年至 2016 年期间,大都会警察局从 46,400 台设备中提取数据。
上述数字和案例,您可以在这里找到所有资料来源(pdf), 在最下面,本文不赘。
就如开头所述,“数字取证“正在成为全球执法者和权力部门的热衷,这其中的危险令人不寒而栗。您可以在这篇文章中体验一下《“六行字足够绞死你”,这不是玩笑 —— 监视之恶(五)数据指控》。
我们不了解关于中国政府使用的针对移动设备的“数字取证技术”,也不了解其实际上的使用状况。本报告是英国警方对这种间谍工具的使用,并特别介绍了提供这种技术的公司。不必怀疑这些公司是否会出售相关技术给压迫性国家的政府,他们是生意人,从来不嫌钱烫手。希望读者能从本文中了解到的知识可以做以警惕,切勿将太多个人信息放在电子设备上!
延伸阅读:《集会参与者有必要了解的基本安全措施——最需要提醒注意的就是手机》;《如果您的电子设备曾经离开身边后又找回,您应该意识到它的危险,这是应该怎么做》
附 —— 以下是七款最流行的针对计算机的数字取证工具
1、SIFT – SANS
SIFT 具备检查原始磁盘(比如直接从硬盘或其他任何存储设备上获取的字节级数据)、多种文件系统及证据格式的能力。该工具包基本基于 Ubuntu 系统,是包含了执行深度取证调查或响应调查所需工具的一张 Live CD。
SIFT 的主要特点有:
基于 Ubuntu LTS 14.04;
支持 64 位系统;
内存利用率更高;
自动数字取证及事件响应(DFIR)包更新及自定义设置;
最新的取证工具和技术;
可用 VMware Appliance 进行取证;
兼容 Linux 和 Windows;
可选择通过(.iso)镜像文件单独安装或经 VMware Player/Workstation 使用 ReadTheDocs 上有在线文档项目;
扩展了支持的文件系统。
2. ProDiscover Forensic
ProDiscover Forensic 是可在给定计算机存储磁盘上定位全部数据,同时还能保护证据并产生文档报告的计算机/网络安全工具。
该工具可以从受害系统中恢复任意已删除文件并检查剩余空间,还可以访问 Windows NTFS 备用数据流,预览并搜索/捕获(比如截屏或其他方式)硬件保护区(HPA)的进程。ProDiscover Forensic 有自己的技术来执行这些操作。
ProDiscover Forensic 在扇区级读取磁盘,因而没有数据可以在该工具面前隐身。
ProDiscover Forensic 的主要功能有:
创建包含隐藏 HPA 段(专利申请中)的磁盘比特流副本供分析,可以保证原始证据不受污染;
搜索文件或整颗磁盘(包括剩余空间、HPA 段和 Windows NT/2000/XP 备份数据流),可进行完整的磁盘取证分析;
不修改磁盘任何数据(包含文件元数据)的情况下,预览所有文件——即便文件被隐藏或删除;
在文件级或磁盘簇级检查数据并交叉对比,以确保没漏掉任何东西,即便是在磁盘剩余空间中;
使用 Perl 脚本自动化调查任务。
3. Volatility Framework
Volatility Framework 是黑帽独家发布的一个框架,与高级内存分析及取证直接相关。后者基本上就是分析受害系统中的易变内存。易变内存或易变数据是频繁刷新的数据,就是在重启系统时可能丢失的那些数据。对此类数据的分析可以采用 Volatility Framework 进行。该框架引入了使用 RAM (易变内存)数据监视运行时进程和任意系统状态的强大力量。
该框架也为数字调查员提供了高效进行取证研究的独特平台。国家司法机构、国防或全球任意商业调查机构都使用该工具。
Volatility Framework 的主要特点有:
内聚的单一框架;
遵从开源 GPLv2 许可;
以 Python语言编写;
Windows、Linux、Mac可用;
可扩展可脚本化的API;
无可匹敌的功能集;
文件格式涵盖全面;
快速高效的算法;
严谨强大的社区;
专注取证/事件响应/恶意软件。
4. Sleuth Kit (+Autopsy)
命令行接口是与计算机程序互操作的一种模式。命令行模式下,用户/客户端向程序发送连续的文本行,也就是编程语言中的指令。
Sleuth Kit 就是此类命令行接口/工具的集合。该工具可以检查受害设备的磁盘镜像,恢复出被破坏的文件。Sleuth Kit 一般与其他很多开源或商业取证工具一起用在 Autopsy 数字取证平台中。
Autopsy 功能列表:
多用户情形:可供调查人员对大型案件进行协作分析;
时间线分析:以图形界面显示系统事件,方便发现各类活动;
关键词搜索:文本抽取和索引搜索模块可供发现涉及特定词句的文件,可以找出正则表达式模式;
Web 构件:从常见浏览器中抽取Web活动以辅助识别用户活动;
注册表分析:使用RegRipper来找出最近被访问的文档和 USB设备;
LNK 文件分析:发现快捷方式文件及其指向的文件;
电子邮件分析:解析 MBOX 格式信息,比如 Thunderbird;
EXIF:从 JPEG 文件中抽取地理位置信息和相机信息;
文件类型排序:根据文件类型对文件分组,以便找出全部图片或文档;
媒体重放:不用外部浏览器就查看应用中的视频和图片;
缩略图查看器:显示图片的缩略图以快速浏览图片。
5. CAINE(计算机辅助调查环境)
CAINE 基于 Linux 系统打造,通常是包含了一系列取证工具的一张 Live CD。由于最新版 CAINE 建立在 Ubuntu Linux LTX、MATE 和 LightDM 上,熟悉这些系统的人便可以无缝使用 CAINE。
6. Xplico
Xplico 是又一款开源网络取证分析工具,可以重建 Wireshark、ettercap 等包嗅探器抓取的网络流量内容,来自任何地方的内容都可以。
Xplico 的特性包括:
支持 HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv4、IPv6协议;
端口无关的协议识别(PIPI);
多线程;
可在 SQLite 数据库或 Mysql 数据库及文件中输出数据和信息;
Xplico 重组的每个数据都与一个XML文件相关联,该 XML 文件唯一标识了该数据流及包含该重组数据的 pcap 包;
对数据记录的大小或文件数量没有任何限制(唯一的限制只存在于硬盘大小);
模块化。每个 Xplico 组件都是模块化的。
某些数字取证及渗透测试操作系统,如 Kali Linux、BackTrack 等,默认安装了 Xplico。
7. X-Ways Forensics
X-Ways Forensics 是取证调查人员广泛使用的高级工作平台。 X-Ways Forensics 不怎么占资源,速度快,还能找出所有已经被删除的文件,还有其他一些附加功能。完全可移植,可以存放在U盘中,在 Windows 系统上无需任何额外的安装。
X-Ways Forensics 的主要特点包括:
磁盘克隆与镜像;
能读取 RAW(.dd)镜像文件、ISO、VHD 和 VMDK 镜像中的分区和文件系统结构;
可读取磁盘、磁盘阵列和超过2TB的镜像;
自动识别丢失/已删除的分区;
可用模板查看并编辑二进制数据结构;
递归浏览所有子目录中的所有现有及已删除文件。
感谢帮助 iYouPort!
PayPal 捐赠渠道已开通 https://paypal.me/iyouport
Comments