突破常規(guī)的電子設(shè)備取證

心愉

隨著計(jì)算機(jī)、通信技術(shù)的飛速發(fā)展，犯罪分子也越來越多地利用高科技電子設(shè)備從事犯罪活動(dòng)。如何高效地獲取這些電子設(shè)備中的數(shù)據(jù)，進(jìn)行卓有成效的電子取證工作，打擊犯罪活動(dòng)，已經(jīng)成為世界各國日益重視的一個(gè)問題。目前，國外不少政府機(jī)構(gòu)、高等院校、研發(fā)企業(yè)紛紛推出了新穎的電子設(shè)備數(shù)據(jù)獲取技術(shù)。

利用手機(jī)陀螺儀竊聽附近聲波

美國斯坦福大學(xué)和以色列拉斐爾國防研究小組正在研究如何把手機(jī)中的陀螺儀變成“粗糙的麥克風(fēng)”來竊聽周圍的聲波信息。研究人員在其開發(fā)的Gyrophone軟件中發(fā)現(xiàn)，手機(jī)陀螺儀非常靈敏，能夠?qū)⒁恍┞暡ㄞD(zhuǎn)換成粗糙的麥克風(fēng)曲線，接收到的聲波信號(hào)有可能不光是電話震動(dòng)，也包括周圍的空氣振動(dòng)。研究人員測(cè)試了陀螺儀識(shí)別數(shù)字1到10及音節(jié)“oh”的能力，發(fā)現(xiàn)它能夠以65%的精確度識(shí)別在同一個(gè)房間由同一個(gè)揚(yáng)聲器傳出來的數(shù)字，以84%的精確度識(shí)別說話者的性別，以65%的精確度區(qū)分同一房間內(nèi)的五個(gè)不同揚(yáng)聲器。

IOS系統(tǒng)和安卓系統(tǒng)使用的手機(jī)陀螺儀都可以拾取聲波信號(hào)，要訪問傳感器也不需要依賴于手機(jī)的任何應(yīng)用程序。IOS系統(tǒng)限制讀取傳感器的頻率為100赫茲，而Android系統(tǒng)允許應(yīng)用程序以200赫茲的頻率讀取傳感器數(shù)據(jù)。雖然在安卓系統(tǒng)下，Chrome或Safari瀏覽器限制網(wǎng)站只以20赫茲的頻率讀取傳感器數(shù)據(jù)，但火狐瀏覽器可以讓網(wǎng)站以200赫茲的頻率訪問數(shù)據(jù)。由于大多數(shù)人的聲音范圍是從80到250赫茲，而傳感器可以拾取這些聲音的一大部分，因此這意味著即使沒有安裝任何軟件，安卓用戶通過火狐訪問一個(gè)惡意網(wǎng)站也有可能會(huì)受到Javascript竊聽。目前，雖然陀螺儀可以變成“粗糙的麥克風(fēng)”來竊聽周圍的聲波信息，但現(xiàn)在還不可能通過手機(jī)的麥克風(fēng)進(jìn)行竊聽，因?yàn)镚yrophone軟件現(xiàn)階段只能做到拾取語音，但無法進(jìn)行語音識(shí)別。

通過監(jiān)控安卓手機(jī)耗電量追蹤位置

美國斯坦福大學(xué)和以色列國防研究公司Rafael的研究人員稱，他們所開發(fā)的PowerSpy技術(shù)可通過監(jiān)控安卓手機(jī)的耗電量來獲得手機(jī)位置信息，而且這些信息無需經(jīng)過用戶許可即可共享到手機(jī)所安裝的每一款應(yīng)用程序。PowerSpy技術(shù)在未來有望成為秘密追蹤手機(jī)位置新方法之一。

斯坦福大學(xué)研究員米歇勒夫斯基介紹，PowerSpy技術(shù)的原理是：手機(jī)在遠(yuǎn)離基站進(jìn)行信號(hào)傳輸時(shí)，或者被建筑物或山峰阻礙時(shí)需要耗費(fèi)更多的電量，而且電量的耗費(fèi)與基站距離、周邊環(huán)境等干擾因素的影響有穩(wěn)定關(guān)系。通過測(cè)量手機(jī)在一定時(shí)間內(nèi)的耗電量，完全可以暴露手機(jī)的地理位置。然而，PowerSpy技術(shù)也存在固有的局限性：它需要監(jiān)控者提前測(cè)量某部手機(jī)在指定路線行進(jìn)時(shí)的電量使用情況，也即無法監(jiān)控該手機(jī)從未去過的地方。美國和以色列的研究人員分別在美國加州灣區(qū)和以色列海法駕車行進(jìn)，在途中不斷記錄手機(jī)耗電數(shù)據(jù)，然后把采集的數(shù)據(jù)與一部經(jīng)常（隨機(jī)、不確定地）經(jīng)過這些路線的LG Nexus 4手機(jī)耗電量情況進(jìn)行比對(duì)，發(fā)現(xiàn)在7條可能的路線中，他們辨認(rèn)路線的準(zhǔn)確率高達(dá)90%。

米歇勒夫斯基表示，研究人員還在探索如何更加精確地檢測(cè)一部手機(jī)在任意時(shí)間、在某條路線上的具體位置。目前，根據(jù)手機(jī)在路線上行進(jìn)距離的長短不同，這種測(cè)量的誤差從幾米到幾百米不等。對(duì)于一款只安裝了Gmail、谷歌Calendar等少數(shù)企業(yè)級(jí)應(yīng)用的手機(jī)，研究人員對(duì)其精確路線的測(cè)算成功率為三分之二。對(duì)于安裝了很多耗電量不可預(yù)知的應(yīng)用程序的手機(jī)，他們對(duì)路線的測(cè)算成功率為60%，而精確路線的測(cè)算成功率只有20%。

利用谷歌眼鏡竊取iPad密碼

美國馬薩諸塞大學(xué)洛厄爾分校的研究人員發(fā)現(xiàn)，他們可以利用可穿戴設(shè)備（例如谷歌眼鏡、三星智能手表）的視頻錄制功能，秘密獲得在10英尺（1英尺≈0.3米）遠(yuǎn)處的iPad上輸入的4位密碼，而如果使用高清攝像機(jī)，這個(gè)距離則可以達(dá)到150英尺遠(yuǎn)。研究人員使用了一個(gè)自定義編碼的視頻識(shí)別算法，能夠追蹤手指叩擊的陰影，即使視頻錄制功能沒有在目標(biāo)設(shè)備的顯示屏上捕獲到任何圖像，也能夠辨識(shí)出密碼。研究人員測(cè)試了許多有錄制功能的設(shè)備，其中包括谷歌眼鏡、iPhone5 的照相機(jī)、羅技網(wǎng)絡(luò)攝像頭。他們使用谷歌眼鏡去獲得3米遠(yuǎn)處的4位密碼，準(zhǔn)確率達(dá)到83%——如果手動(dòng)修正誤差，準(zhǔn)確率將大于90%。

有研究已經(jīng)表明，執(zhí)行自動(dòng)竊取越肩密碼（over-the-shoulder password）是可能的，但舊的竊取方法要求必須能夠看到顯示屏，而且若超過一定的距離，或者角度太偏的時(shí)候，竊密是不可能的。馬薩諸塞大學(xué)的視頻識(shí)別軟件功能更強(qiáng)大，即使屏幕是不可讀的，它也可以辨識(shí)密碼，這個(gè)軟件是基于對(duì)iPad的幾何形狀和用戶的手指的位置的理解來運(yùn)作的。它將傾斜的iPad上的圖像映射到這個(gè)設(shè)備上，獲得一個(gè)“參考”圖像，然后尋找深色的新月狀物體的突然的上下移動(dòng)，這代表的是手指的陰影，由此可以竊取所輸入的密碼。研究人員沒有測(cè)試更長的密碼。但他們相信今后大約能以78%的正確率識(shí)別出在iPad上輸入的8位字符密碼。

利用數(shù)字指紋追蹤定位手機(jī)

犯罪分子通過利用修改手機(jī)內(nèi)置設(shè)備識(shí)別碼或更換SIM卡等方式，企圖逃避追蹤和抓捕，這樣就使得執(zhí)法機(jī)關(guān)無法完全依賴手機(jī)信號(hào)對(duì)罪犯進(jìn)行追蹤和定位。德國工程師最近正在研究利用手機(jī)數(shù)字指紋追蹤定位罪犯。

德國德累斯頓理工大學(xué)發(fā)布的研究報(bào)告指出，如果罪犯使用手機(jī)通話，執(zhí)法人員通過對(duì)基站三角測(cè)量可以對(duì)其進(jìn)行跟蹤。為避免被追蹤和被抓捕，罪犯通常修改手機(jī)內(nèi)置設(shè)備標(biāo)識(shí)碼或更換SIM卡，以致執(zhí)法機(jī)關(guān)很難、甚至不能僅僅依賴手機(jī)信號(hào)對(duì)罪犯進(jìn)行跟蹤或抓捕。手機(jī)數(shù)字指紋技術(shù)能幫助執(zhí)法機(jī)關(guān)應(yīng)對(duì)罪犯這種“逃避策略”，可以據(jù)此實(shí)現(xiàn)對(duì)罪犯的手機(jī)定位和追蹤。德國工程師研究發(fā)現(xiàn)，手機(jī)內(nèi)的任何一個(gè)單獨(dú)組件都有一定程度的誤差，手機(jī)內(nèi)的無線電硬件由功率放大器、振蕩器、信號(hào)混合器等組件構(gòu)成，這些組件都能產(chǎn)生不精確的無線電信號(hào)。例如，根據(jù)電子組件的質(zhì)量不同，一部手機(jī)的實(shí)際電阻通常相對(duì)其標(biāo)稱值浮動(dòng)0.1%到20%。當(dāng)這些誤差被混合起來，像數(shù)字信號(hào)那樣發(fā)送到基站，其結(jié)果可以被解讀為一個(gè)獨(dú)特的數(shù)字信號(hào)，即數(shù)字指紋。即使內(nèi)置的設(shè)備標(biāo)識(shí)碼被修改或SIM卡被更換，其數(shù)字指紋也不會(huì)被改變。因此，無論罪犯對(duì)其手機(jī)做什么，比如替換手機(jī)內(nèi)部各個(gè)組件，手機(jī)仍會(huì)繼續(xù)發(fā)出獨(dú)特的信號(hào)。這些信號(hào)經(jīng)專有設(shè)備讀取并進(jìn)行分析，便能將罪犯手機(jī)與其他手機(jī)區(qū)分開來。

研究者雅各布·哈斯稱，這種數(shù)字指紋技術(shù)不會(huì)向手機(jī)發(fā)送任何東西，完全是被動(dòng)式工作。該技術(shù)只是對(duì)手機(jī)產(chǎn)生的不間斷信號(hào)傳輸進(jìn)行監(jiān)聽，因而很難被罪犯察覺。目前，由歐盟和德國政府資助研究的該項(xiàng)技術(shù)已經(jīng)在2G手機(jī)上實(shí)現(xiàn)，但顯然，每一個(gè)無線電設(shè)備都存在類似誤差，因此這種技術(shù)也應(yīng)該能夠應(yīng)用在3G和4G手機(jī)上。采用手機(jī)數(shù)字指紋技術(shù)的定位設(shè)備尚在完善階段，但研究表明該設(shè)備識(shí)別信號(hào)成功率在97.6%，不久將可成為執(zhí)法機(jī)構(gòu)的一種新工具。

利用惡意軟件獲取不連外網(wǎng)計(jì)算機(jī)的數(shù)據(jù)

存儲(chǔ)重要數(shù)據(jù)的計(jì)算機(jī)通常都是與互聯(lián)網(wǎng)隔絕的。它們不會(huì)與其他連接互聯(lián)網(wǎng)的系統(tǒng)相連，也通常會(huì)關(guān)閉藍(lán)牙功能，工作人員甚至不允許攜帶手機(jī)進(jìn)入計(jì)算機(jī)工作區(qū)域，以確保重要數(shù)據(jù)免遭黑客遠(yuǎn)程攻擊。然而，所有這些安全措施在以色列研究人員開發(fā)的一項(xiàng)新技術(shù)面前并非“固若金湯”，這一技術(shù)被以色列本·古里安大學(xué)網(wǎng)絡(luò)安全實(shí)驗(yàn)室的研究人員命名為“AirHopper”，它可以利用受病毒感染的電腦產(chǎn)生并發(fā)射無線電信號(hào)，秘密獲取密碼和其他數(shù)據(jù)。

在信號(hào)發(fā)送部分，研究人員開發(fā)了一款惡意軟件，可使計(jì)算機(jī)顯卡產(chǎn)生無線電信號(hào)，以發(fā)射被竊取的數(shù)據(jù)。研究人員測(cè)試了兩種通過音頻信號(hào)發(fā)射數(shù)據(jù)的方法，但音頻頻移鍵控（Audio Frequency-Shift Keying，A-FSK）被證明為最有效。研究人員在論文中稱，每一個(gè)字母或字符都是以不同的音頻鍵入的，他們使用了約40種聲音頻率，可以對(duì)簡(jiǎn)單的文本數(shù)據(jù)（如標(biāo)識(shí)符、擊鍵信息、在線信息、通知信息等）進(jìn)行加密。在信號(hào)接收部分，通過安裝在手機(jī)里的長波無線電接收器接收無線電信號(hào)并解碼。數(shù)據(jù)可以由最遠(yuǎn)23英尺（約合7米）的手機(jī)接收，并通過Wi-Fi或手機(jī)網(wǎng)絡(luò)傳輸?shù)胶诳涂刂频姆?wù)器上。黑客可以在被攻擊機(jī)器附近使用自己的手機(jī)或被攻擊者的手機(jī)來接收信號(hào)，也可以通過使用強(qiáng)信號(hào)的便攜接收器，如架設(shè)在停車場(chǎng)或安裝在無人機(jī)內(nèi)實(shí)現(xiàn)從更遠(yuǎn)距離獲取數(shù)據(jù)。

在攻擊環(huán)節(jié)，攻擊者利用AirHopper，將其惡意代碼植入目標(biāo)機(jī)器，然后將信號(hào)接收組件安裝在被侵害人手機(jī)或自己手機(jī)上，接收數(shù)據(jù)并發(fā)送至攻擊者的指揮控制服務(wù)器上。惡意代碼可以設(shè)置成先將獲取的數(shù)據(jù)存放在受感染的機(jī)器上，然后在特定的時(shí)間或間隔進(jìn)行發(fā)出。研究人員還開發(fā)了技術(shù)來掩蓋目標(biāo)機(jī)器上的數(shù)據(jù)傳輸痕跡，從而避免被偵測(cè)到，如只有在監(jiān)視器關(guān)閉的時(shí)候或進(jìn)入休眠模式時(shí)才傳輸數(shù)據(jù)，或者調(diào)節(jié)手機(jī)上的長波無線電接收器以使數(shù)據(jù)傳輸過程不發(fā)出聲響等。然而這一技術(shù)也存在限制。在概念性測(cè)試?yán)铮瑪?shù)據(jù)傳輸?shù)乃俣葍H為每秒60字節(jié)，用此技術(shù)傳輸一天的擊鍵記錄一般需要14分鐘，傳輸一份5 MB大小的文檔可能要花上10多個(gè)小時(shí)，這限制了攻擊者獲取數(shù)據(jù)的速度和數(shù)量。研究人員稱，數(shù)據(jù)傳輸速度在未來有望獲得提升。

利用電磁輻射技術(shù)竊聽封閉網(wǎng)絡(luò)

據(jù)美國《C4ISR雜志》披露，美軍目前正致力于研究一項(xiàng)新型電磁輻射竊聽技術(shù)，可通過電磁輻射手段來進(jìn)入封閉網(wǎng)絡(luò)，對(duì)計(jì)算機(jī)植入代碼，從而實(shí)現(xiàn)竊聽。

早在幾年前，瑞士研究人員就曾發(fā)現(xiàn)，即使在另一個(gè)房間，人們也可以通過監(jiān)控計(jì)算機(jī)的電磁輻射識(shí)別出隔壁房間人員敲擊鍵盤的情況。美國一些公司也相應(yīng)地研究和開發(fā)了一些基于電磁原理的電磁設(shè)備技術(shù)反制產(chǎn)品，如通過對(duì)已經(jīng)進(jìn)行物理隔絕的計(jì)算機(jī)架設(shè)一道空氣間隙來防止計(jì)算機(jī)被敵方攻擊，防止電子設(shè)備因電磁輻射而遭受竊聽。目前，美軍研究人員正在嘗試著反其道而行之——通過使用電磁輻射手段來對(duì)計(jì)算機(jī)植入代碼。一名匿名專家暗示《C4ISR雜志》，這種技術(shù)的物理原理并不難，即在一個(gè)封閉網(wǎng)絡(luò)環(huán)境中的電子設(shè)備會(huì)發(fā)射電磁信號(hào)，盡管這種信號(hào)只是微弱或間斷的，只要能捕捉到這些信號(hào)，那么就有可能實(shí)現(xiàn)竊聽。當(dāng)前的技術(shù)瓶頸主要是電磁輻射植入的工作距離比較近，且數(shù)據(jù)傳輸?shù)乃俾时容^低。研究人員拒絕提供具體數(shù)據(jù)傳輸速率的參數(shù)以及利用無線電頻率植入數(shù)據(jù)的范圍，因?yàn)檫@涉及技術(shù)能力界定和國家安全問題。

如果這種技術(shù)研發(fā)成功，那么在將來的竊聽世界中，竊聽人員無需通過物理方式或網(wǎng)絡(luò)信道來侵入目標(biāo)計(jì)算機(jī)進(jìn)行黑客攻擊，只需把車輛開到被竊聽網(wǎng)絡(luò)附近并作短暫停留，或者只需舉起一把電子手槍隔著窗戶玻璃瞄準(zhǔn)目標(biāo)計(jì)算機(jī)發(fā)射，這樣就可將木馬病毒植入，從而成功實(shí)施竊聽。

欄目主持人：劉雨濛 lymjcfy@163.com