突破常規(guī)的電子設(shè)備取證

心愉

隨著計算機、通信技術(shù)的飛速發(fā)展，犯罪分子也越來越多地利用高科技電子設(shè)備從事犯罪活動。如何高效地獲取這些電子設(shè)備中的數(shù)據(jù)，進行卓有成效的電子取證工作，打擊犯罪活動，已經(jīng)成為世界各國日益重視的一個問題。目前，國外不少政府機構(gòu)、高等院校、研發(fā)企業(yè)紛紛推出了新穎的電子設(shè)備數(shù)據(jù)獲取技術(shù)。

利用手機陀螺儀竊聽附近聲波

美國斯坦福大學和以色列拉斐爾國防研究小組正在研究如何把手機中的陀螺儀變成“粗糙的麥克風”來竊聽周圍的聲波信息。研究人員在其開發(fā)的Gyrophone軟件中發(fā)現(xiàn)，手機陀螺儀非常靈敏，能夠?qū)⒁恍┞暡ㄞD(zhuǎn)換成粗糙的麥克風曲線，接收到的聲波信號有可能不光是電話震動，也包括周圍的空氣振動。研究人員測試了陀螺儀識別數(shù)字1到10及音節(jié)“oh”的能力，發(fā)現(xiàn)它能夠以65%的精確度識別在同一個房間由同一個揚聲器傳出來的數(shù)字，以84%的精確度識別說話者的性別，以65%的精確度區(qū)分同一房間內(nèi)的五個不同揚聲器。

IOS系統(tǒng)和安卓系統(tǒng)使用的手機陀螺儀都可以拾取聲波信號，要訪問傳感器也不需要依賴于手機的任何應(yīng)用程序。IOS系統(tǒng)限制讀取傳感器的頻率為100赫茲，而Android系統(tǒng)允許應(yīng)用程序以200赫茲的頻率讀取傳感器數(shù)據(jù)。雖然在安卓系統(tǒng)下，Chrome或Safari瀏覽器限制網(wǎng)站只以20赫茲的頻率讀取傳感器數(shù)據(jù)，但火狐瀏覽器可以讓網(wǎng)站以200赫茲的頻率訪問數(shù)據(jù)。由于大多數(shù)人的聲音范圍是從80到250赫茲，而傳感器可以拾取這些聲音的一大部分，因此這意味著即使沒有安裝任何軟件，安卓用戶通過火狐訪問一個惡意網(wǎng)站也有可能會受到Javascript竊聽。目前，雖然陀螺儀可以變成“粗糙的麥克風”來竊聽周圍的聲波信息，但現(xiàn)在還不可能通過手機的麥克風進行竊聽，因為Gyrophone軟件現(xiàn)階段只能做到拾取語音，但無法進行語音識別。

通過監(jiān)控安卓手機耗電量追蹤位置

美國斯坦福大學和以色列國防研究公司Rafael的研究人員稱，他們所開發(fā)的PowerSpy技術(shù)可通過監(jiān)控安卓手機的耗電量來獲得手機位置信息，而且這些信息無需經(jīng)過用戶許可即可共享到手機所安裝的每一款應(yīng)用程序。PowerSpy技術(shù)在未來有望成為秘密追蹤手機位置新方法之一。

斯坦福大學研究員米歇勒夫斯基介紹，PowerSpy技術(shù)的原理是：手機在遠離基站進行信號傳輸時，或者被建筑物或山峰阻礙時需要耗費更多的電量，而且電量的耗費與基站距離、周邊環(huán)境等干擾因素的影響有穩(wěn)定關(guān)系。通過測量手機在一定時間內(nèi)的耗電量，完全可以暴露手機的地理位置。然而，PowerSpy技術(shù)也存在固有的局限性：它需要監(jiān)控者提前測量某部手機在指定路線行進時的電量使用情況，也即無法監(jiān)控該手機從未去過的地方。美國和以色列的研究人員分別在美國加州灣區(qū)和以色列海法駕車行進，在途中不斷記錄手機耗電數(shù)據(jù)，然后把采集的數(shù)據(jù)與一部經(jīng)常（隨機、不確定地）經(jīng)過這些路線的LG Nexus 4手機耗電量情況進行比對，發(fā)現(xiàn)在7條可能的路線中，他們辨認路線的準確率高達90%。

米歇勒夫斯基表示，研究人員還在探索如何更加精確地檢測一部手機在任意時間、在某條路線上的具體位置。目前，根據(jù)手機在路線上行進距離的長短不同，這種測量的誤差從幾米到幾百米不等。對于一款只安裝了Gmail、谷歌Calendar等少數(shù)企業(yè)級應(yīng)用的手機，研究人員對其精確路線的測算成功率為三分之二。對于安裝了很多耗電量不可預知的應(yīng)用程序的手機，他們對路線的測算成功率為60%，而精確路線的測算成功率只有20%。

利用谷歌眼鏡竊取iPad密碼

美國馬薩諸塞大學洛厄爾分校的研究人員發(fā)現(xiàn)，他們可以利用可穿戴設(shè)備（例如谷歌眼鏡、三星智能手表）的視頻錄制功能，秘密獲得在10英尺（1英尺≈0.3米）遠處的iPad上輸入的4位密碼，而如果使用高清攝像機，這個距離則可以達到150英尺遠。研究人員使用了一個自定義編碼的視頻識別算法，能夠追蹤手指叩擊的陰影，即使視頻錄制功能沒有在目標設(shè)備的顯示屏上捕獲到任何圖像，也能夠辨識出密碼。研究人員測試了許多有錄制功能的設(shè)備，其中包括谷歌眼鏡、iPhone5 的照相機、羅技網(wǎng)絡(luò)攝像頭。他們使用谷歌眼鏡去獲得3米遠處的4位密碼，準確率達到83%——如果手動修正誤差，準確率將大于90%。

有研究已經(jīng)表明，執(zhí)行自動竊取越肩密碼（over-the-shoulder password）是可能的，但舊的竊取方法要求必須能夠看到顯示屏，而且若超過一定的距離，或者角度太偏的時候，竊密是不可能的。馬薩諸塞大學的視頻識別軟件功能更強大，即使屏幕是不可讀的，它也可以辨識密碼，這個軟件是基于對iPad的幾何形狀和用戶的手指的位置的理解來運作的。它將傾斜的iPad上的圖像映射到這個設(shè)備上，獲得一個“參考”圖像，然后尋找深色的新月狀物體的突然的上下移動，這代表的是手指的陰影，由此可以竊取所輸入的密碼。研究人員沒有測試更長的密碼。但他們相信今后大約能以78%的正確率識別出在iPad上輸入的8位字符密碼。

利用數(shù)字指紋追蹤定位手機

犯罪分子通過利用修改手機內(nèi)置設(shè)備識別碼或更換SIM卡等方式，企圖逃避追蹤和抓捕，這樣就使得執(zhí)法機關(guān)無法完全依賴手機信號對罪犯進行追蹤和定位。德國工程師最近正在研究利用手機數(shù)字指紋追蹤定位罪犯。

德國德累斯頓理工大學發(fā)布的研究報告指出，如果罪犯使用手機通話，執(zhí)法人員通過對基站三角測量可以對其進行跟蹤。為避免被追蹤和被抓捕，罪犯通常修改手機內(nèi)置設(shè)備標識碼或更換SIM卡，以致執(zhí)法機關(guān)很難、甚至不能僅僅依賴手機信號對罪犯進行跟蹤或抓捕。手機數(shù)字指紋技術(shù)能幫助執(zhí)法機關(guān)應(yīng)對罪犯這種“逃避策略”，可以據(jù)此實現(xiàn)對罪犯的手機定位和追蹤。德國工程師研究發(fā)現(xiàn)，手機內(nèi)的任何一個單獨組件都有一定程度的誤差，手機內(nèi)的無線電硬件由功率放大器、振蕩器、信號混合器等組件構(gòu)成，這些組件都能產(chǎn)生不精確的無線電信號。例如，根據(jù)電子組件的質(zhì)量不同，一部手機的實際電阻通常相對其標稱值浮動0.1%到20%。當這些誤差被混合起來，像數(shù)字信號那樣發(fā)送到基站，其結(jié)果可以被解讀為一個獨特的數(shù)字信號，即數(shù)字指紋。即使內(nèi)置的設(shè)備標識碼被修改或SIM卡被更換，其數(shù)字指紋也不會被改變。因此，無論罪犯對其手機做什么，比如替換手機內(nèi)部各個組件，手機仍會繼續(xù)發(fā)出獨特的信號。這些信號經(jīng)專有設(shè)備讀取并進行分析，便能將罪犯手機與其他手機區(qū)分開來。

研究者雅各布·哈斯稱，這種數(shù)字指紋技術(shù)不會向手機發(fā)送任何東西，完全是被動式工作。該技術(shù)只是對手機產(chǎn)生的不間斷信號傳輸進行監(jiān)聽，因而很難被罪犯察覺。目前，由歐盟和德國政府資助研究的該項技術(shù)已經(jīng)在2G手機上實現(xiàn)，但顯然，每一個無線電設(shè)備都存在類似誤差，因此這種技術(shù)也應(yīng)該能夠應(yīng)用在3G和4G手機上。采用手機數(shù)字指紋技術(shù)的定位設(shè)備尚在完善階段，但研究表明該設(shè)備識別信號成功率在97.6%，不久將可成為執(zhí)法機構(gòu)的一種新工具。

利用惡意軟件獲取不連外網(wǎng)計算機的數(shù)據(jù)

存儲重要數(shù)據(jù)的計算機通常都是與互聯(lián)網(wǎng)隔絕的。它們不會與其他連接互聯(lián)網(wǎng)的系統(tǒng)相連，也通常會關(guān)閉藍牙功能，工作人員甚至不允許攜帶手機進入計算機工作區(qū)域，以確保重要數(shù)據(jù)免遭黑客遠程攻擊。然而，所有這些安全措施在以色列研究人員開發(fā)的一項新技術(shù)面前并非“固若金湯”，這一技術(shù)被以色列本·古里安大學網(wǎng)絡(luò)安全實驗室的研究人員命名為“AirHopper”，它可以利用受病毒感染的電腦產(chǎn)生并發(fā)射無線電信號，秘密獲取密碼和其他數(shù)據(jù)。

在信號發(fā)送部分，研究人員開發(fā)了一款惡意軟件，可使計算機顯卡產(chǎn)生無線電信號，以發(fā)射被竊取的數(shù)據(jù)。研究人員測試了兩種通過音頻信號發(fā)射數(shù)據(jù)的方法，但音頻頻移鍵控（Audio Frequency-Shift Keying，A-FSK）被證明為最有效。研究人員在論文中稱，每一個字母或字符都是以不同的音頻鍵入的，他們使用了約40種聲音頻率，可以對簡單的文本數(shù)據(jù)（如標識符、擊鍵信息、在線信息、通知信息等）進行加密。在信號接收部分，通過安裝在手機里的長波無線電接收器接收無線電信號并解碼。數(shù)據(jù)可以由最遠23英尺（約合7米）的手機接收，并通過Wi-Fi或手機網(wǎng)絡(luò)傳輸?shù)胶诳涂刂频姆?wù)器上。黑客可以在被攻擊機器附近使用自己的手機或被攻擊者的手機來接收信號，也可以通過使用強信號的便攜接收器，如架設(shè)在停車場或安裝在無人機內(nèi)實現(xiàn)從更遠距離獲取數(shù)據(jù)。

在攻擊環(huán)節(jié)，攻擊者利用AirHopper，將其惡意代碼植入目標機器，然后將信號接收組件安裝在被侵害人手機或自己手機上，接收數(shù)據(jù)并發(fā)送至攻擊者的指揮控制服務(wù)器上。惡意代碼可以設(shè)置成先將獲取的數(shù)據(jù)存放在受感染的機器上，然后在特定的時間或間隔進行發(fā)出。研究人員還開發(fā)了技術(shù)來掩蓋目標機器上的數(shù)據(jù)傳輸痕跡，從而避免被偵測到，如只有在監(jiān)視器關(guān)閉的時候或進入休眠模式時才傳輸數(shù)據(jù)，或者調(diào)節(jié)手機上的長波無線電接收器以使數(shù)據(jù)傳輸過程不發(fā)出聲響等。然而這一技術(shù)也存在限制。在概念性測試里，數(shù)據(jù)傳輸?shù)乃俣葍H為每秒60字節(jié)，用此技術(shù)傳輸一天的擊鍵記錄一般需要14分鐘，傳輸一份5 MB大小的文檔可能要花上10多個小時，這限制了攻擊者獲取數(shù)據(jù)的速度和數(shù)量。研究人員稱，數(shù)據(jù)傳輸速度在未來有望獲得提升。

利用電磁輻射技術(shù)竊聽封閉網(wǎng)絡(luò)

據(jù)美國《C4ISR雜志》披露，美軍目前正致力于研究一項新型電磁輻射竊聽技術(shù)，可通過電磁輻射手段來進入封閉網(wǎng)絡(luò)，對計算機植入代碼，從而實現(xiàn)竊聽。

早在幾年前，瑞士研究人員就曾發(fā)現(xiàn)，即使在另一個房間，人們也可以通過監(jiān)控計算機的電磁輻射識別出隔壁房間人員敲擊鍵盤的情況。美國一些公司也相應(yīng)地研究和開發(fā)了一些基于電磁原理的電磁設(shè)備技術(shù)反制產(chǎn)品，如通過對已經(jīng)進行物理隔絕的計算機架設(shè)一道空氣間隙來防止計算機被敵方攻擊，防止電子設(shè)備因電磁輻射而遭受竊聽。目前，美軍研究人員正在嘗試著反其道而行之——通過使用電磁輻射手段來對計算機植入代碼。一名匿名專家暗示《C4ISR雜志》，這種技術(shù)的物理原理并不難，即在一個封閉網(wǎng)絡(luò)環(huán)境中的電子設(shè)備會發(fā)射電磁信號，盡管這種信號只是微弱或間斷的，只要能捕捉到這些信號，那么就有可能實現(xiàn)竊聽。當前的技術(shù)瓶頸主要是電磁輻射植入的工作距離比較近，且數(shù)據(jù)傳輸?shù)乃俾时容^低。研究人員拒絕提供具體數(shù)據(jù)傳輸速率的參數(shù)以及利用無線電頻率植入數(shù)據(jù)的范圍，因為這涉及技術(shù)能力界定和國家安全問題。

如果這種技術(shù)研發(fā)成功，那么在將來的竊聽世界中，竊聽人員無需通過物理方式或網(wǎng)絡(luò)信道來侵入目標計算機進行黑客攻擊，只需把車輛開到被竊聽網(wǎng)絡(luò)附近并作短暫停留，或者只需舉起一把電子手槍隔著窗戶玻璃瞄準目標計算機發(fā)射，這樣就可將木馬病毒植入，從而成功實施竊聽。

欄目主持人：劉雨濛 lymjcfy@163.com