行行查,行业研究数据库www.hanghangcha.com目前,随着需要取证的存储介质形式、容量、数量的增长,电子取证实验室网络已逐步发展至分布式架构或云架构,取证软硬件需求也从以硬盘复制机、介质取证分析软件为主逐渐扩展到分布式智能取证系统、计算机取证移动工作站、手机取证设备、云取证设备等。
移动互联网时代该怎样电子取证?
随着移动终端的爆发和云计算的普及,电子数据取证已经成为了新时代的证据类型。电子取证的应用领域非常广泛,其中包括公安,检察,工商,税务,海关以及其他政府部门。国内传统对电子取证设备有需求的客户主要集中在司法部门和行政执法部门,但随着信息技术的普及,其他部门取证需求正在快速增长,比如政务监管部门、企事业单位等。
新需求还来自于移动终端设备的升级换代、云端数据的取证以及物联网设备的发展,这些领域都将增加电子数据取证设备的需求。国内电子取证市场起步虽然比国外先进厂商较晚,但由于国内互联网和移动系统发展迅速,独立创新研发日益增多,云计算、大数据和云以及物联网等应用成为了下一个电子数据取证发展重要领域。在电子数据取证方面,产品围绕计算机取证产品,手机取证产品,数据分析产品及取证平台四大产品线进行新产品的创新突破及更新换代。
基于语音识别、语义分析及图片分类、自动分析的人工智能取证产品:高性能一体化取证综合平台“取证航母”、智能化高速取证分析系统“取证金刚”、支持各种移动互联网智能终端的新型“智能终端取证设备”和“智能终端画像系统”、移动式和手持式的“智能取证设备”、专注于数据恢复的“恢复大师”等陆续量产供货。行行查,行业研究数据库 www.hanghangcha.com根据IPCOO软件保护中心,计算机取证的一般步骤应由以下几个部分组成:(1)保护目标计算机系统:冻结计算机系统,以免发生任何的更改系统设置、硬件破坏、数据破坏或病毒感染等情况;(2)电子证据的确定:从存储在大容量介质的海量数据中,区分哪些是有用数据,哪些是垃圾数据,以便确定那些由犯罪者留下的活动记录作为主要的电子证据,并确定这些记录存在哪里、是怎样存储的;(3)电子证据的收集:包括收集系统的硬件配置信息和网络拓扑结构,备份或打印系统原始数据,以及收集关键的证据数据到取证设备,并详细记录有关的日期、时间和操作步骤等;(4)电子证据的保护:采用有效措施保护电子证据的完整性和真实性,包括用适当的一次性只读存储介质(如CD-ROM)进行原始备份、对存放在取证服务器上的电子证据采用加密、物理隔离、建立安全监控系统实时监控取证系统的运行状态等安全措施进行保护等;(5)电子证据的分析:对电子证据的分析并得出结果报告:分析包括用一系列的关键字搜索获取最重要的信息;对文件属性、文件的数字摘要和日志进行分析;分析Windows交换文件、文件碎片和未分配空间中的数据;对电子证据作一些智能相关性的分析,即发掘同一事件的不同证据间的联系;(6)归档:对取证过程的各个步骤的情况以及鉴定人员对电子证据的分析结果和评估报告等进行归档处理,形成能提供给法庭的证据。
根据中国产业信息网,2017年我国电子取证市场规模达到15.57亿元,2011-2017年CAGR 21.75%,总体保持较快增长。中国产业信息网预测,至2023年我国电子数据取证市场规模将达到35.62亿元,2018-2023年CAGR约为14.79%。电子取证设备市场规模有望逐步扩容,短期受益于以刑侦三级实验室建设为代表的公安实验室建设,行业长期增长逻辑主要在于跨警种、跨行业的需求主体范围扩大和技术进步带来的取证对象扩充。
行行查,行业研究数据库 www.hanghangcha.com除公安实验室建设外,长期来看,电子数据取证行业有望受益技术发展和行业拓展。一方面,技术发展与数据量几何增长,带来了取证对象的扩充:计算机-互联网-移动互联网-云存储-物联网取证;另一方面,行业客户逐渐从公安网安警种往刑侦、经侦、缉毒,从公安部门往监察委、行政执法部门及企事业单位拓展,需求主体范围逐步扩大。
另外,客户的区域下沉、存量设备的更新维护同样贡献市场空间。电子取证作为舶来品,2001年进入中国伊始,取证核心软硬件产品以国外厂商为主,例如,介质取证分析软件(GuidanceSoftware:EnCase、AccessData:FTK 2.0)、硬盘复制机(Paraben:CellSeizure)。
2004年,美亚柏科电子数据取证实验室与广州市电子数据检验鉴定中心的成立开创了国内电子数据取证实验室的先河。产业发展至今,由于大部分国外产品本地化程度较低且价格昂贵,加之信息的保密性考虑,自主研发产品逐步取代国外产品,成为市场主流。2018年美亚柏科市场份额达到42%,龙头地位较为稳固。行行查,行业研究数据库 www.hanghangcha.com目前,随着需要取证的存储介质形式、容量、数量的增长,电子取证实验室网络已逐步发展至分布式架构或云架构,取证软硬件需求也从以硬盘复制机、介质取证分析软件为主逐渐扩展到分布式智能取证系统、计算机取证移动工作站、手机取证设备、云取证设备等。
Elcomsoft取证工具包更新至5.21,对iPhone设备有多大影响?
外媒报道称,取证软件开发商 Elcomsoft 刚刚更新了自家的 iOS 工具包,能够从运行 iOS 12 到 iOS 13.3 的 iPhone 设备上、在未解锁的情况下提取部分数据。最新的 5.21 版本,主要升级了对 iOS Keychain 元素的提取,用于存储应用程序和在线服务的凭据。受影响机型从 iPhone 5s 和 iPhone X、iPad mini 2 到 2018 款全系平板、iPad 10.2、初代 iPad Pro 12.9、以及 iPad Pro 10.5 。
(图自:Apple,via Apple Insider)具体来说,Elcomsoft 5.21 适用于采用苹果 A7 到 A11 SoC 的设备。更新重点在于所谓的“首次解锁前”(BFU)状态 —— 此事设备自开机后,尚未进行过一次成功的解锁。开机后,iPhone 会保持完全加密状态,直到输入锁屏密码,这是 Secure Enclave 在解密文件系统之前所必需的,然而 Elcomsoft 工具包瞄准的就是这种状况。
其发现某些 Keychain 项目中包含了电子邮件账户的身份验证凭据,且有些身份验证令牌竟可在处于 BFU 状态时被访问,从而允许 iPhone 在输入锁屏密码前正确启动。为此,Elcomsoft 工具箱需要安装一款名叫“checkra1n”的越狱软件,其利用了苹果 bootrom 中的漏洞。越狱本身通过设备固件升级(DFU)模式安装,无论设备 BFU 状态、以及是否处于锁定状态,均可拿来使用。
Elcomsoft 声称,其旨在向执法人员提供 iOS 取证工具,使用方式上与 Cellebrite 等公司提供的服务类似。但是显然,企业与个人也可轻易利用 Elcomsoft 公司的工具,目前 Windows 和 macOS 版本的售价均为 1495 美元起。受限于越狱方式,这款工具只能在物理接触到目标设备时使用,因而无法用于广泛的攻击。
此外软件的高昂成本,也能够将部分恶意人士阻挡在门外。当然,这只是一个理想的状况。此前 Elcomsoft 工具曾被用于非法行为,包括臭名昭著的“Celebgate”黑客事件(攻破 iCloud 账户并检索照片)。除了从未解锁的 iOS 设备上访问数据,Elcomsoft 取证工具还提供了其它服务,比如访问所有受保护的信息(包括短信和电子邮件)、呼叫历史记录、联系人、网页浏览历史记录、语音邮件、帐户凭据、地理位置历史记录、即时消息会话、应用程序的具体数据、以及原始的纯文本 Apple ID 密码等。
