從網路翻譯影片學習 AirDrop 鑑識是不是搞錯了什麼?
前言
https://www.youtube.com/watch?v=2U2VI-EJZog&t=88s
這件事情是從 B.C. & Lowy 看到的翻譯影片『有個男子利用手機的無線分享功能,傳送「炸彈威脅」給多名乘客,最後飛機緊急降落,男子也隨即遭警方逮捕。』
有趣的是,我們看到警方落地後很明確知道他們要抓的是誰,雖然警方能夠獲得乘客名單,但他們怎麼知道是誰發的?這就激發了我的好奇心。
假設事件
首先,我在思考他們怎麼知道誰發的,我假設了兩種方向。
- AirDrop 接收檔案後是不是有資訊可以判斷誰傳的?
- 丟訊息的時候會顯示裝置名稱( XXX’s iPhone),是不是傳訊息的人沒有改手機名?
顯然,後者有點太直接了,雖然最後我看完整個執法過程認為非常有可能是後者。
但我們還是來看看我是怎麼推斷的吧!
AirDrop 鑑識的資料研究
首先開始搜集 AirDrop Forensics 的資料 ,我們找到一篇淺顯易懂的部落格文章,簡單摘要幾種可以幫我們 Forensics AirDrop 的類型。
- iOS unified log :雖然這個方式沒辦法很直接讓我們知道哪些檔案是透過 AirDrop 進來,但透過時間比對可以知道曾經有 AirDrop 互動過,從而判斷哪些檔案可能是從 AirDrop 進來的。
- 封包監聽:如果你稍微了解 AirDrop 原理,它是先透過藍芽溝通後用 WiFi 傳輸,所以是有機會可以分析的,但部落格作者自己是沒實踐出來。想深入了解相關知識的話,推薦一下好朋友在 BlackHat EU 講過的相關研究,例如有機會追蹤 iDevice 的 ID,詳情可以看簡報了解更多這方面的細節。
- metadata: 這邊有趣的是,當文件傳輸到蘋果裝置時,蘋果會在 file system 裡面加上註記,所以當複製檔案到其他系統後,這些資訊是會消失的,我們可以從這些資訊中獲得 AirDrop 過來檔案的裝置名稱。
我們大概知道哪些方式可以獲得 DeviceID 或是可以推敲出傳送者資訊的相關方式,接下來就要回來分析事件。我們可以先排除掉兩件事(前提是不假設緊急危難啟動什麼神奇後門調查):
- 封包監聽:事件是突發的,當下不可能有專業人員隨時錄製封包來做調查。
- 依靠發送訊號推敲來源:手機發送範圍太不固定,不同型號的手機發送範圍不同,很難精準排查。
剩下一種就是把收到的訊息留下來,依靠收訊者手機來去做鑑識,最有可能的方式應該是靠 metadata 來去判斷。
驗證猜想
最後,我們要去看執法過程的影片,完整影片連結在此:https://youtu.be/VbYL8sFjJZM
我這邊節錄幾個重要時刻,提供重要時段傳送門:
- 當地時間 09:52 分:執法人員尚未進入飛機,但已經鎖定嫌疑人的年紀與著裝,所以這很明顯並沒有取得收到威脅訊息的手機,就完成了嫌疑犯鎖定。
- 當地時間 10:00分:嫌疑人被逮捕,可以確定他拿的是 iPhone,至少確定當事人不是沒有 Apple 裝置或是筆電,抓錯人的機率降低了。
- 回到更早之前 09:21 分:另外一位執法人員與機組人員聯絡。很明顯執法人員知道有鎖定嫌疑人,但執法人員不曉得怎麼鎖定的(?)。機組人員也表示她不清楚,只知道其他同仁通知機長,機長聯絡塔台。
所以到這邊全部看完我們大概就能推斷,是機上人員自己就鎖定了嫌疑人,再把資訊提前告知準備登機的執法人員,而普通人能做的就是靠「發送者名字」鎖定嫌犯。如果發送者名字可以連接到現實中的嫌疑人姓名(機組人員與機場獲得飛機乘客名單應該是很簡單的事),嫌犯就能順理成章地浮出水面。
結論
今天這篇非常小品,原因是最近有許多演講、課程要處理,其中包括和學生分享學習資安的經驗。這讓我回想起以前有學生問我,怎樣才能成為優秀的資安研究員?雖然我自認自己離真正優秀還有一些距離。但我認為,成為優秀的資安研究員沒有訣竅,而是依賴一種特質。
優秀研究員擁有相似的特質,對事物充滿天然的好奇心與求證態度(反骨?)。他們對挑戰有獨特的反應,對新事物總是充滿興趣,這不僅體現在工作,更滲透在他們的生活中,不是下班就停止求知,更多時候是換其他的項目繼續探索。我認為這種心態適用於許多場合,而我也在許多優秀的朋友身上看到了這種特質。如果你在猶豫自己適不適合成為資安研究員,或許可以從這個層面思考。
