不論您偏好的瀏覽器是什麼 - Chrome,Firefox,Safari,Internet Explorer或Edge - 瀏覽器不僅僅是搜尋應用程式和網站的工具,它也是個人和專業人士的潛在行為縮影。從駕駛習慣、工作時間、銀行賬戶和工作項目,到經常訪問的網站和餐館的記錄。執法人員長期以來一直認為瀏覽器記錄能夠提供重要訊息,一定也將其納入事件調查。在2009年,一位聲稱自己認為撞到鹿的加州投資銀行家,被判處三年徒刑 。 部分原因是事故之後,他的谷歌搜索內容包括“肇事逃逸”這個關鍵字,代表當事人當時是知情的。
保留用戶資訊,讓使用者更輕鬆瀏覽
瀏覽器儲存了大量關於個人和個人活動相關的重要且敏感的信息。瀏覽器記住最近查看的網頁、記錄網頁表單文字、保存密碼、發送地理位置以及跨設備同步瀏覽器歷史記錄等功能,都旨在讓生活更輕鬆。因此,這些訊息不僅可以被網絡罪犯利用,調查存儲在個人瀏覽器中的豐富訊息,對調查團隊鑑識工作而言是很重要的一部分。
對於網絡安全分析人員來說,瀏覽器調查可能是其事件反應手冊中的關鍵步驟。在刑事案件調查中,這是在沒收嫌疑人的電腦和手機之後才能展開。波士頓爆炸案主嫌的朋友,因清除瀏覽器記錄,而被指控四項妨礙司法公正的罪名。 面對越來越多的警報,安管人員只有有限的時間和資源來回應,如何有效執行瀏覽器調查的能力變得越來越重要。由於HTTPS和其他隱私措施的普及,調查人員單單透過檢查網絡流量,來調查使用者的網路活動。任何深入檢查都應該包括端點上(如筆記電腦或手機)的瀏覽器活動記錄。從用戶的瀏覽歷史中提取每一可能重建用戶活動的關鍵訊息。
瀏覽器種類特色概觀
Internet Explorer是最著名的Web瀏覽器之一。此瀏覽器是Windows操作系統的一個組件,通常用作預設Web瀏覽器。在Windows 10中,Microsoft使用Microsoft Edge替換了Internet Explorer。 Microsoft Edge是一個包含新功能的Web瀏覽器。微軟計劃在所有設備上用Microsoft Edge取代Internet Explorer,包括Android和iOS移動設備。 Internet Explorer和Microsoft Edge可以在InPrivate模式下工作,而不儲存有關用戶瀏覽的網站資源相關訊息。
另一種流行的網絡瀏覽器是Google Chrome。它具有以下功能:
- 與Google服務整合
- 設備之間用戶密碼同步
- 使用擴延伸套件和plug-in的能力
- Chrome可以在無痕模式下工作,這可以防止瀏覽器永久地儲任存何歷史記錄、Cookie、網站資訊等。
第三方開發人員開發出大量以Chrome引擎為基礎的瀏覽器,這些瀏覽器都有類似Chrome的功能。也支援Chrome大部分的延伸套件和外掛程式。
另一個著名的使用Chrome引擎瀏覽器是Opera。吸收了其它家瀏覽器具備的特色:
- 快捷頁籤
- 阻擋快顯視窗
- 重新打開最近關閉的頁面
- 隱私模式瀏覽
此外,Opera 還包含一個免費的虛擬私人網路 (VPN) 服務,允許使用者匿名瀏覽網站。
Firefox 也是相當流行的瀏覽器具有以下功能:
- 更安全(與其他瀏覽器相比)
- 高級隱身模式
- 禁用對使用者位置和廣告的跟蹤
- 有自己的擴充套件
關於中國網路瀏覽器
最流行的中國網路瀏覽器是 : 奇虎360安全瀏覽器、百度瀏覽器(c 2011)、騰訊QQ瀏覽器、搜狗瀏覽器、Maxthon、UC瀏覽器。這些瀏覽器雖然以Chrome引擎為基礎而開發,然而卻沒有提供足夠的防護,被防毒軟體視為廣告軟體/惡意程式。通常這些瀏覽器還崁入具有間諜軟體和廣告軟體的外掛,因此防毒軟體會檢測成間諜軟體或廣告軟體。此外,這些瀏覽器經常額外收集使用者的資料。
瀏覽器取證分析的困難
審查員在分析瀏覽器使用記錄時,可能遇到以下困難:
- 存在多種瀏覽器、資料量過大
- 不同資料格式,分散不同目錄
- 使用者相關記錄被加密保存
- 使用者使用無痕模式,在被檢查的電腦沒有瀏覽跡證。
不過好消息是:
- 瀏覽器大多基於知名引擎開發,行為相近。
- 排名前六大瀏覽器Chrome、Firefox、IE、Edge、Safari(MAC)、Opera,佔了94.73%( netmarketshare.com)。
- 考慮其它的證據取得方式。
瀏覽器跡證類型
當然,每個瀏覽器都會在作業系統中留下些許跡證。來自瀏覽器跡證的類型可能因版本而異。通常在研究瀏覽器的記錄時,需要提取的跡證類型:
- History
- Cache
- Cookies
- Typed URLs
- Sessions
- Most visited sites
- Screenshots
- Financial info
- Form values (Searches, Autofill)
- Downloaded files (Downloads)
- Favorites
當然,鑑識取證是屬於一種事後驗屍的工作,可能當時具體情況沒有相關跡證或無法推測。有沒有其他方法呢?
端點監控防護軟體,實務管理建議
端點監控軟體,因其工作特色與搭配功能互補,可以實現支援多種瀏覽器記錄,多種使用者活動記錄,系統活動及連線記錄等。跟鑑識取證比起來,端點監控所錄下的比較像是實況轉播;其它不受控管與記錄的軟體或瀏覽器,還可選擇使用X-FORT的軟體安控,來達到禁止使用的目的。目前精品科技X-FORT實測”網址連結記錄”可支援的瀏覽器包含:
|
軟體名稱/測試項目 |
網址連結記錄 |
網址阻擋 |
|
http/https |
http/https |
|
|
Google Chrome |
V |
V |
|
Edge |
||
|
Microsoft IE |
||
|
FireFox |
||
|
Opera |
||
|
SlimBrowser |
||
|
Avant Browser |
||
|
Superbird |
||
|
Comodo IceDragon Browser |
||
|
Lunascape Browser |
||
|
Maxthon Browser |
||
|
Yandex.Browser |
||
|
Brave web browser |
||
|
Firefox Nighty |
||
|
WaterFox |
||
|
|
||
|
UC Browser |