第十二届研讨会:基于WiFi接入犯罪的侦查取证研究 秦玉海

发布时间:2018-04-04 16:39    加入收藏

基于WiFi接入犯罪的侦查取证研究

中国刑事警察学院   秦玉海

 

 

内容摘要:WiFi接入犯罪是一种新型的犯罪,犯罪分子的作案手法一般较为隐蔽,公安机关对于此类犯罪案件的侦破效率一般较低,受害者的损失往往得不到挽回,犯罪分子往往得不到应有的惩罚,直接导致了此类犯罪案件的高发。公安机关急需针对基于WiFi接入犯罪的侦查取证程序方法作为参考,提高侦破效率,以打击此类犯罪案件犯罪分子的嚣张气焰。同时,还需要针对此类犯罪案件提出切实可行的防范对策,从根本上减少此类犯罪案件的发生,避免无线网络用户的个人信息泄露以及财产损失。本文基于WiFi接入犯罪的侦查取证研究,通过实验再现模拟犯罪分子的作案过程,根据实验从WiFi接入客户端、WiFi接入点以及无线网络数据三个方面对侦查取证的线索进行了分析,探究性地提出了针对此类犯罪案件的侦查取证程序方法以及防范对策。

关键词:WiFi接入犯罪   侦查取证   防范对策

 

   0引言

2015年央视315晚会中,现场再现了一组利用WiFi接入窃取用户手机数据的案例。工程师在演示中,获取了用户的手机系统版本、微信朋友圈照片以及用户的邮箱密码等个人信息。2016年315晚会中,工程师同样利用WiFi接入窃取了用户手机APP所传输的数据,其中包括姓名、电话号码、家庭住址、身份证号码、银行卡号等个人信息。随着无线网络的不断发展以及笔记本电脑、平板、智能手机等无线上网设备的高度普及,无论是快餐店、咖啡店、公园、机场等公共场所还是家庭等私人场所,人们都会经常利用无线上网设备上网,并伴随着涉及私人敏感信息的操作,这就为基于WiFi接入犯罪提供了可能。一旦受害者的信息被窃取,其损失是不可估量的。本文以了解相关黑客技术以及犯罪分子的作案手法为基础,提出该类犯罪案件的侦查取证程序方法以及防范对策对于公安机关打击预防此类犯罪就显得尤为重要。

1无线网络攻击技术

1.1 网络嗅探

网络嗅探是指利用计算机的网络接口截获目的地为其它计算机的数据报文的一种手段,可分为主动嗅探和被动嗅探。

在使用HUB作为接入层的共享网络中,经过HUB的数据报文一律以广播处理,在同一网段的所有计算机只要将网卡设置成混杂模式即可接受局域网中传输的所有报文。因此,共享网络中入侵者可以嗅探到所有传输报文,共享网络中的嗅探方式称为被动嗅探。在交换网络中,由于交换机是通过MAC地址表来转发数据报文的,网卡都是工作在非混杂模式下,也就是说即使收到数据报文,网卡会根据MAC地址判断报文是不是发给自己的,如果不是,该报文就会被丢弃。因此在交换网络中入侵者通常基于ARP欺骗等技术进行嗅探,该嗅探方式称为主动嗅探。

1.2 DNS欺骗攻击技术

DNS是域名系统(DomainNameSystem)的缩写,给用户提供域名与IP地址的解析服务,分为正向域名解析和反向域名解析。当客户端主机向本地DNS服务器发起查询请求时,如果本地DNS服务器的缓存中有该记录,则本地DNS服务器就不会再向其它服务器发送查询请求,而是直接根据缓存中的对应记录将查询结果返回给客户端主机。正是利用这一漏洞,攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器,这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上,这时攻击者就可以监听甚至修改数据,从而收集到大量的信息。

1.3 ARP欺骗攻击技术

ARP(Address ResolutionProtocol,地址解析协议)用于将计算机的网络地址(32位的IP地址)转化为物理地址(48位的MAC地址)。局域网中主机在更新自己的ARP缓存表时,有不完善的地方,当一个主机收到一个应答包后并不去验证自己是否发送过对应的ARP请求包,也不去验证收到的该应答包是否可信,而是直接根据应答包中的IP与MAC地址更新自己的ARP缓存表,ARP欺骗正是利用了这一漏洞。

2无线网络攻击实现敏感信息的窃取

 

2.1 路由器的密码破解攻击

1.实验工具

联想G50笔记本电脑一台、装有Kali Linux操作系统的VMware Workstation虚拟机、RaLink RT2870 USB无线网卡一个、Tenda N301无线路由器一个。

2.实验准备

1)对路由器进行相关配置,使其正常工作,作为被攻击的AP。该路由器接点的名称设置为“KFC”、无线网络接入密码为“12345678”,加密模式为WPA;

2)将RaLink RT2870 USB无线网卡连接笔记本电脑,指示灯闪烁表示连接成功;

3)启动笔记本电脑中的Kali Linux虚拟机作为攻击者,并对虚拟机进行相关配置,网络连接设置为桥接模式。

3.实验过程

破解WPA加密模式的路由器:

1)查看本机的无线网络接口。执行命令如图1所示。


7-1.png 

1 查看本机无线网络接口命令界面

从输出的信息可知,本机的无线网络接口为:“wlan0”,无线网卡型号为:“RaLink RT2870”。

2)启用无线网线网络接口。执行命令如图2所示。


 7-2.png

2 启用无线网络接口命令界面

从输出的信息可知,当前的无线网卡已经被设置成监听模式,监听接口为:“wlan0mon”。下面将使用Aircrack-ng进行数据包的捕获。

3)扫描周围的无线网络。执行命令如图3所示。


7-3.png 

3 扫描到的无线AP

以上输出的信息显示了虚拟机的无线网卡搜索到的所有AP,可以发现将要被攻击的无线AP“KFC”的信道为11,加密方式为WPA。

4)捕获KFC无线网络的数据包,并将捕获的数据包存储于根目录下文件wpa-01.cap中,执行命令如图4所示。


 7-4.png

4 捕获KFC无线网络数据包的界面

从输出的信息可知,当前有一个客户端连接到了KFC无线网络接点,我们需要捕获客户端连接无线AP时WPA-PSK密码的四次握手包,才能够破解WPA加密。如果捕获的数据包的过程中一直没有捕获到握手包,可以使用aireplay-ng命令进行Deauth攻击,强制使客户端重新连接到无线网络接点。

5)重新打开一个shell终端(不关闭airodump-ng抓包的终端),使用aireplay-ng命令对KFC无线网络进行Deauth攻击。执行命令如图5所示。


7-5.png 

5 对KFC无线网络进行Deauth攻击

从以上输出的信息可知,客户端对目标AP进行了10Deauth攻击,如果还没有捕获到握手数据包可对目标AP发起多次Deauth攻击,直到捕获到握手数据包。如图6所示为存储数据包的文件wpa-01.cap


 7-6.png

6 存储数据包的文件

6)利用密码字典“zidian.txt”对wpa-01.cap文件进行暴力破解,执行命令为:aircrack-ng -w ./zidian.txt wpa-01.cap,如图7图8所示。

7-7.png 

7 执行命令破解密码界面


7-8.png 

8 成功破解密码

从以上信息可知,无线网络接入点KFC的密码已经成功破解,密码为“12345678”,破解速率为:560.05K/S。

破解路由器的后台管理账号与密码:

1)查看路由器网关IP地址,本实验路由器网关的IP地址为:192.168.0.1,这也是路由器后台登录URL地址。

2)启动Webcrack程序,加载“用户名.txt”和“密码.txt”两个字典文件并添加目标路由器URL地址为:192.168.0.1,点击开始按钮,开始暴力破解。设置完成后的Webcrack主界面如图9所示。


7-9.png 

9 Webcrack主界面

3)如下图所示成功破解出目标路由器的后台登录账号密为:“admin”、“2659”,如图10所示。


 7-10.png

10 成功破解账号密码

至此,针对路由器的密码破解实验已经全部完成,该小节成功再现了犯罪分子破解路由器接入密码以及后台管理账号与密码的全部过程以及作案手法,为后续进一步进行实验奠定了基础。

2.2 网络嗅探窃取敏感信息

把笔记本电脑作为散发热点的AP进行网络嗅探窃取受害者的敏感信息的作案手法简单高效,是基于WiFi接入犯罪中犯罪分子惯用的手法手法之一。本节就通过简单的实验来再现犯罪分子基于网络嗅探来窃取受害者敏感信息的作案过程。

1.实验工具

安装Wireshark软件的联想G50笔记本电脑一台、“360随身WiFi”(USB无线网卡)一个、安装QQ邮箱的ZTE Q801L智能手机一部。

2.构建伪热点

构建伪热点的工具主要有笔记本电脑一台、“360随身WiFi

USB无线网卡)一个。

构建伪热点的步骤如下:

首先,通过有线或无线的方式将笔记本电脑连接互联网;

然后,将“360随身WiFi”连接到笔记本电脑,设置伪热点为无密码状态,伪热点名称任选为:“KFC”。

3.实验过程

1)实验思路:

ZTE Q801L智能手机连接上述构建的伪热点,然后用手机登录QQ邮箱,发送一封电子邮件,启动笔记本电脑中 Wireshark软件并对手机上网连接接口进行抓包,通过对数据包的分析获得邮件内容以及其它敏感信息。

2)实验步骤:

1)用型号为“ZTE Q801L”的智能手机连接上述构建的名称为“KFC”的伪热点,确保手机可以连接互联网;

2)在笔记本电脑中启动Wireshark并选择抓取接口为“WLAN”,然后点击“Start”按钮开始抓包。

3)用手机登录QQ邮箱,并成功发送一封电子邮件;

4)Wireshark停止抓包,如图11所示为Wireshark成功抓取的数据包;


7-11.png 

11  Wireshark抓取数据包界面

5)分析数据包窃取个人信息。

如图12所示为从数据包中分析获得的相关信息:手机型号为“ZTE Q801L”;手机系统版本为“Android 4.3”;接收方邮箱为“3149478362@qq.com”;发送方邮箱为“809507327@qq.com”;邮件内容为“nihaoma”。


7-12.png 

12 窃取的个人信息

至此,本实验成功再现了犯罪分子构建伪热点并窃取受害人敏感信息的整个过程。

2.3 DNS欺骗攻击窃取敏感信息

本节将通过修改路由器的DNS设置实现钓鱼攻击从而窃取受害者的敏感信息,此方法也是基于WiFi接入犯罪的犯罪分子常用的作案手法之一。由于以上章节已对路由器的接入密码与后台密码成功进行了破解实验,因此,本节实验默认已经获取路由器的接入密码与后台密码。

1.实验工具

联想G50笔记本电脑一台、装有Windows Server 2003操作系统的VMware Workstation虚拟机两台、Tenda N301无线路由器一个。

2.实验准备

1)配置钓鱼网站服务器并发布钓鱼网页

1)仿冒淘宝登录页面构建钓鱼网页,并将仿冒网页存储到“虚拟机1”C盘“taobao”文件夹下。

2)“虚拟机1”中创建名为“taobao”的钓鱼网站,IP地址为:192.168.40.135,TCP端口为:80,主目录为:C:/taobao。

4)前面所发布的钓鱼网站,仅仅是与淘宝登录页面具有极其相似的外观,能够起到迷惑受害者的作用,但是该钓鱼网页并不能盗取敏感信息,需要在网站服务器创建后台处理模块来保存信息,因此,在“虚拟机1”C盘“taobao”文件夹下创建“add.asp”文件,其内容为如下:

<%

name=request.form("name")    '获取用户名

pwd=request.form("pwd")      '获取密码

set fso=server.CreateObject("Scripting.FileSystemObject")  '创建文件系统对象实例

fname=server.MapPath("user_" & name & ".txt")  '文件名信息

set sn=fso.CreateTextFile(fname,True)  '生成文本文件

sn.WriteLine "用户名:"&name '向文件中写入数据

sn.WriteLine "密码:"&pwd

sn.close

%>

<script language="javascript">

alert("系统繁忙!")

window.location="https://login.taobao.com/member/login.jhtml?spm=1.6659421.754894437.1.Rtt9tu&f=top&redirectURL=http%3A%2F%2Fwww.taobao.com%2F";

</script>

5)修改“钓鱼页面”,使其成功跳转到后台处理页面。

2)搭建DNS服务器

1)配置DNS服务器。如图13所示。


7-13.png 

13 完成DNS服务器配置界面

2)DNS服务器配置完毕后,需要为刚刚创建的正向查找区域“taobao”添加主机名与IP地址一一对应的数据库,当用户键入主机名时,才能解析成相应的IP地址。右键单击“taobao.com”选择“新建主机”选项,如图14所示,配置相关内容。


7-14.png 

14 新建主机配置页面

新建主机配置完成后,在客户端访问“www.taobao.com”DNS服务器会自动为客户端解析到IP地址:192.168.40.135,即钓鱼网站服务器。

3)更改路由器DNS设置

进入路由器后台管理界面,更改路由器DNS设置,将路由器指向的DNS地址变更为“192.168.40.134”,即指向本地搭建的DNS服务器。

3.实验测试

(1)在本机浏览器地址栏输入“http://www.taobao.com”,会出现淘宝的登录钓鱼网站页面。在密码登录栏中输入账号“taobaomi123”,密码为“taobao5678”,点击“登录”选项后会出现“系统繁忙!”的提示框,点击“确定”选项后,进入正常淘宝页面。如图15所示。


7-15.png 

15 钓鱼网页登录界面

2)在IP地址为:192.168.40.135的钓鱼网站服务器的主目录C:\taobao文件夹下可见新文本文件“taobaomi123.txt”,其内容包含用户的淘宝的登录账号和密码,如图16图17所示。


 7-16.png

16 新建文件“taobaomi.txt”


 7-17.png

17 账号密码信息

至此,通过本小节实验,成功再现了犯罪分子通过修改路由器的DNS设置进行钓鱼攻击窃取受害者的敏感信息的作案过程,为后续的侦查取证研究奠定了基础。

2.4 ARP欺骗攻击窃取敏感信息

1.实验网络拓扑环境

在本机以host-only网络连接方式启动一台装有Windows Server 2003操作系统的VMware Workstation虚拟机和两台装有Windows XP Professional操作系统的VMware Workstation虚拟机。实验拓扑结构如图18所示。并配置三台虚拟机的IP地址,使三台虚拟机处于192.168.40.0网段,并能互相ping通。其中,Windows XP 虚拟机1为攻击机,IP地址为:192.168.40.134,MAC地址为:00-0C-29-8E-17-C8;Windows XP 虚拟机2为客户机,IP地址为:192.168.40.132,MAC地址为:00-0C-29-6D-94-0D;Windows Server 2003虚拟机为web服务器机,IP地址为:192.168.40.133,MAC地址为:00-0C-29-44-EF-9A,已成功搭建“动网先锋论坛网站”。


 7-18.png

18 实验拓扑结构

2.实验步骤

1)在Windows XP虚拟机2上访问“动网先锋论坛网站”并成功注册用户姓名为:“jack”的账户,用户密码为:635241。如图19所示:


7-19.png 

19 jack账户登陆界面

2)在Windows XP虚拟机1中启动ARP攻击工具cain,选择将要进行ARP欺骗攻击和数据监听的网卡,该网卡的IP地址为:192.168.40.134。开启“start sniffer”功能扫描192.168.40.0网段内的所有主机的IP以及MAC地址,扫描

结果如图20所示。


 7-20.png

20 扫描到的主机

选中两个攻击目标主机,建立攻击规则,对两个目标主机进行ARP毒害,欺骗目标主机ARP缓存表中IP地址与MAC地址的映射关系。

(3)查看攻击结果。查看Windows XP 虚拟机2与Windows Server 2003虚拟机的ARP缓存表,与攻击前进行对比,发现Windows Server 2003虚拟机的IP地址:192.168.40.133已被映射为攻击机Windows XP 虚拟机1的MAC地址:00-0C-29-8E-17-C8;Windows XP 虚拟机2的IP地址:192.168.40.132也已被映射为攻击机Windows XP 虚拟机1的MAC地址:00-0C-29-8E-17-C8。如图21图22所示。


 7-21.png

21 Windows Server 2003虚拟机攻击前后ARP缓存表


 7-22.png

22 Windows XP 虚拟机2攻击前后ARP缓存表

(4)在客户机Windows XP 虚拟机2访问“动网先锋论坛网站”并用注册好的用户姓名和用户密码进行登录,在攻击机Windows XP 虚拟机1中利用cain成功窃取到用户姓名和用户密码相关信息。如图23所示。


 7-23.png

23 cain截获的账户信息

至此,通过本小节实验,成功再现了犯罪分子通过ARP欺骗技术窃取受害者的敏感信息的作案过程,为后续的侦查取证研究奠定了基础。

3侦查取证研究

3.1 侦查取证线索分析

本节从基于WiFi接入犯罪的侦查取证对象出发,从WiFi接入客户端、WiFi接入点以及无线网络数据三个方面对基于WiFi接入犯罪进行侦查取证的探索。

1.基于WiFi接入客户端的线索分析

1)获取WiFi接入点名称。通过注册表可以查看该目标客户端所接入过的WiFi接入点的SSID值。

2)获取浏览器缓存中的WiFi接入信息。利用IECacheViewer软件对查看本机IE浏览器的缓存,寻找本机访问WiFi接入点的线索。如图24所示,发现本机利用IE浏览器访问了IP地址为“192.168.0.1”路由器的后台登录页面。


7-24.png 

24 IECacheViewer的查询结果

3)检测无线网卡是否处于混杂模式。在基于WiFi接入犯罪的过程中,犯罪分子所采取的作案手法无论是网络嗅探还是中间人攻击都有一个共同的特征,就是犯罪分子作案主机的无线网卡一定是处于混杂模式下,在Windows操作系统下,侦查人员可利用Promiscdetect工具对目标客户端的无线网卡进行检测。在Linux操作系统下,侦查人员可以通过Linux下的内置命令“iwconfig”来查看无线网卡是否处于监听模式下。

4)目标客户端中攻击工具使用痕迹的检测。在目标客户端中,有些无线网络攻击工具并不需要安装就能使用,有些可能已被攻击者删除,因此,对目标客户端中无线网络攻击工具使用痕迹的检测也尤为重要。由于有些无线网络攻击工具在使用及修改时,一般会在注册表中留下痕迹,因此,可以通过在注册表中查找关键字的方法查找相关无线网路攻击工具。此外,利用专业的数据恢复软件或设备对目标客户端中已经删除的无线网络攻击工具以及相关文件进行恢复。

2.基于WiFi接入点的线索分析

1)连接WiFi接入点的无线设备信息的检测。对于连接WiFi接入点的无线设备的信息,在WiFi接入点中一般都会有记录,这对于侦查人员确定可疑无线设备提供了证据与线索支持。首先,对WiFi接入点当前连接的无线设备信息进行查看,其次,侦查人员可以查看WiFi接入点的DHCP客户端列表。

2)WiFi接入点日志信息的提取与检测。WiFi接入点的日志信息主要记录了接入点的启动关闭信息、启动服务情况、网络连接状态情况、IP地址分配情况以及地址认证情况等,这些信息对于侦查人员确认接入点的工作状态以及是否遭受过攻击提供参考依据。

3)WiFi接入点ARP映射表的检测。WiFi接入点的ARP映射表记录了局域网中上网主机的IP地址与MAC地址的映射关系,侦查人员可以通过比对ARP映射表中IP地址与MAC地址的映射关系,来分析判断WiFi接入点的所遭受的欺骗攻击,从而对可疑的客户端设备进行认定与证据固定。

3.基于无线网络数据的线索分析

1)Deauth攻击数据报文分析

当侦查人员在现场发现网络出现断线等不稳定状态时,应立即在当前无线网络环境中捕获数据包进行分析,可以帮助侦查人员迅速判断攻击类型,以便采取紧急措施。通过对Deauthentication报文的分析会发现犯罪分子所攻击的WiFi接入点的MAC地址以及MAC地址,即目标客户端的MAC地址。从数据报文中还可以获得被攻击WiFi接入点的SSID值以及加密方式。如图25图26所示。


 7-25.png

25 目的MAC地址与源MAC地址


 7-26.png

26 WiFi接入点的SSID值及加密方式、

2)ARP欺骗攻击数据报文分析

在基于WiFi接入犯罪中,ARP欺骗攻击是犯罪分子最为常用的作案手法之一且危害性较大,ARP欺骗攻击一般可在WiFi接入点的ARP映射列表中获得目标客户端的线索,然而,侦查人员在现场通过对ARP欺骗攻击的数据报文的捕获与分析可获得目标客户端的MAC地址等线索,可以帮助侦查人员及时锁定正在作案的嫌疑设备。因此,ARP数据报文的分析对于侦破ARP欺骗攻击案件具有重要意义。如图27所示,为捕获的ARP欺骗攻击的报文。


 7-27.png

27 ARP欺骗攻击报文

通过对以上ARP数据报文的分析可知,IP地址为192.168.40.132合法客户端的MAC地址已经被映射为00:0C:29:8E:17:C8,而IP地址为192.168.40.133合法客户端的MAC地址也被映射为了00:0C:29:8E:17:C8。由此可以得知犯罪分子作案设备的MAC地址很可能就是00:0C:29:8E:17:C8,从而帮助侦查人员迅速锁定无线局域网中的可疑设备。

3.2 侦查取证程序方法

本小节在上一节侦查取证线索分析的基础上,进一步探究基于WiFi接入犯罪的侦查取证程序方法,力求为公安机关侦破类似犯罪案件提供程序方法参考。

1.确定侦查方向

侦查方向的确定是侦破任何案件的第一步,是关系到案件能否侦破的关键。侦查人员要向受害者了解案情并仔细询问案件的整个过程以及案件的某些细节,比如:询问受害者最近是否连接过公共WiFi,自家的WiFi接入点最近是否有网络异常现象等等,根据受害者反馈的信息,大致确定该案件是否是由于受害者连接了不安全的WiFi从而造成个人信息的泄露,排除其他可能造成信息泄露的因素,从而确定案件的性质为基于WiFi接入犯罪,并由此确定侦查方向。

2.收集线索定位犯罪嫌疑人

确定侦查方向后,侦查人员下一步要做的就是检查受害者的无线网络客户端以及受害者可能连接的不安全WiFi接入点,从中收集线索。

首先,在受害者的客户端中重点查找以下线索:

1)查找该客户端曾经所连接的WiFi接入点的SSID值以保存的相关接入点的密码信息,侦查人员可依据这些SSID值及密码信息缩小侦查范围;

2)查看受害者客户端是否访问过一些支付类的敏感网页,如:淘宝、京东等,推断受害者是否遭受DNS欺骗钓鱼网站攻击;

3)查看ARP缓存表是否为动态,是否还存有WiFi接入点甚至是嫌疑人客户端的IP地址与MAC地址的映射,以此来提取一切可能的线索以及判断受害者客户端是否遭受了ARP欺骗攻击。

其次,对锁定的WiFi接入点进行现场侦查取证,可依照以下几个步骤进行检测:

1)连接WiFi接入点后,侦查人员首先要判断局域网中是否有处于嗅探状态的可疑无线网卡。判断方法为,向局域网内的所有设备发送伪造的ARP请求包,该请求包的目标主机MAC地址伪造为“ff.00.00.00.00.00”,如果接收到该数据包的主机的无线网卡没有被设置为混杂模式,它将不会应答,但如果设置为了混杂模式,它将会应答测试主机的ARP请求, 通过检测向测试主机发送的应答信息就可以知道哪个目标主机的无线网卡处于混杂模式下,并获得该客户端的IP以及MAC地址,为后续定位嫌疑客户端提供线索;

2)利用专业的网络数据包捕获工具,如 Wireshark等对WiFi接入点进行抓包并分析,判断局域网中是否存在针对WiFi接入点的攻击、DNS欺骗攻击以及ARP欺骗攻击,如果存在攻击行为,提取数据包中的源MAC地址以及目标MAC地址等信息进行证据固定;

3)根据步骤1或2获得的可疑客户端的MAC地址及IP地址信息,利用无线网络终端定位系统对目标终端进行位置定位;

4)如果犯罪嫌疑人已经停止在局域网中的嗅探及攻击行为,则侦查人员可通过对WiFi接入点日志、连接客户端的历史记录、ARP映射表以及DHCP客户端列表等相关信息的检测,判断该接入点是否遭受过攻击以及获得可疑接入客户端的MAC地址以及连接时间等信息,对锁定WiFi接入点进行检测以等待犯罪嫌疑人再次作案;

5)除此以外,通过已获得的MAC地址等信息展开排查,向笔记本电脑等销售商核查该MAC地址客户端以及购买者的相关信息,为后续侦查提供线索。

3.形成证据链确认犯罪嫌疑人

确定犯罪嫌疑人的作案地点后,侦查人员需要迅速扣押犯罪嫌疑人的作案工具,防止犯罪嫌疑人毁灭证据。

首先,如果嫌疑人的客户端正处于工作状态,则依据在线取证的相关规定进行证据固定,可以重点固定检测以下证据,有条件的可以采取录像的方式进行操作记录:

1)检测无线网卡是否处于混杂模式;

2)固定嫌疑客户端的MAC地址、IP地址以及所连接的WiFi接入点的SSID值等证据;

3)检测正在进行的网络嗅探、中间人攻击行为以及抓取的网络数据包;

4)查看嫌疑客户端是否正在与可疑的服务器建立连接;

其次,如果嫌疑人的作案设备处于非工作状态,则按照电子数据取证规范对其进行证据的查找与固定,根据基于WiFi接入犯罪的作案特点可以重点提取以下几方面的电子数据:

1)可疑客户端所连接的所有WiFi接入点的SSID值、所存储的接入点密码以及连接时间以及有关登录WiFi接入点的登录记录等信息;

2)检测可疑客户端的MAC地址、型号以及相关系统日志等信息;

3)检测可疑客户端中是否安装有可疑无线网络嗅探、中间人攻击工具,是否具有该类工具的使用痕迹;

4)检测可疑客户端里所存储的有关网络数据包文件、破解的受害者敏感信息以及其他与案件相关的电子数据。

必要时可委托相关电子物证检验鉴定机构对扣押的嫌疑设备进行电子取证并出具检验报告,从而形成完整的证据链,以确认犯罪嫌疑人的犯罪行为,并受到相应的处罚。

4防范对策

4.1 用户提高自身防范意识

首先,对于无线网络接入客户端用户来说,在使用公共WiFi上网的应注意以下几点,做到安全使用公共WiFi,以免造成不必要的损失。

1)在公共场所选择WiFi时,一定要看清楚名称,尽量使用官方机构提供的带有验证信息的WiFi,如不能确认最好询问柜台人员,不能轻易选择。使用时尽量不要登录自己的账号和输入个人信息,当发现自己的账号已经登陆之后,选择退出或注销;

2)在进行网络转账和付款的时候,最好使用自己的运营商流量上网支付,尽量不要使用免费公共WiFi,这样虽然消耗一点流量,但却可以保证资金的安全;

3)使用静态ARP缓存,使用ARP欺骗防护软件,防止ARP欺骗攻击;

4)及时更新升级浏览器定期清空浏览器历史记录和Cookies。

其次,WiFi接入点管理用户需要对WiFi接入点做好以下几点安全防护措施,提高WiFi接入点的安全防护等级,防止被恶意攻击。

1)对WiFi接入点的接入密码以及后台管理密码设置强口令,并定期修改密码及SSID值;

2)提高WiFi接入点的加密模式等级,关闭有安全漏洞的功能配置,如无线路由器的WPS功能、远程管理功能及远程WEB功能等;

3)定期查看WiFi接入点的日志信息以及配置信息,如发现网络异常及时进行检测并采取防御措施;

4)进行MAC绑定,只允许指定的无线网络终端连接WiFi接入点。

4.2 完善法律法规行业标准

随着无线网络的日渐普及以及基于WiFi接入犯罪案件的高发,大陆地区现行的有关网络犯罪的法律法规及行业标准已经不适合无线网络犯罪。因此,应从规范无线网络以及无线网络犯罪定罪量刑两个方面来进行法律法规行业标准的完善。

首先,应该规范无线网络的接入服务。无线网络接入点很多是个人提供或者商家免费提供的,没有统一的安全管理制度。另外构建公共WiFi 热点无需办理任何手续,没有任何检查监督措施,极易发生个人隐私信息被窃取,财产遭受损失的事件,且很难找到责任人。基于这些安全问题,无线网络的安全管理制度亟待建立,需要更高统筹层面的安全管理制度来实现管理。

其次,完善无线网络犯罪定罪量刑相关的法律法规。大陆地区对于基于WiFi的无线网络犯罪的定罪量刑还缺乏一个明确的法律规范,比如,犯罪嫌疑人作案工具的统一性认定、哪些侦查取证线索可以作为认定犯罪嫌疑人犯罪事实的证据等。因此,大陆地区应该尽快出台相关法律法规,为打击此类犯罪提供法律保障

5结束语

本文在基于WiFi接入犯罪案件高发、公安机关针对此类新型犯罪案件的侦查取证经验不足以及无线网络用户防范意识差的背景下,开展对基于WiFi接入犯罪的侦查取证研究。本文通过实验再现模拟犯罪分子的作案过程,根据实验结果对侦查取证的线索进行了分析,探究性地提出了针对此类犯罪案件的侦查取证程序方法,力图为公安机关侦破此类犯罪案件提供一个侦查取证程序方法的参考以及防范对策。另外,本文所提出的针对WiFi接入犯罪案件的侦查取证程序方法还需要在实践的过程中进一步的完善与细化,力求完全适应公安机关办案需求。


 

参考文献

[1]谢希仁.计算机网络[M].第五版.北京:电子工业出版社,2008.

[2]徐振华. 无线网络安全现状及对策研究[M]. 知识产权出版社, 2016.

[3]孙晓冬.网络犯罪侦查[M].清华大学出版社,2014.

[4]秦玉海,麦永浩.电子数据检验技术与应用[M].北京:中国人民公安大学出版社,2015.

[5]徐振华. 无线网络安全现状及对策研究[M]. 知识产权出版社, 2016.

[6]张玉清. 网络攻击与防御技术[M]. 清华大学出版社, 2011.

[7]明轩. 危险的公共WiFi:百亿黑色产业链正在形成[J]. 中国防伪报道, 2015(4):108-109.

[8]顾忠顺, 厉爱丽. 无线局域网中WiFi建设及安全性分析[J]. 电子技术与软件工程,

2015(14):235-235.

[9]廉颖. 公共WiFi安全管控的探讨[J]. 信息安全与技术, 2015, 6(10):51-52.

[10]徐霞. 无线WIFI网络下的安全思考[J]. 通讯世界, 2015(6):9-10.

[11]刘堃, 郭奕婷. WiFi网络的安全问题及其安全使用[J]. 信息安全与技术, 2015,

6(6):30-32.

[12]吴仲. 企业WIFI安全问题及相关建议[J].信息与电脑:理论版, 2015(7):157-158.

[13]夏英, 王磊, 刘兆宏. 基于无线局域网接收信号强度分析的混合室内定位方法[J]. 重庆邮

电大学学报(自然科学版), 2012, 24(2):217-221.

[14]郭巍. Wi-Fi应用安全现状及对策[J]. 电子技术与软件工程, 2015(11):230-231.

[15]马之力, 智勇, 张驯,等. 基于数据包分析的网络攻击诊断研究[J]. 信息安全与技术, 2016, 7(7):54-57.