Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Tactics for destroying information on media with a digital or magnetic recording method

Демитрий

Private Zugriffsebene
Mitglied seit
12.12.2017
Beiträge
422
Punkte für Reaktionen
451
Punkte
193
Ort
г.Ейск, ул.Коммунистическая, 12/1, офис 308
Tactical methods of destroying information on media with a digital or magnetic recording method.

The basis of any charge is evidence. The recognition of the accused is of secondary importance, and if there is enough evidence then it completely loses its significance. If we talk about cyber crime, the evidence there is mostly digital, and they are stored on information carriers. Depending on the crime evidence may be :

  1. Logs - as a rule, text files documenting in chronological order these or those processes in the system.
  2. Images - Files with the extension .jpg and .tif are especially dangerous, since they contain metadata known as exif (exif is also present in .wav sound files)
  3. Correspondence - in instant messengers, email, via SMS or private messages on the forum.
  4. Computer programs that can be used to commit crimes or to hide traces of crimes ("combat" systems for "testing" vulnerabilities, VPN client parts, overlay network routers (tor, i2p, freenet) or proxies (jondonym).
  5. Computer programs that indirectly indicate the likely presence of evidence or their destruction - encryption or information destruction systems.
  6. Financial reports as separate files or as part of special computer programs (electronic wallets QIWI, Bitcoin, etc.)
Media segmentation at the moment consists of only two types and is based on the method of recording on the medium:

  1. Magnetic recording method (HDD or Hard Disk Drive)
  2. Digital recording method (SDD or Solid State Drive, Flash memory which are also ssd carriers, but smaller in size and volume of data storage, as well as information transfer speeds due to the USB interface).
We will not consider random access memory (RAM) as a storage medium. Cold Boot Attack, which is based on the dependence of the data loss rate of volatile media on their temperature, exists, but is not yet used in a "real battle".

The main ways to destroy information 4:
1. Overwrite the media.
2. Disabling key decryption elements.
3. Intentional loss of a password resistant to brute force or dictionary attack.
4. Physical destruction of the carrier.

The main selection criteria I see as follows:
1. Reliability of information destruction.
2. Ease of implementation
3. Time spent on the process.

And now, let's try to collect all these elements into a single whole.

Overwrite media.
Deleting information on modern operating systems is not really a deletion. By pressing shift + delete, you give the system a command to index the area on which the deleted file is recorded as "free to overwrite." Until the file is overwritten, it will be available for recovery. And considering that the volume of modern media is measured in dozens of gigabytes (flash drives), hundreds of gigabytes (ssd disks) or even terabytes (hdd disks) - it’s stupid to expect a 3 kb log to be quickly erased.

Programs for destroying information or as they are also called "shredders" take this into account in their algorithms and methodically hammer every sector available for rewriting with either zeros or random data. Everything seems to be correct, but!

Firstly - rewriting is usually not enough . The reason is the carriers themselves. For example, ssd discs overwrite every 15 minutes data from more worn out microcircuits to less worn out ones - for even wear. And hdd drives have such a parameter as “remanent magnetization”, especially those in which “pancakes” are not “glass” yet, but metal.

Secondly - rewriting media is a rather lengthy process . A single full rewrite of an 8 gigabyte flash drive takes about 15-20 minutes, and this is usb 3.0 with a write speed of 20-30 mb / s! I don’t even want to write about 2.0 with their 5-10 mb / s. The write speed of disks is higher - about 100 mb / s for hdd or 500 mb / s ssd disks. But this is leveled by their volumes.

But this is data for ONE rewriting cycle, which protects against "household" recovery methods. If you overwrite a Gutmann flash drive with its 35 rewriting cycles that guaranteed to destroy data even from old magnetic hdd disks with metal pancakes, then it takes 11 hours to destroy data on an 8 gigabyte USB flash drive. And the minimum two cycles are almost an hour.

Thirdly, to use this method, both software and hardware resources are needed - at least a working computer and the necessary software. This does not seem to be such a critical parameter when you are reading this text on the screen of your monitor. But during the search, for example, at the airport, this is a problem that can imprison you for many years.

Intentional loss of a brute force resistant or dictionary dictionary attack password.
This idea came at the moment when we started using "strong passwords" - passwords with a length of 24 characters or more, consisting entirely of random or pseudorandom tricks of characters, letters and numbers, but still not having mastered the Keepassx password manager - you can stupidly forget the flash drive password. Not all, of course, but it's a password. Mismatch of one character is already critical.

And what is more probable of the two situations - that you yourself name the password under physical or psychological pressure, or that someone finds a small note and realizes that it is the password from a specific information carrier? Moreover, you can record not the entire password, but let's say half of it.

And this technique was born - to remember only 8-16 characters of the password, and the remaining 16-24 to be stored on a small piece of a notebook sheet that can be quickly and reliably destroyed (naturally chew and / or swallow).

However, this method was eventually rejected. And its main drawback is the unprovability of the fact that the password is lost. This means that it is highly likely that after the phrase "I have no password," the pressure will only increase. It’s clear that you can’t name the password, but interrogations will continue and continue.

Plus, at least you tell the likely adversary the password length. And with brute force or dictionary attack - the password length and an approximate algorithm are the most important data, which reduces the attack time by an order of magnitude.

Disabling key decryption elements.
A variation of the previous method, but implemented programmatically. To understand the process, you will have to go a little deeper into the encryption / decryption technology that underlies the LUKS / Cryptsetup file system (full disk encryption on linux operating systems).

Imagine that the data on the medium are documents in a large safe, and the large safe is opened with a large key. Dear experts, attention, question!

What is the main vulnerability in such a situation? ?

Correct answer : if you lose the key, you lose access to documents. And if the key is lost due to the theft, then there are also risks of information leakage. How to protect yourself from this?
Yes, very simple. Place a sufficiently large key from a large safe in a small safe, which will be opened by any small key from the set in which there will be, say 8. If you lose 1 of 8 keys, we will have 7 more. And in the safe we will change the settings so that it will stop opening with the lost key, and only those 7 keys that we have saved will open it.

Now we just need to replace the large safe with the encrypted partition, the documents for the files that are stored in the encrypted partition, the large key with a random master key, with the system generated when the partition was created, and the small keys are the passwords with which you open the partition. Yes, if you did not know - in Linux you can create up to 8 passwords, and each password is stored in the so-called cell - key slot, which are numbered from 0 to 7.

If you already have Linux or still do not have Linux, then you can admire the cells with the command:

Code:

sudo cryptsetup luksDump / dev / sda5
If the hard drive is encrypted, the output will be something like this (at the very bottom of the terminal):

LUKS header information for / dev / sda5

Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
MK digest: a7 0c 20 b8 01 22 cf bc 0d c8 88 63 44 d0 fa aa 8a 7a 3b c9
MK salt: a7 0c 20 b8 01 22 cf bc 33 c8 88 63 44 d0 fa ab
79 22 c4 3b 1a 67 54 93 1c b5 aa e5 6e 25 ce 37
MK iterations: 131750
UUID: 623hui0c-15f6-40d1-95d2-8c5pizda24f

Key Slot 0: ENABLED
Iterations: 980841
Salt: a7 0c 20 b8 01 22 cf bc 0d c8 88 63 44 d0 fa ab
25 02 6a fc f5 96 ab 51 fd dd 17 6c 94 93 00 09
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED


However, something tells you that in the cell number zero, your password for the disk is stored. And 7 more cells are not occupied. If this cell is destroyed, then all the data will be buried in an encrypted section, like radioactive waste in the sarcophagus - there will be no keys that can open a small safe, and no one knows what the big key looks like - so cloning it is also not an option. Moreover, this method is devoid of the disadvantage of the past - just enter this command and demonstrate that all 8 cells are "DISABLED". No, well, you will get it anyway for that, but they will be five times more fun and enjoyable.

4. Physical destruction of the carrier.
The most reliable and cueless way to destroy data. Reliable because there is simply nothing to restore them with. And bezpilevny because - that not unlocked encrypted sarcophagus is an indirect evidence that hints that you are hiding something, and you are technically literate. And indirect evidence, as you know, motivates the search for direct evidence. Unfortunately, only a USB flash drive can be quickly and painlessly destroyed. That is why I recommend removing a hard drive from a working machine and running it only from flash drives.

The main problem of the method is the body of the flash drive. Especially "bulletproof" which kids from the office called kingston love to indulge in. These flash drives are not at all our friends, you need to choose simpler options. How to choose? I'll tell you now.

A flash drive consists of three main elements - a case, a usb connector and a board with radio components. There are two microcircuits on the board - a small one is a microcontroller, a large one is the memory itself, where data is stored. Severe damage to a large microcircuit is our task.

First, you need to choose large flash drives - the memory chip on them is large and it is really possible to break it in several places even with your hands. Secondly, the case must be made of plastic. As a rule, the housing consists of two longitudinal halves glued at the seams, although there are also collapsible cases in which the inner container with the flash drive attached is inserted into the outer one like ... like ... a piston into the cylinder.

If we are dealing with a glued case, then it must first be carefully broken down along the seam, after which it must be carefully glued in a couple of places or fixed in any other way with the same thin strip of adhesive tape. Although I use flash drives without cases at all - the connector and the board are stupid. And not only flash drives.

If the case is collapsible, then this is not a problem at all. Yes, and no one forbids buying the most deshmansky collapsible flash drive, pulling out a normal one from the case and putting it in a collapsible one. There are no obstacles to patriots!

To summarize it will be logical, making a "hit parade" of ways to destroy information, in my opinion it should look like this:

1. Physical destruction of the carrier.

2. Disabling key decryption elements.

3. Intentional loss of a password resistant to brute force or dictionary attack.

4. Overwrite the media.
 
Original message
Тактические приемы уничтожения информации на носителях с цифровым или магнитным способом записи.

Основой любого обвинения являются улики. Признание обвиняемого имеет второстепенное значение, а если улик достаточно то оно и вовсе теряет свою значимость. Если говорить о кибер-преступности, то улики там в основном цифровые, и хранятся они на носителях информации. В зависимости от состава преступления уликами могут быть:

  1. Логи - как правило текстовые файлы, документирующие в хронологическом порядке те или иные процессы в системе.
  2. Изображения - особенно опасны файлы с расширением .jpg и .tif, так как в них содержатся метаданные, известные как exif (exif так же есть и в звуковых файлах .wav)
  3. Переписки - в мессенджерах, электронной почте, посредством смс или личных сообщений на форуме.
  4. Компьютерные программы, с помощью которых возможно совершение преступлений или сокрытие следов преступлений ("боевые" комплексы для "тестирования" уязвимостей, клиентские части VPN, роутеры оверлейных сетей (tor, i2p, freenet) или прокси (jondonym).
  5. Компьютерные программы, косвенно указывающие на вероятное наличие улик или их уничтожение - системы шифрования или уничтожения информации.
  6. Финансовые отчеты в виде отдельных файлов или в составе специальных компьютерных программ (электронные кошельки QIWI, Bitcoin и т.п.)
Сегментация носителей в данный момент состоит всего из двух типов и основана на способе записи на носитель:

  1. Магнитный способ записи (HDD или Hard Disk Drive)
  2. Цифровой способ записи (SDD или Solid State Drive, Flash memоry которые являются так же ssd носителями, но меньше по размерам и объему хранения данных, а так же скорости передачи информации из за интерфейса USB).
Оперативную память (RAM) как носитель информации мы рассматривать не будем. Cold Boot Attack, которая базируется на зависимости скорости потери данных энергозависимых носителей от их температуры существует, но в "реальном бою" пока не применяется.

Основных способов уничтожения информации 4:
1. Перезапись носителя.
2. Вывод из строя ключевых элементов дешифрования.
3. Умышленная потеря стойкого к брутфорсу или атаке по словарю пароля.
4. Физическое уничтожение носителя.

Основные критерии отбора мне видятся такими:
1. Надежность уничтожения информации.
2. Простота реализации
3. Время затраченное на процесс.

А теперь, попробуем все эти элементы собрать в единое целое.

Перезапись носителя.
Удаление информации в современных операционных системах - на самом деле не удаление. Нажав shift+delete вы даете системе команду проиндексировать область, на которой записан удаляемый файл как "свободную для перезаписи". Пока файл не перезапишется - он будет доступен к восстановлению. А учитывая, что объем современных носителей измеряется десятками гигабайт (флэшки), сотнями гигабайт (ssd диски) или даже терабайтами (hdd диски) - рассчитывать на то что лог размером 3 кб быстро "затрется" глупо.

Программы для уничтожения информации или как их еще называют "шреддеры" учитывают это в своих алгоритмах и методично забивают каждый доступный для перезаписи сектор либо нулями либо случайными данными. Все вроде бы правильно, но!

Во-первых - одной перезаписи как правило недостаточно. Виной тому сами носители. Например ssd диски каждые 15 минут перезаписывают данные с более изношенных микросхем на менее изношенный - для равномерного износа. А hdd диски имеют такой параметр как "остаточная намагниченность", особенно те, у которых "блины" ещё не "стеклянные", а металлические.

Во-вторых - перезапись носителя процесс довольно длительный. Однократная полная перезапись 8 гигабайтной флешки занимает около 15-20 минут, и это usb 3.0 со скоростью записи 20-30 мб/сек! Про 2.0 с их 5-10 мб/сек даже писать не хочется. Скорость записи дисков выше - около 100 мб/сек для hdd или 500 мб/сек ssd дисков. Но это нивелируется их объемами.

Но это данные по ОДНОМУ циклу перезаписи, который защищает от "бытовых" способов восстановления. Если "затирать" флешку по "Гутманну" с его 35 циклами перезаписи, которые гарантированно уничтожали данные даже со старых магнитных hdd дисков с металлическими "блинами", то на уничтожение данных на 8 гиговой флешке usb3.0 займет 11 часов. А минимальные два цикла - почти час.

В-третьих, для использования этого метода нужны как программные так и аппаратные ресурсы - как минимум исправный компьютер и необходимый софт. Это кажется не таким уж критичным параметром, когда вы сейчас читаете этот текст на экране вашего монитора. Но на досмотре, например, в аэропорту это проблема, которая может лишить вас свободы на многие годы.

Умышленная потеря стойкого к брутфорсу или атаке по словарю пароля.
Эта идея пришла в тот момент, когда начли использовать "strong passwords" - пароли длинной от 24 знаков, целиком состоящие из случайных или псевдослучайных хитросплетений знаков, букв и цифр, но еще не освоив менеджер паролей Keepassx - можно тупо забыть пароль от флешки. Не весь, конечно, но это же пароль. Несовпадение одного знака уже критично.

А что вероятнее из двух ситуаций - что сам назовешь пароль под физическим или психологическим давлением, или что кто то найдет маленькую записочку и поймет что это пароль от конкретного носителя информации? Тем более можно записать не весь пароль а скажем его половину.

Так и родилась эта техника - запоминать лишь 8-16 знаков пароля, а оставшиеся 16-24 хранить на маленьком кусочке тетрадного листа, который можно быстро и надежно уничтожить (натурально разжевать и/или проглотить).

Однако этот способ все же в итоге был отвергнут. И основной его недостаток - недоказуемость факта, что пароль утерян. А значит высока вероятность того, что после фразы "у меня нет пароля" давление будет лишь усиливаться. Понятно что пароль не назовешь, однако допросы будут продолжаться и продолжаться.

Плюс к этому вы как минимум сообщите вероятному противнику длину пароля. А при брутфорсе или атаке по словарю - длина пароля и примерный алгоритм архиважнейшие данные, сокращающее время атаки на порядок.

Вывод из строя ключевых элементов дешифрования.
Разновидность предыдущего способа, но реализованная программно. Для понимания процесса придется немного углубиться в технологию шифрования/дешифрования, которая лежит в основе файловой системы LUKS/Cryptsetup (полнодисковое шифрование в операционных системах linux).

Представим, что данные на носителе - это документы в большом сейфе, а большой сейф открывается большим ключом. Уважаемые знатоки, внимание, вопрос!

Какая основная уязвимость в такой ситуации?

Правильный ответ: при утере ключа вы теряете доступ к документам. А если ключ утерян в связи с похищением - то появляются еще и риски утечки информации. Как же защититься от этого?
Да очень просто. Достаточно большой ключ от большого сейфа поместить в маленький сейф, открываться который будет одним любым маленьким ключом из комплекта, в котором их будет, скажем 8. При утере 1 из 8 ключей у нас останется еще 7. А в сейфе мы изменим настройки так, что открываться утерянным ключом он перестанет, и откроют его только те 7 ключей что у нас сохранились.

Теперь нам просто нужно заменить большой сейф на шифрованный раздел, документы на файлы, которые хранятся в шифрованном разделе, большой ключ на случайный мастер ключ, с генерированный системой при создании раздела, а маленькие ключи - это пароли, которыми вы открываете раздел. Да, если вы не знали - в линуксе можно создавать до 8 паролей, а каждый пароль хранится в так называемой ячейке - key slot, которые пронумерованы от 0 до 7.

Если у вас уже стоит линукс или до сих пор не стоит линукс то вы можете полюбоваться на ячейки с помощью команды:

Код:

sudo cryptsetup luksDump /dev/sda5
Если жесткий диск зашифрован, вывод будет примерно таким (в самом низу терминала):

LUKS header information for /dev/sda5

Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
MK digest: a7 0c 20 b8 01 22 cf bc 0d c8 88 63 44 d0 fa aa 8a 7a 3b c9
MK salt: a7 0c 20 b8 01 22 cf bc 33 c8 88 63 44 d0 fa ab
79 22 c4 3b 1a 67 54 93 1c b5 aa e5 6e 25 ce 37
MK iterations: 131750
UUID: 623hui0c-15f6-40d1-95d2-8c5pizda24f

Key Slot 0: ENABLED
Iterations: 980841
Salt: a7 0c 20 b8 01 22 cf bc 0d c8 88 63 44 d0 fa ab
25 02 6a fc f5 96 ab 51 fd dd 17 6c 94 93 00 09
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED


Однако что то подсказывает, что в ячейке номер ноль хранится твой пароль от диска. А еще 7 ячеек не заняты. Если эту ячейку уничтожить, то все данные будут похоронены в шифрованном разделе, как радиоактивные отходы в саркофаге - не останется ключей, которые могут открыть маленький сейф, а как выглядит большой ключ никто не знает - так что клонировать его тоже не вариант. При этом этот способ лишен недостаток прошлого - достаточно ввести эту команду и продемонстрировать что все 8 ячеек "DISABLED". Нет, ну ты так и так получишь за такое, но они будут в пять раз веселее и приятнее.

4. Физическое уничтожение носителя.
Самый надежный и безпалевый способ уничтожения данных. Надежный потому, что восстанавливать их просто не с чего. А безпалевый потому - что не отпираемый шифрованный саркофаг это косвенная улика, которая намекает что ты что то скрываешь, и ты технически грамотен. А косвенные улики, как известно, мотивируют на поиск прямых улик. К сожалению, быстро и безпалевно можно уничтожить лишь флешку. Именно по этому я и рекомендую из рабочей машины извлекать жесткий диск, и запускать ее только с флешек.

Основная проблема способа - корпус флешки. Особенно "пуленепробиваемый" какими любят баловаться ребятишки из конторы под названием kingston. Такие флешки совсем нам не друзья, необходимо выбирать варианты попроще. Как выбирать? Сейчас расскажу.

Флешка состоит из трех основных элементов - корпуса, usb разъема и платы с радиодеталями. На плате есть две микросхемы - маленькая это микроконтроллер, большая это сама память, где хранятся данные. Сильные повреждения большой микросхемы и есть наша задача.

Во первых выбирать нужно флешки крупные - чип памяти на них большой и его реально переломить в нескольких местах даже руками. Во- вторых корпус должен быть из пластмассы. Как правило корпус состоит из двух продольных половинок склеенных по швам, хотя бывают и разборные корпусы, в которых внутренний контейнер с закрепленной флешкой вставляется во внешний как... как... поршень в цилиндр.

Если мы имеем дело со склеенным корпусом, то его нужно предварительно аккуратно разломать по шву, после чего чего аккуратно подклеить в паре мест или закрепить любым другим способом, той же тонкой полоской скотча. Хотя я и вовсе использую флешки без корпусов - тупо разъем и плата. Да и не только флешки.

Если же корпус разборный - то это и вовсе не проблема. Да и никто не запрещает купить самую дешманскую разборную флешку, вытащить из корпуса нормальную и поместить в разборный. Нет препятствий патриотам!

Подвести итоги будет логично, составив "хит парад" способов уничтожения информации, на мой взляд он должен выглядеть вот так:

1. Физическое уничтожение носителя.

2. Вывод из строя ключевых элементов дешифрования.

3. Умышленная потеря стойкого к брутфорсу или атаке по словарю пароля.

4. Перезапись носителя.

Матушкин Андрей Николаевич

Президент IAPD
Teammitglied
Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
01.01.1970
Beiträge
21.931
Punkte für Reaktionen
3.755
Punkte
113
Alter
53
Ort
Россия,
Website
o-d-b.ru
The basis of any charge is evidence. The recognition of the accused is of secondary importance, and if there is enough evidence then it completely loses its significance. If we talk about cyber crime, the evidence there is mostly digital, and they are stored on information carriers. Depending on the crime evidence may be :
Thanks for the interesting stuff.
 
Original message
Основой любого обвинения являются улики. Признание обвиняемого имеет второстепенное значение, а если улик достаточно то оно и вовсе теряет свою значимость. Если говорить о кибер-преступности, то улики там в основном цифровые, и хранятся они на носителях информации. В зависимости от состава преступления уликами могут быть:
Спасибо за интересный материал.