- Entrou
- Jun 1, 2014
- Mensagens
- 284
- Reaction score
- 263
- Pontos
- 63
Naive criminals. How ordinary people hide digital evidence.
Content
Move data to another folder
No, now we are discussing not “concealment” of a collection of pornographic pictures in the “Coursework on sopromat” folder. We are discussing a naive, but quite effective way to hide information by simply moving certain data to another location on the disk.
What is it, obvious stupidity or transcendent simplicity? No matter how naive this method may seem, it may well work for rare and exotic data - such as jump lists (by the way, do you know what it is?) Or the WhatsApp messenger database. An attacker may simply not have the time or sufficient determination to search the entire computer in search of a database from ... and from what, actually? There are hundreds, if not thousands, of instant messaging programs; go and understand which one the user used. And, note, each application has its own file paths, names, and even their own database formats. Finding them manually on a computer with tens of thousands of folders and hundreds of thousands of files is a futile task.
Obviously, this method of hiding evidence will work only if the attacker has little time to thoroughly analyze the contents of the computer. In such and only such cases, the method — let's call it the “Elusive Joe Method” —can work.
Use of “safe” communication methods
This item aroused my special admiration. Oddly enough, modern criminals are well-versed in security matters. They pretty well understand how messages are sent between chat participants, where they are stored and how to delete them.
The document describes in detail the possibilities that the investigation can take in order to still get access to the chat rooms. Here is a study of the areas of freelist databases in SQLite format, and official requests to messenger manufacturers (for example, Microsoft will give the investigation logs on Skype without further questions - they are stored on the company's servers), and even requests to smartphone manufacturers (here I recall the story, in which BlackBerry helped the Canadian police to localize a gang of drug dealers who decided to use the company's branded messenger on the old BlackBerry OS platform).
In this regard, a curious case comes to mind that I heard about at a police event. American police detained a man suspected of drug trafficking on an especially large scale. The suspect was technically savvy and chose the Apple iMessage as the only communication method. IMessage messages are not stored on Apple servers, and the suspect carefully cleared the correspondence history after each session. Nothing interesting was found in the backup of his iPhone.
However, when the police took up the investigation of his computer (the criminal had a Mac), their joy knew no bounds: there were hundreds of thousands (!) Of messages on the computer about the existence of which the criminal (now definitely a criminal) did not suspect. The new product (at that time) from Apple, the Continuity system, which synchronized iMessage messages between all devices registered in the same account, helped to condemn the drug dealer.
By the way, the speaker complained that all the programs for analyzing iMessage databases that existed at that time could not cope with so many messages and simply fell; the police had to write their own utility for parsing a swollen database.
Morality? Morality is not here: if you are not an expert in IT, it is impossible to know about such moments.
Rename Files
Another naive attempt to hide evidence is renaming files. No matter how simple it sounds, renaming, for example, the encrypted database of some secure messenger into something like C: \ Windows \ System32 \ oobe \ en-US \ audit.mui is quite able to pass the expert's attentive gaze. Indeed, thousands of files are stored in Windows directories; to find among them something unusual (especially if it does not stand out in size) is a problem that cannot be solved by manual labor.
How are such files searched? It is excusable for the naive layman to know about the existence of a whole class of specialized programs designed specifically for searching for such files on suspects' disks (and disk images). Not only file name search is used; a comprehensive approach is used when traces (for example, in the Windows registry) of installed applications are analyzed, after which the paths to the files accessed by these applications are tracked.
Another popular way to search for renamed files is the so-called carving, or end-to-end content search. Exactly the same approach, otherwise known as “signature search”, has been used since the beginning of time in absolutely all anti-virus programs. Using carving, you can analyze both the contents of the files on the disk and the contents of the disk itself (or only occupied areas) at a low level.
Should I rename files? This is yet another “Elusive Joe” trick that can only protect against a very lazy investigator.
Deleting Files
Not sure how “naive” it is today to try to hide evidence by deleting files. The fact is that files deleted from ordinary hard disks are usually quite easily restored using a well-known signature search: the disk is scanned block by block (now we are interested in fragments not occupied by existing files and other file system structures), every block read data is analyzed for compliance with a number of criteria (whether it is a file header of a certain format, part of a text file, and so on). With the help of such a scan, performed, by the way, in fully automatic mode, the probability of successful (at least partial) recovery of deleted files is quite high.
Forensic software (in the screenshot - Belkasoft Evidence Center) can recover deleted data, such as Skype chats, using an in-depth analysis of SQLite databases
It would seem that deleting files is a classic “naive” attempt to hide evidence. But not when files are deleted from SSDs.
Here you need to tell a little more about how the deletion (and subsequent reading) of data on the SSD works. Surely you heard about the existence of a “garbage collector” and the TRIM function, which allows modern SSDs to maintain high performance when writing (and especially overwriting) data. The TRIM command is issued by the operating system; it tells the SSD controller that certain data blocks with certain physical (in fact not) addresses are freed and are no longer used.
The controller’s task now is to clear (erase data) the indicated blocks, preparing them in such a way that they can quickly record new information.
But erasing data is a very slow process, and it happens in the background when the load on the disk drops. And if, right after the TRIM command, a write command arrives at the very “physical” block? In this case, the controller instantly replaces such a block with an empty one, simply modifying the value in the forwarding table. And that block, which is intended for erasure, receives another “physical” address or is completely placed in a non-addressable pool from the backup area.
The backfill question: and if the controller did not have time to physically erase the data from the TRIM blocks, can the signature search find anything in the free areas of the SSD?
The correct answer: in most cases, when you try to read data from a block to which a TRIM command has arrived, the controller will give out either zeros or another sequence of data that has nothing to do with the real contents of the block. This is due to implementation features in modern SSD protocols, which clearly determine the behavior of the controller when trying to read a block after a TRIM command. There are only three values: Undefined (the controller will return the real contents of the block; it is almost never found in modern SSDs), DRAT (Determined Read After Trim, or fixed data after Trim; most commonly found in consumer models) and DZAT (Determined Zeroes After Trim, or always return zeros after the Trim command; often found on models designed to work as part of RAID, NAS, and server scenarios).
Thus, in the vast majority of cases, the controller will return to us data that has nothing to do with the actual contents of the drive. In most cases, recovering deleted files from an SSD will fail even seconds after they are deleted.
Cloud data storage
Is the data in the cloud? You will say that there are no more stupid criminals left, and you will be wrong. Users with enviable consistency forget to turn off either iCloud PhotoPhoto Library, then OneDrive or Google Drive synchronization, or even more exotic types of synchronization - for example, a setting (which, by the way, is not available in iOS at all; maybe that's why they forget?), Thanks to which information about calls from iPhone (both over the phone and through FaceTime) immediately get to Apple servers. I have already cited examples with the “forgotten” Continuity mode and the BlackBerry messenger.
Perhaps I have nothing to add here, except that the data from the company's cloud is given to the police without much resistance.
Using external drives
Using encrypted flash drives to store information related to illegal activities seems to criminals a genius idea. It seemed that nothing needs to be deleted - just pull the USB flash drive out of the computer and no one will ever get access to the data (if the protection is stable). That is how naive criminals reason.
Why "naive"?
The fact is that most ordinary users have no idea about the “tails” that remain after almost any manipulation of USB devices. So, once the case of the spread of child pornography was investigated. The criminals used exclusively external drives (ordinary flash drives); nothing was stored on the disks.
The criminals did not immediately take into account two points. First: the history of connecting USB devices is stored in the Windows registry; if it is not deleted, then it is stored there for a very, very long time. And the second point: if you use the Explorer built-in to access images, then thumbnails of thumbnails are automatically created (and saved!) In the latest versions of Windows at% LocalAppData% \ Microsoft \ Windows \ Explorer \. In Windows XP, the Thumbs.db file. After analyzing the thumbnails and comparing the identifiers of the USB devices with the confiscated ones, the investigation was able to prove the involvement of the accused in the alleged crime.
What about encryption?
And here, not everything is obvious. Firstly, there are specialized applications that allow you to dump a computer’s RAM and extract cryptographic keys from it, which are used to access encrypted volumes (in particular, the popular BitLocker To Go among naive criminals). An example of such a program is Elcomsoft Forensic Disk Decryptor, with which you can analyze the dump in fully automatic mode. And you can create a RAM image using the utility Belkasoft RAM Capturer
Secondly, it’s no secret that many cryptocontainers automatically deposit encryption keys into the cloud. And if Apple activates FileVault 2 several times notifies the user that access to the partition will be possible through iCloud, then Microsoft, when encrypting the volume using BitLocker Device Protection, just silently creates a deposited key in the Microsoft Account user account. These keys are available directly on the user account page.
How to access your account?
If a computer is configured with a Microsoft Account login (and not a local Windows account), an offline brute force attack can restore the password, which is a surprise! - will match the password from the online Microsoft Account.
Instead of a conclusion. Nested cryptocontainers with hardware key
It would seem impenetrable protection. Pioneer Vasya can giggle and rub his hands, confident that now his data is completely safe.
Theoretically, yes. Practically ... practically - there are subtleties of a legal plan. And here is a striking example.
Accused of downloading and storing child pornography has been imprisoned in an American prison for more than two years now. The official charge is the suspect’s refusal to give out passwords for encrypted external storage (NAS), where, in the court’s opinion, child pornography is stored.
Whether it is stored there or not is unknown; no relevant content was found for the accused. But the accusation is very serious, and here you can sacrifice such trifles as the presumption of innocence and the right not to testify against oneself. So the accused sits and will sit until he reveals passwords or dies of old age or other reasons.
Not so long ago, human rights activists filed an appeal, which stated that under the law under this article (refusal to cooperate with the investigation), the maximum term of imprisonment is 18 months. The appeal was rejected by the court despite the fact that the judge recognized the arguments of the lawyer as "interesting and versatile." The accusation is more serious - and the judges will turn a blind eye to anything, including written laws.
Source @DarkOn
Content
- 1 Moving data to another folder
- 2 Use of “safe” communication methods
- 3 Rename Files
- 4 Delete files
- 5 Cloud Storage
- 6 Using external drives
- 7 Instead of a conclusion. Nested cryptocontainers with hardware key
Move data to another folder
No, now we are discussing not “concealment” of a collection of pornographic pictures in the “Coursework on sopromat” folder. We are discussing a naive, but quite effective way to hide information by simply moving certain data to another location on the disk.
What is it, obvious stupidity or transcendent simplicity? No matter how naive this method may seem, it may well work for rare and exotic data - such as jump lists (by the way, do you know what it is?) Or the WhatsApp messenger database. An attacker may simply not have the time or sufficient determination to search the entire computer in search of a database from ... and from what, actually? There are hundreds, if not thousands, of instant messaging programs; go and understand which one the user used. And, note, each application has its own file paths, names, and even their own database formats. Finding them manually on a computer with tens of thousands of folders and hundreds of thousands of files is a futile task.
Obviously, this method of hiding evidence will work only if the attacker has little time to thoroughly analyze the contents of the computer. In such and only such cases, the method — let's call it the “Elusive Joe Method” —can work.
Use of “safe” communication methods
This item aroused my special admiration. Oddly enough, modern criminals are well-versed in security matters. They pretty well understand how messages are sent between chat participants, where they are stored and how to delete them.
The document describes in detail the possibilities that the investigation can take in order to still get access to the chat rooms. Here is a study of the areas of freelist databases in SQLite format, and official requests to messenger manufacturers (for example, Microsoft will give the investigation logs on Skype without further questions - they are stored on the company's servers), and even requests to smartphone manufacturers (here I recall the story, in which BlackBerry helped the Canadian police to localize a gang of drug dealers who decided to use the company's branded messenger on the old BlackBerry OS platform).
In this regard, a curious case comes to mind that I heard about at a police event. American police detained a man suspected of drug trafficking on an especially large scale. The suspect was technically savvy and chose the Apple iMessage as the only communication method. IMessage messages are not stored on Apple servers, and the suspect carefully cleared the correspondence history after each session. Nothing interesting was found in the backup of his iPhone.
However, when the police took up the investigation of his computer (the criminal had a Mac), their joy knew no bounds: there were hundreds of thousands (!) Of messages on the computer about the existence of which the criminal (now definitely a criminal) did not suspect. The new product (at that time) from Apple, the Continuity system, which synchronized iMessage messages between all devices registered in the same account, helped to condemn the drug dealer.
By the way, the speaker complained that all the programs for analyzing iMessage databases that existed at that time could not cope with so many messages and simply fell; the police had to write their own utility for parsing a swollen database.
Morality? Morality is not here: if you are not an expert in IT, it is impossible to know about such moments.
Rename Files
Another naive attempt to hide evidence is renaming files. No matter how simple it sounds, renaming, for example, the encrypted database of some secure messenger into something like C: \ Windows \ System32 \ oobe \ en-US \ audit.mui is quite able to pass the expert's attentive gaze. Indeed, thousands of files are stored in Windows directories; to find among them something unusual (especially if it does not stand out in size) is a problem that cannot be solved by manual labor.
How are such files searched? It is excusable for the naive layman to know about the existence of a whole class of specialized programs designed specifically for searching for such files on suspects' disks (and disk images). Not only file name search is used; a comprehensive approach is used when traces (for example, in the Windows registry) of installed applications are analyzed, after which the paths to the files accessed by these applications are tracked.
Another popular way to search for renamed files is the so-called carving, or end-to-end content search. Exactly the same approach, otherwise known as “signature search”, has been used since the beginning of time in absolutely all anti-virus programs. Using carving, you can analyze both the contents of the files on the disk and the contents of the disk itself (or only occupied areas) at a low level.
Should I rename files? This is yet another “Elusive Joe” trick that can only protect against a very lazy investigator.
Deleting Files
Not sure how “naive” it is today to try to hide evidence by deleting files. The fact is that files deleted from ordinary hard disks are usually quite easily restored using a well-known signature search: the disk is scanned block by block (now we are interested in fragments not occupied by existing files and other file system structures), every block read data is analyzed for compliance with a number of criteria (whether it is a file header of a certain format, part of a text file, and so on). With the help of such a scan, performed, by the way, in fully automatic mode, the probability of successful (at least partial) recovery of deleted files is quite high.
Forensic software (in the screenshot - Belkasoft Evidence Center) can recover deleted data, such as Skype chats, using an in-depth analysis of SQLite databases
It would seem that deleting files is a classic “naive” attempt to hide evidence. But not when files are deleted from SSDs.
Here you need to tell a little more about how the deletion (and subsequent reading) of data on the SSD works. Surely you heard about the existence of a “garbage collector” and the TRIM function, which allows modern SSDs to maintain high performance when writing (and especially overwriting) data. The TRIM command is issued by the operating system; it tells the SSD controller that certain data blocks with certain physical (in fact not) addresses are freed and are no longer used.
The controller’s task now is to clear (erase data) the indicated blocks, preparing them in such a way that they can quickly record new information.
But erasing data is a very slow process, and it happens in the background when the load on the disk drops. And if, right after the TRIM command, a write command arrives at the very “physical” block? In this case, the controller instantly replaces such a block with an empty one, simply modifying the value in the forwarding table. And that block, which is intended for erasure, receives another “physical” address or is completely placed in a non-addressable pool from the backup area.
The backfill question: and if the controller did not have time to physically erase the data from the TRIM blocks, can the signature search find anything in the free areas of the SSD?
The correct answer: in most cases, when you try to read data from a block to which a TRIM command has arrived, the controller will give out either zeros or another sequence of data that has nothing to do with the real contents of the block. This is due to implementation features in modern SSD protocols, which clearly determine the behavior of the controller when trying to read a block after a TRIM command. There are only three values: Undefined (the controller will return the real contents of the block; it is almost never found in modern SSDs), DRAT (Determined Read After Trim, or fixed data after Trim; most commonly found in consumer models) and DZAT (Determined Zeroes After Trim, or always return zeros after the Trim command; often found on models designed to work as part of RAID, NAS, and server scenarios).
Thus, in the vast majority of cases, the controller will return to us data that has nothing to do with the actual contents of the drive. In most cases, recovering deleted files from an SSD will fail even seconds after they are deleted.
Cloud data storage
Is the data in the cloud? You will say that there are no more stupid criminals left, and you will be wrong. Users with enviable consistency forget to turn off either iCloud PhotoPhoto Library, then OneDrive or Google Drive synchronization, or even more exotic types of synchronization - for example, a setting (which, by the way, is not available in iOS at all; maybe that's why they forget?), Thanks to which information about calls from iPhone (both over the phone and through FaceTime) immediately get to Apple servers. I have already cited examples with the “forgotten” Continuity mode and the BlackBerry messenger.
Perhaps I have nothing to add here, except that the data from the company's cloud is given to the police without much resistance.
Using external drives
Using encrypted flash drives to store information related to illegal activities seems to criminals a genius idea. It seemed that nothing needs to be deleted - just pull the USB flash drive out of the computer and no one will ever get access to the data (if the protection is stable). That is how naive criminals reason.
Why "naive"?
The fact is that most ordinary users have no idea about the “tails” that remain after almost any manipulation of USB devices. So, once the case of the spread of child pornography was investigated. The criminals used exclusively external drives (ordinary flash drives); nothing was stored on the disks.
The criminals did not immediately take into account two points. First: the history of connecting USB devices is stored in the Windows registry; if it is not deleted, then it is stored there for a very, very long time. And the second point: if you use the Explorer built-in to access images, then thumbnails of thumbnails are automatically created (and saved!) In the latest versions of Windows at% LocalAppData% \ Microsoft \ Windows \ Explorer \. In Windows XP, the Thumbs.db file. After analyzing the thumbnails and comparing the identifiers of the USB devices with the confiscated ones, the investigation was able to prove the involvement of the accused in the alleged crime.
What about encryption?
And here, not everything is obvious. Firstly, there are specialized applications that allow you to dump a computer’s RAM and extract cryptographic keys from it, which are used to access encrypted volumes (in particular, the popular BitLocker To Go among naive criminals). An example of such a program is Elcomsoft Forensic Disk Decryptor, with which you can analyze the dump in fully automatic mode. And you can create a RAM image using the utility Belkasoft RAM Capturer
Secondly, it’s no secret that many cryptocontainers automatically deposit encryption keys into the cloud. And if Apple activates FileVault 2 several times notifies the user that access to the partition will be possible through iCloud, then Microsoft, when encrypting the volume using BitLocker Device Protection, just silently creates a deposited key in the Microsoft Account user account. These keys are available directly on the user account page.
How to access your account?
If a computer is configured with a Microsoft Account login (and not a local Windows account), an offline brute force attack can restore the password, which is a surprise! - will match the password from the online Microsoft Account.
Instead of a conclusion. Nested cryptocontainers with hardware key
It would seem impenetrable protection. Pioneer Vasya can giggle and rub his hands, confident that now his data is completely safe.
Theoretically, yes. Practically ... practically - there are subtleties of a legal plan. And here is a striking example.
Accused of downloading and storing child pornography has been imprisoned in an American prison for more than two years now. The official charge is the suspect’s refusal to give out passwords for encrypted external storage (NAS), where, in the court’s opinion, child pornography is stored.
Whether it is stored there or not is unknown; no relevant content was found for the accused. But the accusation is very serious, and here you can sacrifice such trifles as the presumption of innocence and the right not to testify against oneself. So the accused sits and will sit until he reveals passwords or dies of old age or other reasons.
Not so long ago, human rights activists filed an appeal, which stated that under the law under this article (refusal to cooperate with the investigation), the maximum term of imprisonment is 18 months. The appeal was rejected by the court despite the fact that the judge recognized the arguments of the lawyer as "interesting and versatile." The accusation is more serious - and the judges will turn a blind eye to anything, including written laws.
Source @DarkOn
Original message
Наивные преступники. Как обыватели прячут цифровые улики.
Содержание
Перемещение данных в другую папку
Нет, сейчас мы обсуждаем не «сокрытие» коллекции порнографических картинок в папке «Курсовые по сопромату». Мы обсуждаем наивный, но достаточно действенный способ спрятать информацию, просто переместив определенные данные в другое место на диске.
Что это, очевидная глупость или запредельное простодушие? Каким бы наивным ни казался этот способ, он вполне может сработать для редких и экзотических данных — таких как jump lists (кстати, а знаете ли вы, что это такое?) или база данных мессенджера WhatsApp. У злоумышленника может просто не найтись времени или достаточной целеустремленности, чтобы обшаривать весь компьютер в поисках базы данных от… а от чего, собственно? Программ для мгновенного обмена сообщениями существует сотни, если не тысячи; поди пойми, какой из них пользовался пользовался пользователь. И, заметьте, у каждого приложения сугубо собственные пути к файлам, имена и даже свои форматы баз данных. Искать их вручную на компьютере с десятками тысяч папок и сотнями тысяч файлов — занятие бесперспективное.
Очевидно, что такой способ сокрытия улик сработает, исключительно если у злоумышленика мало времени на тщательный анализ содержимого компьютера. В таких и только таких случаях метод — назовем его «методом Неуловимого Джо» — может сработать.
Использование «безопасных» методов коммуникации
Этот пункт вызвал у меня особое восхищение. Современные преступники, как ни странно, неплохо ориентируются в вопросах безопасности. Они довольно хорошо представляют, каким образом передаются сообщения между участниками чата, где они сохраняются и как их удалять.
В документе подробно описываются возможности, которыми может воспользоваться следствие для того, чтобы все-таки получить доступ к чатам. Здесь и исследование областей freelist баз данных в формате SQLite, и официальные запросы к производителям мессенджеров (например, Microsoft без лишних вопросов отдаст следствию логи бесед в Skype — ведь хранятся они на серверах компании), и даже запросы к производителям смартфонов (здесь вспоминается история, в которой компания BlackBerry помогла канадской полиции локализовать банду наркоторговцев, решивших воспользоваться фирменным мессенджером компании на старой платформе BlackBerry OS).
В этой связи на ум приходит курьезный случай, о котором я услышал на полицейском мероприятии. Американская полиция задержала человека, подозревавшегося в наркоторговле в особо крупных размерах. Подозреваемый был неплохо подкован технически и в качестве единственного метода общения выбрал Apple iMessage. Сообщения iMessage не сохраняются на серверах Apple, а подозреваемый тщательно очищал историю переписки после каждой сессии. В резервной копии его iPhone не обнаружилось ничего интересного.
Однако, когда полиция взялась за исследование его компьютера (у преступника был Mac), их радости не было предела: на компьютере нашлись сотни тысяч (!) сообщений, о самом существовании которых преступник (теперь уже точно преступник) вовсе не подозревал. Осудить наркоторговца помогла новинка (на тот момент) от Apple — система Continuity, которая синхронизировала сообщения iMessage между всеми устройствами, зарегистрированными в одной учетной записи.
К слову, докладчик жаловался, что все существовавшие на тот момент программы для анализа баз данных iMessage не справлялись с таким количеством сообщений и попросту падали; полиции пришлось писать собственную утилиту для парсинга разбухшей БД.
Мораль? Морали здесь нет: если ты не специалист в IT, знать о подобных моментах невозможно.
Переименование файлов
Еще одна наивная попытка спрятать улики — переименование файлов. Как бы просто это ни звучало, переименование, к примеру, зашифрованной базы данных какого-нибудь защищенного мессенджера во что-то вроде C:\Windows\System32\oobe\en-US\audit.mui вполне в состоянии пройти мимо внимательного взгляда эксперта. Действительно, в каталогах Windows хранятся тысячи файлов; найти среди них что-то необычное (особенно если оно не выделяется размерами) — задача, ручным трудом не решаемая.
Каким образом ищут такие файлы? Наивному обывателю простительно не знать о существовании целого класса специализированных программ, предназначенных именно для поиска подобных файлов на дисках (и образах дисков) подозреваемых. Используется отнюдь не только поиск по имени файла; применяется комплексный подход, когда анализируются следы (например, в реестре Windows) установленных приложений, после чего отслеживаются пути к файлам, к которым получали доступ эти приложения.
Другой популярный способ поиска переименованных файлов — так называемый карвинг, или сквозной поиск по содержимому. В точности такой же подход, иначе известный как «поиск по сигнатурам», использовался с начала времен абсолютно во всех антивирусных программах. При помощи карвинга можно проанализировать как содержимое файлов на диске, так и содержимое самого диска (или только занятых областей) на низком уровне.
Стоит ли переименовывать файлы? Это — очередная хитрость «Неуловимого Джо», способная защитить лишь от очень ленивого следователя.
Удаление файлов
Не уверен, насколько «наивно» на сегодняшний день пытаться скрыть улики, удаляя файлы. Дело в том, что файлы, удаленные с обычных жестких дисков, как правило, довольно легко восстанавливаются при помощи уже хорошо знакомого сигнатурного поиска: диск сканируется поблочно (сейчас нас интересуют фрагменты, не занятые существующими файлами и прочими структурами файловой системы), каждый прочитанный блок данных анализируется на соответствие ряду критериев (является ли он заголовком файла определенного формата, частью текстового файла и так далее). При помощи такого сканирования, выполняемого, к слову, в полностью автоматическом режиме, вероятность успешного (хотя бы частичного) восстановления удаленных файлов достаточно велика.
Криминалистическое ПО (на скриншоте — Belkasoft Evidence Center) умеет восстанавливать удаленные данные, такие, например, как чаты скайпа, с помощью глубокого анализа баз SQLite
Казалось бы, удаление файлов — классическая «наивная» попытка спрятать улики. Но только не когда файлы удаляются с SSD-дисков.
Здесь нужно рассказать чуть подробнее о том, как работает удаление (и последующее чтение) данных на SSD. Наверняка ты слышал о существовании «сборщика мусора» и функции TRIM, позволяющих современным SSD поддерживать высокую производительность при записи (и особенно — перезаписи) данных. Команда TRIM подается операционной системой; она сообщает контроллеру SSD, что определенные блоки данных с определенными физическими (на самом деле нет) адресами освобождены и более не используются.
Задача контроллера теперь — очистить (произвести стирание данных) указанные блоки, подготовив их таким образом для того, чтобы в них можно было быстро записать новую информацию.
Но стирание данных — процесс очень медленный, и происходит он в фоновом режиме, когда нагрузка на диск падает. А если сразу после команды TRIM поступает команда записи в тот самый «физический» блок? В этом случае контроллер мгновенно подменяет такой блок пустым, просто модифицировав значение в таблице переадресации. А тот блок, который предназначен для стирания, получает другой «физический» адрес или вовсе помещается в неадресуемый пул из резервной области.
Вопрос на засыпку: а если контроллер не успел физически стереть данные из TRIM’нутых блоков, сможет ли сигнатурный поиск найти что-либо в свободных областях SSD?
Правильный ответ: в большинстве случаев при попытке считать данные из блока, на который поступила команда TRIM, контроллер выдаст либо нули, либо другую последовательность данных, ничего общего не имеющую с реальным содержимым блока. Связано это с особенностями реализации в современных SSD протоколов, в которых четко определяется поведение контроллера при попытке считать блок после команды TRIM. Значений здесь всего три: Undefined (контроллер вернет реальное содержимое блока; в современных SSD практически не встречается), DRAT (Determined Read After Trim, или фиксированные данные после Trim; в потребительских моделях встречается чаще всего) и DZAT (Determined Zeroes After Trim, или всегда возвращать нули после команды Trim; часто встречается в моделях, предназначенных для работы в составе RAID, NAS и в серверных сценариях).
Таким образом, в подавляющем большинстве случаев контроллер вернет нам данные, не имеющие ничего общего с реальным содержимым накопителя. Восстановить удаленные файлы с SSD в большинстве случаев не удастся даже спустя секунды после их удаления.
Хранение данных в облаке
Данные — в облаке? Ты скажешь, что настолько глупых преступников уже не осталось, и будешь не прав. Пользователи с завидным постоянством забывают отключить то iCloud PhotoPhoto Library, то синхронизацию OneDrive или Google Drive, а то и более экзотические виды синхронизации — например, настройку (которой, кстати, в iOS вовсе нет; может, поэтому забывают?), благодаря которой информация о звонках с iPhone (как по телефону, так и через FaceTime) сразу попадает на серверы Apple. Примеры с «забытым» режимом Continuity и мессенджером BlackBerry я уже приводил.
Пожалуй, здесь мне нечего добавить, кроме того, что данные из облака компании выдают полиции без особого сопротивления.
Использование внешних накопителей
Использование зашифрованных флешек для хранения информации, связанной с нелегальной деятельностью, кажется преступникам жгениальной идеей. Казалось , ничего не нужно удалять — достаточно выдернуть флешку из компьютера, и доступ к данным не получит никто и никогда (если защита стойкая). Именно так рассуждают наивные преступники.
Почему «наивные»?
Дело в том, что большинство простых пользователей не имеет представления о «хвостах», которые остаются после практически любых манипуляций с USB-устройствами. Так, однажды расследовался случай с распространением детской порнографии. Преступники использовали исключительно внешние накопители (обычные флешки); на дисках не хранилось ничего.
Преступники не учли сразу два момента. Первый: история подключении USB-устройств сохраняется в реестре Windows; если ее не удалять, то хранится она там очень и очень долго. И второй момент: если для доступа к изображениям пользоваться встроенным в Windows проводником, то автоматически создаются (и сохраняются!) уменьшенные превью фотографий (thumbnails), в последних версиях Windows по адресу %LocalAppData%\Microsoft\Windows\Explorer\. В Windows XP — файл Thumbs.db. Проанализировав уменьшенные изображения и сопоставив идентификаторы USB-устройств с конфискованными, следствию удалось доказать причастность обвиняемых к инкриминируемому преступлению.
А что же с шифрованием?
И здесь не все очевидно. Во-первых, существуют специализированные приложения, позволяющие создать дамп оперативной памяти компьютера и извлечь из него криптографические ключи, использующиеся для доступа к зашифрованным томам (в частности, к популярному среди наивных преступников BitLocker To Go). Пример такой программы — Elcomsoft Forensic Disk Decryptor, при помощи которой можно проанализировать дамп в полностью автоматическом режиме. А создать образ оперативной памяти можно при помощи утилиты Belkasoft RAM Capturer
Во-вторых, ни для кого не секрет, что многие криптоконтейнеры автоматически депонируют ключи шифрования в облако. И если Apple при активации FileVault 2 несколько раз уведомит пользователя о том, что восстановление доступа к разделу будет возможно через iCloud, то Microsoft при шифровании тома с использованием BitLocker Device Protection просто молча создает депонированный ключ в учетной записи пользователя Microsoft Account. Ключи эти доступны непосредственно на странице аккаунта пользователя.
Как получить доступ к учетной записи?
Если в компьютере настроен логин при помощи Microsoft Account (а не локальной учетной записи Windows), то офлайновая атака прямым перебором может восстановить пароль, который — сюрприз! — будет совпадать с паролем от онлайновой учетной записи Microsoft Account.
Вместо заключения. Вложенные криптоконтейнеры с аппаратным ключом
Казалось бы, непробиваемая защита. Пионер Вася может хихикать и потирать ручки, уверенный, что уж теперь-то его данные в полной безопасности.
Теоретически — да. Практически… практически — есть тонкости юридического плана. И вот яркий пример.
Обвиняемый в скачивании и хранении детской порнографии находится в заключении в американской тюрьме вот уже два с лишним года. Официальное обвинение — отказ подозреваемого выдать пароли от зашифрованных внешних хранилищ (NAS), где, по мнению суда, хранится детская порнография.
Хранится она там или нет — неизвестно; соответствующего содержимого у обвиняемого найдено не было. Но обвинение очень серьезное, а здесь можно и пожертвовать такими мелочами, как презумпция невиновности и право не свидетельствовать против самого себя. Так что обвиняемый сидит и будет сидеть до тех пор, пока не раскроет пароли или не умрет от старости или иных причин.
Не так давно правозащитники подали апелляцию, в которой указывалось, что по закону по данной статье (отказ от сотрудничества со следствием) максимальный срок заключения — 18 месяцев. Апелляция была отклонена судом несмотря на то, что судья признал аргументы адвоката «интересными и разносторонними». Обвинение посерьезнее — и судьи закроют глаза на что угодно, включая писаные законы.
Источник @DarkOn
Содержание
- 1 Перемещение данных в другую папку
- 2 Использование «безопасных» методов коммуникации
- 3 Переименование файлов
- 4 Удаление файлов
- 5 Хранение данных в облаке
- 6 Использование внешних накопителей
- 7 Вместо заключения. Вложенные криптоконтейнеры с аппаратным ключом
Перемещение данных в другую папку
Нет, сейчас мы обсуждаем не «сокрытие» коллекции порнографических картинок в папке «Курсовые по сопромату». Мы обсуждаем наивный, но достаточно действенный способ спрятать информацию, просто переместив определенные данные в другое место на диске.
Что это, очевидная глупость или запредельное простодушие? Каким бы наивным ни казался этот способ, он вполне может сработать для редких и экзотических данных — таких как jump lists (кстати, а знаете ли вы, что это такое?) или база данных мессенджера WhatsApp. У злоумышленника может просто не найтись времени или достаточной целеустремленности, чтобы обшаривать весь компьютер в поисках базы данных от… а от чего, собственно? Программ для мгновенного обмена сообщениями существует сотни, если не тысячи; поди пойми, какой из них пользовался пользовался пользователь. И, заметьте, у каждого приложения сугубо собственные пути к файлам, имена и даже свои форматы баз данных. Искать их вручную на компьютере с десятками тысяч папок и сотнями тысяч файлов — занятие бесперспективное.
Очевидно, что такой способ сокрытия улик сработает, исключительно если у злоумышленика мало времени на тщательный анализ содержимого компьютера. В таких и только таких случаях метод — назовем его «методом Неуловимого Джо» — может сработать.
Использование «безопасных» методов коммуникации
Этот пункт вызвал у меня особое восхищение. Современные преступники, как ни странно, неплохо ориентируются в вопросах безопасности. Они довольно хорошо представляют, каким образом передаются сообщения между участниками чата, где они сохраняются и как их удалять.
В документе подробно описываются возможности, которыми может воспользоваться следствие для того, чтобы все-таки получить доступ к чатам. Здесь и исследование областей freelist баз данных в формате SQLite, и официальные запросы к производителям мессенджеров (например, Microsoft без лишних вопросов отдаст следствию логи бесед в Skype — ведь хранятся они на серверах компании), и даже запросы к производителям смартфонов (здесь вспоминается история, в которой компания BlackBerry помогла канадской полиции локализовать банду наркоторговцев, решивших воспользоваться фирменным мессенджером компании на старой платформе BlackBerry OS).
В этой связи на ум приходит курьезный случай, о котором я услышал на полицейском мероприятии. Американская полиция задержала человека, подозревавшегося в наркоторговле в особо крупных размерах. Подозреваемый был неплохо подкован технически и в качестве единственного метода общения выбрал Apple iMessage. Сообщения iMessage не сохраняются на серверах Apple, а подозреваемый тщательно очищал историю переписки после каждой сессии. В резервной копии его iPhone не обнаружилось ничего интересного.
Однако, когда полиция взялась за исследование его компьютера (у преступника был Mac), их радости не было предела: на компьютере нашлись сотни тысяч (!) сообщений, о самом существовании которых преступник (теперь уже точно преступник) вовсе не подозревал. Осудить наркоторговца помогла новинка (на тот момент) от Apple — система Continuity, которая синхронизировала сообщения iMessage между всеми устройствами, зарегистрированными в одной учетной записи.
К слову, докладчик жаловался, что все существовавшие на тот момент программы для анализа баз данных iMessage не справлялись с таким количеством сообщений и попросту падали; полиции пришлось писать собственную утилиту для парсинга разбухшей БД.
Мораль? Морали здесь нет: если ты не специалист в IT, знать о подобных моментах невозможно.
Переименование файлов
Еще одна наивная попытка спрятать улики — переименование файлов. Как бы просто это ни звучало, переименование, к примеру, зашифрованной базы данных какого-нибудь защищенного мессенджера во что-то вроде C:\Windows\System32\oobe\en-US\audit.mui вполне в состоянии пройти мимо внимательного взгляда эксперта. Действительно, в каталогах Windows хранятся тысячи файлов; найти среди них что-то необычное (особенно если оно не выделяется размерами) — задача, ручным трудом не решаемая.
Каким образом ищут такие файлы? Наивному обывателю простительно не знать о существовании целого класса специализированных программ, предназначенных именно для поиска подобных файлов на дисках (и образах дисков) подозреваемых. Используется отнюдь не только поиск по имени файла; применяется комплексный подход, когда анализируются следы (например, в реестре Windows) установленных приложений, после чего отслеживаются пути к файлам, к которым получали доступ эти приложения.
Другой популярный способ поиска переименованных файлов — так называемый карвинг, или сквозной поиск по содержимому. В точности такой же подход, иначе известный как «поиск по сигнатурам», использовался с начала времен абсолютно во всех антивирусных программах. При помощи карвинга можно проанализировать как содержимое файлов на диске, так и содержимое самого диска (или только занятых областей) на низком уровне.
Стоит ли переименовывать файлы? Это — очередная хитрость «Неуловимого Джо», способная защитить лишь от очень ленивого следователя.
Удаление файлов
Не уверен, насколько «наивно» на сегодняшний день пытаться скрыть улики, удаляя файлы. Дело в том, что файлы, удаленные с обычных жестких дисков, как правило, довольно легко восстанавливаются при помощи уже хорошо знакомого сигнатурного поиска: диск сканируется поблочно (сейчас нас интересуют фрагменты, не занятые существующими файлами и прочими структурами файловой системы), каждый прочитанный блок данных анализируется на соответствие ряду критериев (является ли он заголовком файла определенного формата, частью текстового файла и так далее). При помощи такого сканирования, выполняемого, к слову, в полностью автоматическом режиме, вероятность успешного (хотя бы частичного) восстановления удаленных файлов достаточно велика.
Криминалистическое ПО (на скриншоте — Belkasoft Evidence Center) умеет восстанавливать удаленные данные, такие, например, как чаты скайпа, с помощью глубокого анализа баз SQLite
Казалось бы, удаление файлов — классическая «наивная» попытка спрятать улики. Но только не когда файлы удаляются с SSD-дисков.
Здесь нужно рассказать чуть подробнее о том, как работает удаление (и последующее чтение) данных на SSD. Наверняка ты слышал о существовании «сборщика мусора» и функции TRIM, позволяющих современным SSD поддерживать высокую производительность при записи (и особенно — перезаписи) данных. Команда TRIM подается операционной системой; она сообщает контроллеру SSD, что определенные блоки данных с определенными физическими (на самом деле нет) адресами освобождены и более не используются.
Задача контроллера теперь — очистить (произвести стирание данных) указанные блоки, подготовив их таким образом для того, чтобы в них можно было быстро записать новую информацию.
Но стирание данных — процесс очень медленный, и происходит он в фоновом режиме, когда нагрузка на диск падает. А если сразу после команды TRIM поступает команда записи в тот самый «физический» блок? В этом случае контроллер мгновенно подменяет такой блок пустым, просто модифицировав значение в таблице переадресации. А тот блок, который предназначен для стирания, получает другой «физический» адрес или вовсе помещается в неадресуемый пул из резервной области.
Вопрос на засыпку: а если контроллер не успел физически стереть данные из TRIM’нутых блоков, сможет ли сигнатурный поиск найти что-либо в свободных областях SSD?
Правильный ответ: в большинстве случаев при попытке считать данные из блока, на который поступила команда TRIM, контроллер выдаст либо нули, либо другую последовательность данных, ничего общего не имеющую с реальным содержимым блока. Связано это с особенностями реализации в современных SSD протоколов, в которых четко определяется поведение контроллера при попытке считать блок после команды TRIM. Значений здесь всего три: Undefined (контроллер вернет реальное содержимое блока; в современных SSD практически не встречается), DRAT (Determined Read After Trim, или фиксированные данные после Trim; в потребительских моделях встречается чаще всего) и DZAT (Determined Zeroes After Trim, или всегда возвращать нули после команды Trim; часто встречается в моделях, предназначенных для работы в составе RAID, NAS и в серверных сценариях).
Таким образом, в подавляющем большинстве случаев контроллер вернет нам данные, не имеющие ничего общего с реальным содержимым накопителя. Восстановить удаленные файлы с SSD в большинстве случаев не удастся даже спустя секунды после их удаления.
Хранение данных в облаке
Данные — в облаке? Ты скажешь, что настолько глупых преступников уже не осталось, и будешь не прав. Пользователи с завидным постоянством забывают отключить то iCloud PhotoPhoto Library, то синхронизацию OneDrive или Google Drive, а то и более экзотические виды синхронизации — например, настройку (которой, кстати, в iOS вовсе нет; может, поэтому забывают?), благодаря которой информация о звонках с iPhone (как по телефону, так и через FaceTime) сразу попадает на серверы Apple. Примеры с «забытым» режимом Continuity и мессенджером BlackBerry я уже приводил.
Пожалуй, здесь мне нечего добавить, кроме того, что данные из облака компании выдают полиции без особого сопротивления.
Использование внешних накопителей
Использование зашифрованных флешек для хранения информации, связанной с нелегальной деятельностью, кажется преступникам жгениальной идеей. Казалось , ничего не нужно удалять — достаточно выдернуть флешку из компьютера, и доступ к данным не получит никто и никогда (если защита стойкая). Именно так рассуждают наивные преступники.
Почему «наивные»?
Дело в том, что большинство простых пользователей не имеет представления о «хвостах», которые остаются после практически любых манипуляций с USB-устройствами. Так, однажды расследовался случай с распространением детской порнографии. Преступники использовали исключительно внешние накопители (обычные флешки); на дисках не хранилось ничего.
Преступники не учли сразу два момента. Первый: история подключении USB-устройств сохраняется в реестре Windows; если ее не удалять, то хранится она там очень и очень долго. И второй момент: если для доступа к изображениям пользоваться встроенным в Windows проводником, то автоматически создаются (и сохраняются!) уменьшенные превью фотографий (thumbnails), в последних версиях Windows по адресу %LocalAppData%\Microsoft\Windows\Explorer\. В Windows XP — файл Thumbs.db. Проанализировав уменьшенные изображения и сопоставив идентификаторы USB-устройств с конфискованными, следствию удалось доказать причастность обвиняемых к инкриминируемому преступлению.
А что же с шифрованием?
И здесь не все очевидно. Во-первых, существуют специализированные приложения, позволяющие создать дамп оперативной памяти компьютера и извлечь из него криптографические ключи, использующиеся для доступа к зашифрованным томам (в частности, к популярному среди наивных преступников BitLocker To Go). Пример такой программы — Elcomsoft Forensic Disk Decryptor, при помощи которой можно проанализировать дамп в полностью автоматическом режиме. А создать образ оперативной памяти можно при помощи утилиты Belkasoft RAM Capturer
Во-вторых, ни для кого не секрет, что многие криптоконтейнеры автоматически депонируют ключи шифрования в облако. И если Apple при активации FileVault 2 несколько раз уведомит пользователя о том, что восстановление доступа к разделу будет возможно через iCloud, то Microsoft при шифровании тома с использованием BitLocker Device Protection просто молча создает депонированный ключ в учетной записи пользователя Microsoft Account. Ключи эти доступны непосредственно на странице аккаунта пользователя.
Как получить доступ к учетной записи?
Если в компьютере настроен логин при помощи Microsoft Account (а не локальной учетной записи Windows), то офлайновая атака прямым перебором может восстановить пароль, который — сюрприз! — будет совпадать с паролем от онлайновой учетной записи Microsoft Account.
Вместо заключения. Вложенные криптоконтейнеры с аппаратным ключом
Казалось бы, непробиваемая защита. Пионер Вася может хихикать и потирать ручки, уверенный, что уж теперь-то его данные в полной безопасности.
Теоретически — да. Практически… практически — есть тонкости юридического плана. И вот яркий пример.
Обвиняемый в скачивании и хранении детской порнографии находится в заключении в американской тюрьме вот уже два с лишним года. Официальное обвинение — отказ подозреваемого выдать пароли от зашифрованных внешних хранилищ (NAS), где, по мнению суда, хранится детская порнография.
Хранится она там или нет — неизвестно; соответствующего содержимого у обвиняемого найдено не было. Но обвинение очень серьезное, а здесь можно и пожертвовать такими мелочами, как презумпция невиновности и право не свидетельствовать против самого себя. Так что обвиняемый сидит и будет сидеть до тех пор, пока не раскроет пароли или не умрет от старости или иных причин.
Не так давно правозащитники подали апелляцию, в которой указывалось, что по закону по данной статье (отказ от сотрудничества со следствием) максимальный срок заключения — 18 месяцев. Апелляция была отклонена судом несмотря на то, что судья признал аргументы адвоката «интересными и разносторонними». Обвинение посерьезнее — и судьи закроют глаза на что угодно, включая писаные законы.
Источник @DarkOn