Наивные преступники. Как обыватели прячут цифровые улики.
Отдел К
Большинство преступников — далеко не профессионалы, поэтому и используемые ими способы сокрытия данных наивны. И тем не менее эти способы в массе своей срабатывают — просто потому, что у следователя может не быть времени или достаточной квалификации для того, чтобы провести качественный анализ.
В один прекрасный день я настраивал вложенный криптоконтейнер, защищенный аппаратным криптоключом, и пытался понять, как можно добраться до информации, если ключ выдернули из компьютера. В голове все более четко формировался ответ: никак. В этот самый момент меня попросили прокомментировать документ — по сути, руководство полицейских экспертов по поиску цифровых улик. Документ привел меня в такой восторг, что, не спросив официального разрешения от его авторов, я решил написать на его основе статью. Вложенные криптоконтейнеры вместе с аппаратным криптоключом отправились в сторону, а я сел изучать методы, которыми, по словам полицейских, большинство подследственных пытаются заметать следы и скрывать улики.
Перемещение данных в другую папку.
Нет, сейчас мы обсуждаем не «сокрытие» коллекции порнографических картинок в папке «Курсовые по сопромату». Мы обсуждаем наивный, но достаточно действенный способ спрятать улики, просто переместив определенные данные в другое место на диске.
Что это, очевидная глупость или запредельное простодушие? Каким бы наивным ни казался этот способ, он вполне может сработать для редких и экзотических данных — таких как jump lists (кстати, а знаешь ли ты, что это такое?) или база данных мессенджера WhatsApp.
У эксперта может просто не найтись времени или достаточной целеустремленности, чтобы обшаривать весь компьютер в поисках базы данных от… а от чего, собственно? Программ для мгновенного обмена сообщениями существует сотни, если не тысячи; поди пойми, какой из них пользовался преступник. И, заметь, у каждого приложения сугубо собственные пути к файлам, имена и даже свои форматы баз данных. Искать их вручную на компьютере с десятками тысяч папок и сотнями тысяч файлов — занятие бесперспективное.
Очевидно, что такой способ сокрытия улик сработает, исключительно если расследуются преступления, не связанные с информационной безопасностью.
У следователя может не возникнуть вопросов по поводу содержимого жесткого диска подозреваемого, и его анализ превратится в формальность. В таких и только таких случаях метод — назовем его «методом Неуловимого Джо» — может сработать.
Использование «безопасных» методов коммуникации.
Этот пункт вызвал у меня особое восхищение. Современные преступники, как ни странно, неплохо ориентируются в вопросах безопасности. Они довольно хорошо представляют, каким образом передаются сообщения между участниками чата, где они сохраняются и как их удалять.
В документе подробно описываются возможности, которыми может воспользоваться следствие для того, чтобы все-таки получить доступ к чатам.
Здесь и исследование областей freelist баз данных в формате SQLite, и официальные запросы к производителям мессенджеров (например, Microsoft без лишних вопросов отдаст следствию логи бесед в Skype — ведь хранятся они на серверах компании), и даже запросы к производителям смартфонов (здесь вспоминается история, в которой компания BlackBerry помогла канадской полиции локализовать банду наркоторговцев, решивших воспользоваться фирменным мессенджером компании на старой платформе BlackBerry OS).
В этой связи на ум приходит курьезный случай, о котором я услышал на полицейском мероприятии.
Американская полиция задержала человека, подозревавшегося в наркоторговле в особо крупных размерах. Подозреваемый был неплохо подкован технически и в качестве единственного метода общения выбрал Apple iMessage.
Сообщения iMessage не сохраняются на серверах Apple, а подозреваемый тщательно очищал историю переписки после каждой сессии. В резервной копии его iPhone не обнаружилось ничего интересного.
Однако, когда полиция взялась за исследование его компьютера (у преступника был Mac), их радости не было предела: на компьютере нашлись сотни тысяч (!) сообщений, о самом существовании которых преступник (теперь уже точно преступник) вовсе не подозревал. Осудить наркоторговца помогла новинка (на тот момент) от Apple — система Continuity, которая синхронизировала сообщения iMessage между всеми устройствами, зарегистрированными в одной учетной записи.
К слову, докладчик жаловался, что все существовавшие на тот момент программы для анализа баз данных iMessage не справлялись с таким количеством сообщений и попросту падали; полиции пришлось писать собственную утилиту для парсинга разбухшей БД.
Мораль? Морали здесь нет: если ты не специалист в IT, знать о подобных моментах невозможно.
Переименование файлов.
Еще одна наивная попытка спрятать улики — переименование файлов. Как бы просто это ни звучало, переименование, к примеру, зашифрованной базы данных какого-нибудь защищенного мессенджера во что-то вроде C:\Windows\System32\oobe\en-US\audit.mui вполне в состоянии пройти мимо внимательного взгляда эксперта. Действительно, в каталогах Windows хранятся тысячи файлов; найти среди них что-то необычное (особенно если оно не выделяется размерами) — задача, ручным трудом не решаемая.
Каким образом ищут такие файлы?
Наивному обывателю простительно не знать о существовании целого класса специализированных программ, предназначенных именно для поиска подобных файлов на дисках (и образах дисков) подозреваемых.
- Используется отнюдь не только поиск по имени файла; применяется комплексный подход, когда анализируются следы (например, в реестре Windows) установленных приложений, после чего отслеживаются пути к файлам, к которым получали доступ эти приложения.
- Другой популярный способ поиска переименованных файлов — так называемый карвинг, или сквозной поиск по содержимому. В точности такой же подход, иначе известный как «поиск по сигнатурам», использовался с начала времен абсолютно во всех антивирусных программах.
При помощи карвинга можно проанализировать как содержимое файлов на диске, так и содержимое самого диска (или только занятых областей) на низком уровне.
Стоит ли переименовывать файлы? Это — очередная хитрость «Неуловимого Джо», способная защитить лишь от очень ленивого следователя.
Удаление файлов.
Не уверен, насколько «наивно» на сегодняшний день пытаться скрыть улики, удаляя файлы. Дело в том, что файлы, удаленные с обычных жестких дисков, как правило, довольно легко восстанавливаются при помощи уже хорошо знакомого сигнатурного поиска: диск сканируется поблочно (сейчас нас интересуют фрагменты, не занятые существующими файлами и прочими структурами файловой системы), каждый прочитанный блок данных анализируется на соответствие ряду критериев (является ли он заголовком файла определенного формата, частью текстового файла и так далее). При помощи такого сканирования, выполняемого, к слову, в полностью автоматическом режиме, вероятность успешного (хотя бы частичного) восстановления удаленных файлов достаточно велика.
Криминалистическое ПО (на скриншоте ниже — Belkasoft Evidence Center) умеет восстанавливать удаленные данные, такие, например, как чаты скайпа, с помощью глубокого анализа баз SQLite.
Казалось бы, удаление файлов — классическая «наивная» попытка спрятать улики. Но только не когда файлы удаляются с SSD-дисков.
Здесь нужно рассказать чуть подробнее о том, как работает удаление (и последующее чтение) данных на SSD. Наверняка ты слышал о существовании «сборщика мусора» и функции TRIM, позволяющих современным SSD поддерживать высокую производительность при записи (и особенно — перезаписи) данных. Команда TRIM подается операционной системой; она сообщает контроллеру SSD, что определенные блоки данных с определенными физическими (на самом деле нет) адресами освобождены и более не используются.
Задача контроллера теперь — очистить (произвести стирание данных) указанные блоки, подготовив их таким образом для того, чтобы в них можно было быстро записать новую информацию.
Но стирание данных — процесс очень медленный, и происходит он в фоновом режиме, когда нагрузка на диск падает. А если сразу после команды TRIM поступает команда записи в тот самый «физический» блок? В этом случае контроллер мгновенно подменяет такой блок пустым, просто модифицировав значение в таблице переадресации. А тот блок, который предназначен для стирания, получает другой «физический» адрес или вовсе помещается в неадресуемый пул из резервной области.
Вопрос на засыпку: а если контроллер не успел физически стереть данные из TRIM’нутых блоков, сможет ли сигнатурный поиск найти что-либо в свободных областях SSD?
Правильный ответ: в большинстве случаев при попытке считать данные из блока, на который поступила команда TRIM, контроллер выдаст либо нули, либо другую последовательность данных, ничего общего не имеющую с реальным содержимым блока. Связано это с особенностями реализации в современных SSD протоколов, в которых четко определяется поведение контроллера при попытке считать блок после команды TRIM. Значений здесь всего три: Undefined (контроллер вернет реальное содержимое блока; в современных SSD практически не встречается), DRAT (Determined Read After Trim, или фиксированные данные после Trim; в потребительских моделях встречается чаще всего) и DZAT (Determined Zeroes After Trim, или всегда возвращать нули после команды Trim; часто встречается в моделях, предназначенных для работы в составе RAID, NAS и в серверных сценариях).
Таким образом, в подавляющем большинстве случаев контроллер вернет нам данные, не имеющие ничего общего с реальным содержимым накопителя.
Восстановить удаленные файлы с SSD в большинстве случаев не удастся даже спустя секунды после их удаления.
Хранение данных в облаке.
Данные — в облаке? Ты скажешь, что настолько глупых преступников уже не осталось, и будешь не прав. Пользователи с завидным постоянством забывают отключить то iCloud Photo Library, то синхронизацию OneDrive или Google Drive, а то и более экзотические виды синхронизации — например, настройку (которой, кстати, в iOS вовсе нет; может, поэтому забывают?), благодаря которой информация о звонках с iPhone (как по телефону, так и через FaceTime) сразу попадает на серверы Apple.
Пожалуй, здесь мне нечего добавить, кроме того, что данные из облака компании выдают полиции без особого сопротивления.
Использование внешних накопителей.
Использование зашифрованных флешек для хранения информации, связанной с нелегальной деятельностью, кажется преступникам гениальной идеей. Казалось бы, ничего не нужно удалять — достаточно выдернуть флешку из компьютера, и доступ к данным не получит никто и никогда (если защита стойкая). Именно так рассуждают наивные преступники.
Почему «наивные»?
Дело в том, что большинство простых пользователей не имеет представления о «хвостах», которые остаются после практически любых манипуляций с USB-устройствами.
Так, однажды расследовался случай с распространением детской порнографии.
Преступники использовали исключительно внешние накопители (обычные флешки); на дисках не хранилось ничего.
Преступники не учли сразу два момента. Первый: информация о подключении USB-устройств сохраняется в реестре Windows; если ее не удалять, то хранится она там очень и очень долго. И второй момент: если для доступа к изображениям пользоваться встроенным в Windows проводником, то автоматически создаются (и сохраняются!) уменьшенные превью фотографий (thumbnails), обычно по адресу %LocalAppData%\Microsoft\Windows\Explorer\. Проанализировав уменьшенные изображения и сопоставив идентификаторы USB-устройств с конфискованными, следствию удалось доказать причастность обвиняемых к инкриминируемому преступлению.
А что же с шифрованием? И здесь не все очевидно.
Во-первых, существуют специализированные приложения, позволяющие создать дамп оперативной памяти компьютера и извлечь из него криптографические ключи, использующиеся для доступа к зашифрованным томам (в частности, к популярному среди наивных преступников BitLocker To Go). Пример такой программы — Elcomsoft Forensic Disk Decryptor, при помощи которой можно проанализировать дамп в полностью автоматическом режиме. А создать образ оперативной памяти можно при помощи бесплатной утилиты Belkasoft RAM Capturer.
Во-вторых, ни для кого не секрет, что многие криптоконтейнеры автоматически депонируют ключи шифрования в облако. И если Apple при активации FileVault 2 несколько раз уведомит пользователя о том, что восстановление доступа к разделу будет возможно через iCloud, то Microsoft при шифровании тома с использованием BitLocker Device Protection просто молча создает депонированный ключ в учетной записи пользователя Microsoft Account. Ключи эти доступны непосредственно на странице аккаунта пользователя.
Как получить доступ к учетной записи? Если в компьютере настроен логин при помощи Microsoft Account (а не локальной учетной записи Windows), то офлайновая атака прямым перебором может восстановить пароль, который — сюрприз! — будет совпадать с паролем от онлайновой учетной записи Microsoft Account.
Вместо заключения. Вложенные криптоконтейнеры с аппаратным ключом
Казалось бы, непробиваемая защита. Пионер Вася может хихикать и потирать ручки, уверенный, что уж теперь-то его данные в полной безопасности.
Теоретически — да. Практически… практически — есть тонкости юридического плана.
И вот яркий пример.
Обвиняемый в скачивании и хранении детской порнографии находится в заключении в американской тюрьме вот уже два с лишним года. Официальное обвинение — отказ подозреваемого выдать пароли от зашифрованных внешних хранилищ (NAS), где, по мнению суда, хранится детская порнография.
Хранится она там или нет — неизвестно; соответствующего содержимого у обвиняемого найдено не было. Но обвинение очень серьезное, а здесь можно и пожертвовать такими мелочами, как презумпция невиновности и право не свидетельствовать против самого себя. Так что обвиняемый сидит и будет сидеть до тех пор, пока не раскроет пароли или не умрет от старости или иных причин.
Не так давно правозащитники подали апелляцию, в которой указывалось, что по закону по данной статье (отказ от сотрудничества со следствием) максимальный срок заключения — 18 месяцев. Апелляция была отклонена судом несмотря на то, что судья признал аргументы адвоката «интересными и разносторонними». Обвинение посерьезнее — и судьи закроют глаза на что угодно, включая писаные законы.
Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в Росиии!
Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.
Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.