Наивные преступники. Как обыватели прячут цифровые улики

Наивные преступники. Как обыватели прячут цифровые улики

Chipollino Onion Club

Большинство преступников — далеко не профессионалы, поэтому и используемые ими способы сокрытия данных наивны. И тем не менее эти способы в массе своей срабатывают — просто потому, что у следователя может не быть времени или достаточной квалификации для того, чтобы провести качественный анализ. Какие же способы используют среднестатистический Джон и среднестатистическая Мэри, чтобы сокрыть улики? Набор уловок невелик, а сами уловки достаточно бесхитростны.

В один прекрасный день я настраивал вложенный криптоконтейнер, защищенный аппаратным криптоключом, и пытался понять, как можно добраться до информации, если ключ выдернули из компьютера. В голове все более четко формировался ответ: никак. В этот самый момент меня попросили прокомментировать документ — по сути, руководство полицейских экспертов по поиску цифровых улик. Документ привел меня в такой восторг, что, не спросив официального разрешения от его авторов, я решил написать на его основе статью. Вложенные криптоконтейнеры вместе с аппаратным криптоключом отправились в сторону, а я сел изучать методы, которыми, по словам полицейских, большинство подследственных пытаются заметать следы и скрывать улики.

Перемещение данных в другую папку

Нет, сейчас мы обсуждаем не «сокрытие» коллекции порнографических картинок в папке «Курсовые по сопромату». Мы обсуждаем наивный, но достаточно действенный способ спрятать улики, просто переместив определенные данные в другое место на диске.


Что это, очевидная глупость или запредельное простодушие? Каким бы наивным ни казался этот способ, он вполне может сработать для редких и экзотических данных — таких как jump lists (кстати, а знаешь ли ты, что это такое?) или база данных мессенджера WhatsApp. У эксперта может просто не найтись времени или достаточной целеустремленности, чтобы обшаривать весь компьютер в поисках базы данных от… а от чего, собственно? Программ для мгновенного обмена сообщениями существует сотни, если не тысячи; поди пойми, какой из них пользовался преступник. И, заметь, у каждого приложения сугубо собственные пути к файлам, имена и даже свои форматы баз данных. Искать их вручную на компьютере с десятками тысяч папок и сотнями тысяч файлов — занятие бесперспективное.

Очевидно, что такой способ сокрытия улик сработает, исключительно если расследуются преступления, не связанные с информационной безопасностью. У следователя может не возникнуть вопросов по поводу содержимого жесткого диска подозреваемого, и его анализ превратится в формальность. В таких и только таких случаях метод — назовем его «методом Неуловимого Джо» — может сработать.

 

Использование «безопасных» методов коммуникации

Этот пункт вызвал у меня особое восхищение. Современные преступники, как ни странно, неплохо ориентируются в вопросах безопасности. Они довольно хорошо представляют, каким образом передаются сообщения между участниками чата, где они сохраняются и как их удалять.

В документе подробно описываются возможности, которыми может воспользоваться следствие для того, чтобы все-таки получить доступ к чатам. Здесь и исследование областей freelist баз данных в формате SQLite, и официальные запросы к производителям мессенджеров (например, Microsoft без лишних вопросов отдаст следствию логи бесед в Skype — ведь хранятся они на серверах компании), и даже запросы к производителям смартфонов (здесь вспоминается история, в которой компания BlackBerry помогла канадской полиции локализовать банду наркоторговцев, решивших воспользоваться фирменным мессенджером компании на старой платформе BlackBerry OS).

В этой связи на ум приходит курьезный случай, о котором я услышал на полицейском мероприятии. Американская полиция задержала человека, подозревавшегося в наркоторговле в особо крупных размерах. Подозреваемый был неплохо подкован технически и в качестве единственного метода общения выбрал Apple iMessage. Сообщения iMessage не сохраняются на серверах Apple, а подозреваемый тщательно очищал историю переписки после каждой сессии. В резервной копии его iPhone не обнаружилось ничего интересного.

Однако, когда полиция взялась за исследование его компьютера (у преступника был Mac), их радости не было предела: на компьютере нашлись сотни тысяч (!) сообщений, о самом существовании которых преступник (теперь уже точно преступник) вовсе не подозревал. Осудить наркоторговца помогла новинка (на тот момент) от Apple — система Continuity, которая синхронизировала сообщения iMessage между всеми устройствами, зарегистрированными в одной учетной записи.

К слову, докладчик жаловался, что все существовавшие на тот момент программы для анализа баз данных iMessage не справлялись с таким количеством сообщений и попросту падали; полиции пришлось писать собственную утилиту для парсинга разбухшей БД.

Мораль? Морали здесь нет: если ты не специалист в IT, знать о подобных моментах невозможно.


Переименование файлов

Еще одна наивная попытка спрятать улики — переименование файлов. Как бы просто это ни звучало, переименование, к примеру, зашифрованной базы данных какого-нибудь защищенного мессенджера во что-то вроде C:\Windows\System32\oobe\en-US\audit.mui вполне в состоянии пройти мимо внимательного взгляда эксперта. Действительно, в каталогах Windows хранятся тысячи файлов; найти среди них что-то необычное (особенно если оно не выделяется размерами) — задача, ручным трудом не решаемая.

Каким образом ищут такие файлы? Наивному обывателю простительно не знать о существовании целого класса специализированных программ, предназначенных именно для поиска подобных файлов на дисках (и образах дисков) подозреваемых. Используется отнюдь не только поиск по имени файла; применяется комплексный подход, когда анализируются следы (например, в реестре Windows) установленных приложений, после чего отслеживаются пути к файлам, к которым получали доступ эти приложения.

Другой популярный способ поиска переименованных файлов — так называемый карвинг, или сквозной поиск по содержимому. В точности такой же подход, иначе известный как «поиск по сигнатурам», использовался с начала времен абсолютно во всех антивирусных программах. При помощи карвинга можно проанализировать как содержимое файлов на диске, так и содержимое самого диска (или только занятых областей) на низком уровне.

Стоит ли переименовывать файлы? Это — очередная хитрость «Неуловимого Джо», способная защитить лишь от очень ленивого следователя.

 

Удаление файлов

Не уверен, насколько «наивно» на сегодняшний день пытаться скрыть улики, удаляя файлы. Дело в том, что файлы, удаленные с обычных жестких дисков, как правило, довольно легко восстанавливаются при помощи уже хорошо знакомого сигнатурного поиска: диск сканируется поблочно (сейчас нас интересуют фрагменты, не занятые существующими файлами и прочими структурами файловой системы), каждый прочитанный блок данных анализируется на соответствие ряду критериев (является ли он заголовком файла определенного формата, частью текстового файла и так далее). При помощи такого сканирования, выполняемого, к слову, в полностью автоматическом режиме, вероятность успешного (хотя бы частичного) восстановления удаленных файлов достаточно велика.

Криминалистическое ПО (на скриншоте — Belkasoft Evidence Center) умеет восстанавливать удаленные данные, такие, например, как чаты скайпа, с помощью глубокого анализа баз SQLite

Казалось бы, удаление файлов — классическая «наивная» попытка спрятать улики. Но только не когда файлы удаляются с SSD-дисков.

Здесь нужно рассказать чуть подробнее о том, как работает удаление (и последующее чтение) данных на SSD. Наверняка ты слышал о существовании «сборщика мусора» и функции TRIM, позволяющих современным SSD поддерживать высокую производительность при записи (и особенно — перезаписи) данных. Команда TRIM подается операционной системой; она сообщает контроллеру SSD, что определенные блоки данных с определенными физическими (на самом деле нет) адресами освобождены и более не используются.

Задача контроллера теперь — очистить (произвести стирание данных) указанные блоки, подготовив их таким образом для того, чтобы в них можно было быстро записать новую информацию.

Но стирание данных — процесс очень медленный, и происходит он в фоновом режиме, когда нагрузка на диск падает. А если сразу после команды TRIM поступает команда записи в тот самый «физический» блок? В этом случае контроллер мгновенно подменяет такой блок пустым, просто модифицировав значение в таблице переадресации. А тот блок, который предназначен для стирания, получает другой «физический» адрес или вовсе помещается в неадресуемый пул из резервной области.

Вопрос на засыпку: а если контроллер не успел физически стереть данные из TRIM’нутых блоков, сможет ли сигнатурный поиск найти что-либо в свободных областях SSD?

Правильный ответ: в большинстве случаев при попытке считать данные из блока, на который поступила команда TRIM, контроллер выдаст либо нули, либо другую последовательность данных, ничего общего не имеющую с реальным содержимым блока. Связано это с особенностями реализации в современных SSD протоколов, в которых четко определяется поведение контроллера при попытке считать блок после команды TRIM. Значений здесь всего три: Undefined (контроллер вернет реальное содержимое блока; в современных SSD практически не встречается), DRAT (Determined Read After Trim, или фиксированные данные после Trim; в потребительских моделях встречается чаще всего) и DZAT (Determined Zeroes After Trim, или всегда возвращать нули после команды Trim; часто встречается в моделях, предназначенных для работы в составе RAID, NAS и в серверных сценариях).

Таким образом, в подавляющем большинстве случаев контроллер вернет нам данные, не имеющие ничего общего с реальным содержимым накопителя. Восстановить удаленные файлы с SSD в большинстве случаев не удастся даже спустя секунды после их удаления.


Хранение данных в облаке

Данные — в облаке? Ты скажешь, что настолько глупых преступников уже не осталось, и будешь не прав. Пользователи с завидным постоянством забывают отключить то iCloud Photo Library, то синхронизацию OneDrive или Google Drive, а то и более экзотические виды синхронизации — например, настройку (которой, кстати, в iOS вовсе нет; может, поэтому забывают?), благодаря которой информация о звонках с iPhone (как по телефону, так и через FaceTime) сразу попадает на серверы Apple. Примеры с «забытым» режимом Continuity и мессенджером BlackBerry я уже приводил.

Пожалуй, здесь мне нечего добавить, кроме того, что данные из облака компании выдают полиции без особого сопротивления.


Использование внешних накопителей

Использование зашифрованных флешек для хранения информации, связанной с нелегальной деятельностью, кажется преступникам гениальной идеей. Казалось бы, ничего не нужно удалять — достаточно выдернуть флешку из компьютера, и доступ к данным не получит никто и никогда (если защита стойкая). Именно так рассуждают наивные преступники.

Почему «наивные»? Дело в том, что большинство простых пользователей не имеет представления о «хвостах», которые остаются после практически любых манипуляций с USB-устройствами. Так, однажды расследовался случай с распространением детской порнографии. Преступники использовали исключительно внешние накопители (обычные флешки); на дисках не хранилось ничего.

Преступники не учли сразу два момента. Первый: информация о подключении USB-устройств сохраняется в реестре Windows; если ее не удалять, то хранится она там очень и очень долго. И второй момент: если для доступа к изображениям пользоваться встроенным в Windows проводником, то автоматически создаются (и сохраняются!) уменьшенные превью фотографий (thumbnails), обычно по адресу %LocalAppData%\Microsoft\Windows\Explorer\. Проанализировав уменьшенные изображения и сопоставив идентификаторы USB-устройств с конфискованными, следствию удалось доказать причастность обвиняемых к инкриминируемому преступлению.

А что же с шифрованием? И здесь не все очевидно. Во-первых, существуют специализированные приложения, позволяющие создать дамп оперативной памяти компьютера и извлечь из него криптографические ключи, использующиеся для доступа к зашифрованным томам (в частности, к популярному среди наивных преступников BitLocker To Go). Пример такой программы — Elcomsoft Forensic Disk Decryptor, при помощи которой можно проанализировать дамп в полностью автоматическом режиме. А создать образ оперативной памяти можно при помощи бесплатной утилиты Belkasoft RAM Capturer.

Belkasoft RAM Capturer

Во-вторых, ни для кого не секрет, что многие криптоконтейнеры автоматически депонируют ключи шифрования в облако. И если Apple при активации FileVault 2 несколько раз уведомит пользователя о том, что восстановление доступа к разделу будет возможно через iCloud, то Microsoft при шифровании тома с использованием BitLocker Device Protection просто молча создает депонированный ключ в учетной записи пользователя Microsoft Account. Ключи эти доступны непосредственно на странице аккаунта пользователя.

Как получить доступ к учетной записи? Если в компьютере настроен логин при помощи Microsoft Account (а не локальной учетной записи Windows), то офлайновая атака прямым перебором может восстановить пароль, который — сюрприз! — будет совпадать с паролем от онлайновой учетной записи Microsoft Account.

Вместо заключения. Вложенные криптоконтейнеры с аппаратным ключом

Казалось бы, непробиваемая защита. Пионер Вася может хихикать и потирать ручки, уверенный, что уж теперь-то его данные в полной безопасности.

Теоретически — да. Практически… практически — есть тонкости юридического плана. И вот яркий пример.

Обвиняемый в скачивании и хранении детской порнографии находится в заключении в американской тюрьме вот уже два с лишним года. Официальное обвинение — отказ подозреваемого выдать пароли от зашифрованных внешних хранилищ (NAS), где, по мнению суда, хранится детская порнография.

Хранится она там или нет — неизвестно; соответствующего содержимого у обвиняемого найдено не было. Но обвинение очень серьезное, а здесь можно и пожертвовать такими мелочами, как презумпция невиновности и право не свидетельствовать против самого себя. Так что обвиняемый сидит и будет сидеть до тех пор, пока не раскроет пароли или не умрет от старости или иных причин.

Не так давно правозащитники подали апелляцию, в которой указывалось, что по закону по данной статье (отказ от сотрудничества со следствием) максимальный срок заключения — 18 месяцев. Апелляция была отклонена судом несмотря на то, что судья признал аргументы адвоката «интересными и разносторонними». Обвинение посерьезнее — и судьи закроют глаза на что угодно, включая писаные законы.


Источник: https://xakep.ru/2017/12/22/naive-criminals/


Chipollino Onion Club


Наши другие каналы