Контр-форензика
Контр-форензика - LiveJournal.com
Обновлено: 17 секунд назад
Традиции компьютерной криминалистики
Компьютерная криминалистика в России все еще выходит из зачаточного состояния, но уже сегодня в ее рамках закрепились различные традиции: хорошие и не совсем.
Вот некоторые правила-традиции, согласно которым работают (не все) специалисты по расследованию инцидентов и судебные эксперты при проведении криминалистических исследований компьютерной информации:
1) Стендовый компьютер (т.е. компьютер, с использованием которого производится исследование) не должен подключаться к сети Интернет;
2) Исследовать необходимо копию компьютерного носителя информации, а не оригинал;
3) При работе с компьютерными носителями информации необходимо использовать аппаратный блокиратор записи.
На мой взгляд, эти правила не являются абсолютными: их можно соблюдать для обеспечения высокого уровня безопасности, от них можно отходить в сторону удобства. Пойдем по списку:
Стендовый компьютер не должен подключаться к сети Интернет
Аргументы "за":
Программное обеспечение стендового компьютера содержит уязвимости, которые могут привести к получению злоумышленником доступа к исследуемым данным, отчетам и другой информации (иногда: с возможностью изменения);
Подключение стендового компьютера к сети Интернет может раскрыть факт (и место) проведения криминалистического исследования (например, после открытия офисного документа с объектами, загружаемыми из сети);
Автоматическая загрузка онлайн-контента в офисных документах может негативно сказаться на результатах исследования, если это не будет замечено экспертом (специалистом) – отображаемое содержимое документа может меняться;
Нет доступа в сеть Интернет – есть защита от дурака.
Аргумент "против":
Существующие методы и средства защиты информации позволяют снизить риск компрометации стендового компьютера (и, следовательно, исследуемых данных) до низкого уровня. Иными словами, эксперт не дурак и знает, как организовать защиту исследуемой информации.
Вывод: правило актуально при проведении исследований с особыми требованиями к обеспечению скрытности или конфиденциальности.
Исследовать необходимо копию компьютерного носителя информации, а не оригинал
Аргументы "за":
При исследовании копии компьютерного носителя информации обеспечивается целостность (неизменность) оригинала;
Целесообразно минимизировать количество отправляемых команд на исследуемые поврежденные компьютерные носители информации.
Аргументы "против":
Исследование оригинального компьютерного носителя информации: а) проще; б) быстрее;
Современные блокираторы записи (как аппаратные, так и программные) позволяют исследовать содержимое дисков без каких-либо изменений (за исключением изменений, связанных с особенностями работы самого носителя информации).
Вывод: данное правило является больше традицией, чем реальной необходимостью – цель (обеспечение целостности данных) может быть достигнута и без клонирования компьютерных носителей информации в большинстве случаев; обязательное исследование копий оправдано только для поврежденных дисков.
При работе с компьютерными носителями информации необходимо использовать аппаратный блокиратор записи
В компьютерной криминалистике можно выделить три варианта безопасного подключения носителей информации: с использованием аппаратного блокиратора записи; с использованием программного блокиратора записи; с использованием операционной системы, которая не отправляет каких-либо команд записи (т.е. в этом случае блокировать нечего).
Аргументы "за":
Аппаратные блокираторы записи тестируют в независимых организациях (и для некоторых получают отличные результаты). С программными средствами все не так просто – большое количество программ, предназначенных для безопасной ("криминалистически правильной") работы с дисками, не тестируются правильным образом;
Аппаратные блокираторы записи защищены от программного воздействия (невозможно отключить блокировку записи программно с помощью эксплоита).
Основной аргумент "против": цена. Другие причины отказа от их использования (в пользу специализированных Live CD) – сложности извлечения НЖМД из некоторых компьютеров (еще), некоторые экзотические конфигурации RAID и т.п.
Как и в предыдущем случае, цель (обеспечение целостности данных) может быть достигнута и без применения блокировки записи за счет загрузки специализированного дистрибутива Linux.
Вывод: использование аппаратного блокиратора записи не является обязательным шагом при наличии специализированного, "криминалистически правильного" программного обеспечения (и головы на плечах :-) ).
Соблюдение данных правил-традиций является хорошим тоном. Но нужно помнить – им есть альтернатива, которая не приводит к более плохим результатам.
Вот некоторые правила-традиции, согласно которым работают (не все) специалисты по расследованию инцидентов и судебные эксперты при проведении криминалистических исследований компьютерной информации:
1) Стендовый компьютер (т.е. компьютер, с использованием которого производится исследование) не должен подключаться к сети Интернет;
2) Исследовать необходимо копию компьютерного носителя информации, а не оригинал;
3) При работе с компьютерными носителями информации необходимо использовать аппаратный блокиратор записи.
На мой взгляд, эти правила не являются абсолютными: их можно соблюдать для обеспечения высокого уровня безопасности, от них можно отходить в сторону удобства. Пойдем по списку:
Стендовый компьютер не должен подключаться к сети Интернет
Аргументы "за":
Аргумент "против":
Вывод: правило актуально при проведении исследований с особыми требованиями к обеспечению скрытности или конфиденциальности.
Исследовать необходимо копию компьютерного носителя информации, а не оригинал
Аргументы "за":
Аргументы "против":
Вывод: данное правило является больше традицией, чем реальной необходимостью – цель (обеспечение целостности данных) может быть достигнута и без клонирования компьютерных носителей информации в большинстве случаев; обязательное исследование копий оправдано только для поврежденных дисков.
При работе с компьютерными носителями информации необходимо использовать аппаратный блокиратор записи
В компьютерной криминалистике можно выделить три варианта безопасного подключения носителей информации: с использованием аппаратного блокиратора записи; с использованием программного блокиратора записи; с использованием операционной системы, которая не отправляет каких-либо команд записи (т.е. в этом случае блокировать нечего).
Аргументы "за":
Основной аргумент "против": цена. Другие причины отказа от их использования (в пользу специализированных Live CD) – сложности извлечения НЖМД из некоторых компьютеров (еще), некоторые экзотические конфигурации RAID и т.п.
Как и в предыдущем случае, цель (обеспечение целостности данных) может быть достигнута и без применения блокировки записи за счет загрузки специализированного дистрибутива Linux.
Вывод: использование аппаратного блокиратора записи не является обязательным шагом при наличии специализированного, "криминалистически правильного" программного обеспечения (и головы на плечах :-) ).
Соблюдение данных правил-традиций является хорошим тоном. Но нужно помнить – им есть альтернатива, которая не приводит к более плохим результатам.
Категории: Все записи
Качественное расследование инцидентов
Противодействие компьютерным преступлениям отстает от способов их совершения. С технической точки зрения, идеальные компьютерные преступления существуют. Это надо признать, с этим надо бороться.
Как можно повысить качество расследований? К техническим способам можно отнести увеличение числа используемых источников криминалистически значимой информации, к которым принято относить:
а) Энергонезависимые компьютерные носители информации (НЖМД, носители USB Flash и т.п.);
б) Энергозависимые компьютерные носители информации (ОЗУ);
в) Лог-файлы сетевого оборудования (IDS, DLP-систем и др.);
г) Сетевой трафик.
Полное использование всех этих источников не представляется возможным (по крайней мере, на сегодня):
Создание и исследование копий оперативной памяти – новинка последних лет, которая еще не нашла серьезного и широкого применения (хотя криминалистические средства для подобных исследований уже созданы: The Volatility Framework, windd, EnCase FIM, Live Response и др.). Перехват, запись и исследование сетевого трафика – по различным причинам малопопулярные, но технически проработанные этапы расследования компьютерных инцидентов.
А вот исследование энергонезависимых компьютерных носителей информации и исследование лог-файлов сетевого оборудования можно отнести к "традиционным" способам расследования (для которых разработаны соответствующие методики и более-менее надежное, "криминалистически правильное" ПО).
Помимо увеличения числа источников криминалистически значимой информации требуется уделять особое внимание средствам проведения исследований. Некоторые разрекламированные программные продукты до сих пор не могут использоваться в России из-за плохой поддержки кириллицы, другие продукты (особенно это касается средств комплексного исследования работающих систем) имеют досадные ошибки, которые довольно долго не исправляются. Примеры:
Helix3 Pro: время работы системы (аптайм), определяемый программой, почему-то всегда совпадает с текущим системным временем.
The Sleuth Kit в течение года имел баг, делающий невозможным исследование больших файловых систем FAT.
Безусловно, особое внимание нужно уделять проблемам обучения: голова – самый важный инструмент, используемый при расследовании инцидентов и проведении экспертиз. Но этот пункт уже не для данного блога :-)
Как можно повысить качество расследований? К техническим способам можно отнести увеличение числа используемых источников криминалистически значимой информации, к которым принято относить:
а) Энергонезависимые компьютерные носители информации (НЖМД, носители USB Flash и т.п.);
б) Энергозависимые компьютерные носители информации (ОЗУ);
в) Лог-файлы сетевого оборудования (IDS, DLP-систем и др.);
г) Сетевой трафик.
Полное использование всех этих источников не представляется возможным (по крайней мере, на сегодня):
Создание и исследование копий оперативной памяти – новинка последних лет, которая еще не нашла серьезного и широкого применения (хотя криминалистические средства для подобных исследований уже созданы: The Volatility Framework, windd, EnCase FIM, Live Response и др.). Перехват, запись и исследование сетевого трафика – по различным причинам малопопулярные, но технически проработанные этапы расследования компьютерных инцидентов.
А вот исследование энергонезависимых компьютерных носителей информации и исследование лог-файлов сетевого оборудования можно отнести к "традиционным" способам расследования (для которых разработаны соответствующие методики и более-менее надежное, "криминалистически правильное" ПО).
Помимо увеличения числа источников криминалистически значимой информации требуется уделять особое внимание средствам проведения исследований. Некоторые разрекламированные программные продукты до сих пор не могут использоваться в России из-за плохой поддержки кириллицы, другие продукты (особенно это касается средств комплексного исследования работающих систем) имеют досадные ошибки, которые довольно долго не исправляются. Примеры:
Helix3 Pro: время работы системы (аптайм), определяемый программой, почему-то всегда совпадает с текущим системным временем.
The Sleuth Kit в течение года имел баг, делающий невозможным исследование больших файловых систем FAT.
Безусловно, особое внимание нужно уделять проблемам обучения: голова – самый важный инструмент, используемый при расследовании инцидентов и проведении экспертиз. Но этот пункт уже не для данного блога :-)
Категории: Все записи
Фальсификация цифровых доказательств
Возможна ли фальсификация доказательств в виде компьютерной информации? Да, ничего не мешает плохому эксперту записать на исследуемый диск пару программ "с признаками контрафактности", архив с ДП, ну или лог-файл с нужным IP-адресом.
К сожалению, не существует каких-либо технических методов противодействия подобным предательским экспертизам: блокираторы записи предназначены для защиты исследуемых данных от случайных, ошибочных изменений и их использование не является обязательным; подсчет и проверка хеш-значений для данных всего диска грозит правовыми последствиями в случаях, когда особенности носителя информации приводят к изменениям данных (например, выравнивание изнашивания данных с использованием свободного пространства файловых систем).
Единственный способ эффективного противодействия — сочетание технических и правовых мер. Для поиска файлов, скопированных в систему после изъятия носителя информации, можно использовать временные метки создания (C — create), изменения (M — modify) и доступа (A — access) объектов файловой системы, которые отнюдь не просто изменить (фальсифицировать). Разумеется, временными метками MAC возможности по обнаружению фальсифицированных данных не ограничиваются — грамотным судебным экспертам известны и другие следы, возникающие при "подбрасывании" в систему каких-либо файлов, например, временная метка последней записи данных в файловой системе Ext3.
Проблема, которая возникает при поиске фальсифицированных доказательств, заключается в том, что ряд признаков (следов) позволяет определить только факт записи на носитель данных после изъятия; эти признаки могут стать отправной точкой дальнейшего исследования системы. Однако, другая причина записи данных на исследуемые носители информации — неприемлемые методы исследования цифровых доказательств, которые далеко не всегда связаны с фальсификацией данных. Следовательно, любой поиск признаков фальсификации доказательств нужно проводить тщательно, без права на ошибку: что случится, если изменения метаданных файла X при работе без блокиратора записи будут расценены как верный признак фальсификации содержимого этого файла?
Данная проблема является еще одной причиной перехода на корректные, приемлемые методы и средства исследования компьютерных носителей информации.
Вторая проблема заключается в том, что эксперт-злоумышленник (как лицо, обладающее специальными знаниями) может учесть все особенности следообразования в различных операционных системах (подобные особенности описаны на специализированных Интернет-ресурсах). Как этого избежать? Можно создавать большие списки хеш-значений для файлов в занятом пространстве файловой системы (вероятность изменения этой области данных из-за особенностей носителя информации очень мала), что не исключает появление фальсифицированных удаленных файлов; можно создавать хеш-значения для данных свободного пространства файловых систем на изъятом диске по блокам малого размера (если хеш-значения для определенного блока не совпадают при проведении экспертизы, то этот блок игнорируется, т.е. его содержимое не используется в качестве доказательства).
В любом случае, более-менее эффективные методы обнаружения фальсифицированных данных уже существуют и применяются — простое копирование файлов на исследуемый диск можно обнаружить и доказать (даже при условии успешного изменения соответствующих временных меток файловой системы). Поводов для паники нет.
К сожалению, не существует каких-либо технических методов противодействия подобным предательским экспертизам: блокираторы записи предназначены для защиты исследуемых данных от случайных, ошибочных изменений и их использование не является обязательным; подсчет и проверка хеш-значений для данных всего диска грозит правовыми последствиями в случаях, когда особенности носителя информации приводят к изменениям данных (например, выравнивание изнашивания данных с использованием свободного пространства файловых систем).
Единственный способ эффективного противодействия — сочетание технических и правовых мер. Для поиска файлов, скопированных в систему после изъятия носителя информации, можно использовать временные метки создания (C — create), изменения (M — modify) и доступа (A — access) объектов файловой системы, которые отнюдь не просто изменить (фальсифицировать). Разумеется, временными метками MAC возможности по обнаружению фальсифицированных данных не ограничиваются — грамотным судебным экспертам известны и другие следы, возникающие при "подбрасывании" в систему каких-либо файлов, например, временная метка последней записи данных в файловой системе Ext3.
Проблема, которая возникает при поиске фальсифицированных доказательств, заключается в том, что ряд признаков (следов) позволяет определить только факт записи на носитель данных после изъятия; эти признаки могут стать отправной точкой дальнейшего исследования системы. Однако, другая причина записи данных на исследуемые носители информации — неприемлемые методы исследования цифровых доказательств, которые далеко не всегда связаны с фальсификацией данных. Следовательно, любой поиск признаков фальсификации доказательств нужно проводить тщательно, без права на ошибку: что случится, если изменения метаданных файла X при работе без блокиратора записи будут расценены как верный признак фальсификации содержимого этого файла?
Данная проблема является еще одной причиной перехода на корректные, приемлемые методы и средства исследования компьютерных носителей информации.
Вторая проблема заключается в том, что эксперт-злоумышленник (как лицо, обладающее специальными знаниями) может учесть все особенности следообразования в различных операционных системах (подобные особенности описаны на специализированных Интернет-ресурсах). Как этого избежать? Можно создавать большие списки хеш-значений для файлов в занятом пространстве файловой системы (вероятность изменения этой области данных из-за особенностей носителя информации очень мала), что не исключает появление фальсифицированных удаленных файлов; можно создавать хеш-значения для данных свободного пространства файловых систем на изъятом диске по блокам малого размера (если хеш-значения для определенного блока не совпадают при проведении экспертизы, то этот блок игнорируется, т.е. его содержимое не используется в качестве доказательства).
В любом случае, более-менее эффективные методы обнаружения фальсифицированных данных уже существуют и применяются — простое копирование файлов на исследуемый диск можно обнаружить и доказать (даже при условии успешного изменения соответствующих временных меток файловой системы). Поводов для паники нет.
Категории: Все записи
Последние события
Во-первых, в рамках сообщества RISSPA была открыта дискуссионная группа "Расследование инцидентов и компьютерная экспертиза", где будут обсуждаться вопросы и проблемы, связанные с криминалистическим исследованием компьютерной информации (например, такие).
Во-вторых, в рамках проекта "Контр-форензика" теперь доступна моя работа Противодействие криминалистическому исследованию сетевого трафика и носителей информации, которая была в стадии "вот-вот будет готово" более полугода ;-) К сожалению, данную работу пока не планируется публиковать в каких-либо специализированных журналах.
Во-вторых, в рамках проекта "Контр-форензика" теперь доступна моя работа Противодействие криминалистическому исследованию сетевого трафика и носителей информации, которая была в стадии "вот-вот будет готово" более полугода ;-) К сожалению, данную работу пока не планируется публиковать в каких-либо специализированных журналах.
Категории: Все записи
История об анонимном VPN-сервисе
Существует в Интернете один VPN-сервис, название которого я упоминать не буду. Данный сервис, казалось бы, мало чем отличается от ряда других: на веб-сайте написано, что логи не ведутся, данные клиентов не сохраняются и т.д. Но у этого сервиса было одно преимущество, которое затем превратилось в серьезный недостаток — у клиентов была возможность зайти на любой VPN-сервер по SSH и проверить, есть ли на сервере логи каких-либо подключений. Разумеется, все "лишние" команды (netstat, nano) были недоступны.
Надеюсь, читатель уже понимает, как расширилась модель угроз анонимности для данного сервиса :-)
А если нет, то вот "подсказка", которая позволила получить список всех TCP-клиентов сервера:
while read line; do echo -e "$line \n"; done </proc/net/tcp
Разумеется, мое исследование наиболее популярных VPN-сервисов, рекламируемых на хакерских форумах, на этом не закончилось — следите за обновлениями.
Надеюсь, читатель уже понимает, как расширилась модель угроз анонимности для данного сервиса :-)
А если нет, то вот "подсказка", которая позволила получить список всех TCP-клиентов сервера:
while read line; do echo -e "$line \n"; done </proc/net/tcp
Разумеется, мое исследование наиболее популярных VPN-сервисов, рекламируемых на хакерских форумах, на этом не закончилось — следите за обновлениями.
Категории: Все записи
Семинар RISSPA: "практические аспекты расследования инцидентов"
14 апреля 2010 года состоялся семинар сообщества RISSPA, посвященный практическим аспектам расследования инцидентов, где я выступил с докладом об особенностях применения ОС Linux при расследовании компьютерных инцидентов.
Темы докладов коллег:
1) Последние тенденции в развитии киберпреступности. Июнь 2009 – март 2010. Докладчик: Александр Писемский (Group-IB);
2) Исследование вредоносных программ с точки зрения расследования инцидентов. Докладчик: Александр Матросов (ESET);
3) Технологии поиска скрытых программ (руткитов). Докладчик: Алиса Шевченко (eSage Lab).
На мой взгляд, семинар прошел удачно, хотя времени на доклады было выделено мало :)
Официальный отчет о семинаре
Прямая ссылка на слайды к моему докладу (PDF) и ссылка на Tux'а.
Категории: Все записи
Контр-форензика сегодня и завтра
В своей книге "Форензика – компьютерная криминалистика" Н. Н. Федотов утверждает, что противодействие методам поиска, обнаружения и закрепления цифровых доказательств развивается не столь активно, как сама форензика. Основной аргумент в пользу этого высказывания – ограниченность спроса на соответствующие контрметоды. На мой взгляд, это утверждение не соответствует действительности.
Все методы и средства контр-форензики можно разделить на две группы:
1) Методы и средства, предназначенные для направленного противодействия методам и средствам криминалистического исследования компьютерных носителей информации;
2) Методы и средства двойного назначения (например, СКЗИ и средства обеспечения сетевой анонимности).
Средства направленного противодействия не получили широкого распространения в среде киберпреступников из-за отсутствия каких-либо гарантий их успешного применения. Например, любые попытки противодействия запуску исследуемой системы в виртуальной машине окажутся неэффективными, если эксперт решит загрузить копию исследуемой системы на настоящем оборудовании. Скорее всего, ситуация изменится в ближайшем будущем и направленное противодействие криминалистическому исследованию компьютерных носителей информации станет более популярным (предпосылки уже есть).
Средства двойного назначения получили более широкое распространение. На данный момент в арсенале злоумышленников есть множество программ, предназначенных для шифрования файловых систем, и еще больше анонимных VPN-сервисов. Не стоит забывать и о программах, предназначенных для уничтожения (перезаписи) данных на НЖМД и других носителях информации. Большинство подобных средств могут быть использованы для успешного противодействия методам расследования компьютерных инцидентов и преступлений.
Таким образом, противодействие методам поиска, обнаружения и закрепления цифровых доказательств не только активно развивается, но и зачастую опережает текущий уровень развития методов исследования цифровых доказательств (наглядный пример – дисковое шифрование).
Кстати, довольно интересные комментарии к вышеуказанной книге были опубликованы в журнале "Компьютерно-техническая экспертиза" (номер 1 (2) за 2008 год).
Все методы и средства контр-форензики можно разделить на две группы:
1) Методы и средства, предназначенные для направленного противодействия методам и средствам криминалистического исследования компьютерных носителей информации;
2) Методы и средства двойного назначения (например, СКЗИ и средства обеспечения сетевой анонимности).
Средства направленного противодействия не получили широкого распространения в среде киберпреступников из-за отсутствия каких-либо гарантий их успешного применения. Например, любые попытки противодействия запуску исследуемой системы в виртуальной машине окажутся неэффективными, если эксперт решит загрузить копию исследуемой системы на настоящем оборудовании. Скорее всего, ситуация изменится в ближайшем будущем и направленное противодействие криминалистическому исследованию компьютерных носителей информации станет более популярным (предпосылки уже есть).
Средства двойного назначения получили более широкое распространение. На данный момент в арсенале злоумышленников есть множество программ, предназначенных для шифрования файловых систем, и еще больше анонимных VPN-сервисов. Не стоит забывать и о программах, предназначенных для уничтожения (перезаписи) данных на НЖМД и других носителях информации. Большинство подобных средств могут быть использованы для успешного противодействия методам расследования компьютерных инцидентов и преступлений.
Таким образом, противодействие методам поиска, обнаружения и закрепления цифровых доказательств не только активно развивается, но и зачастую опережает текущий уровень развития методов исследования цифровых доказательств (наглядный пример – дисковое шифрование).
Кстати, довольно интересные комментарии к вышеуказанной книге были опубликованы в журнале "Компьютерно-техническая экспертиза" (номер 1 (2) за 2008 год).
Категории: Все записи
Эффективность логических бомб
Логическая бомба — программа, которая запускается при определенных временных или информационных условиях для осуществления вредоносных действий (как правило, несанкционированного доступа к информации, искажения или уничтожения данных).
Источник: Википедия
Логическая бомба — вид программы (иногда признаётся вредоносной), цель которой уничтожить на компьютере, где она установлена, наиболее чувствительные данные; срабатывает при выполнении или при невыполнении заранее определённых условий, например, в заданное время
Источник: forensics.ru
Логические бомбы используются для противодействия криминалистическому исследованию как работающих, так и выключенных систем. Наибольшую эффективность логические бомбы имеют в первом случае, т.к. исследование проводится с использованием "чужого" аппаратного обеспечения в "чужой" программной среде. На данный момент существуют методы и средства противодействия криминалистическому исследованию работающих систем, направленные на обнаружение и блокировку судебных программных продуктов, сокрытие участков оперативной памяти и т.п.
С другой стороны, считается, что логические бомбы неэффективны при их использовании против средств исследования выключенной системы. Так ли это? Думаю, нет.
Какие задачи могут решать злоумышленники с помощью логических бомб, предназначенных для противодействия исследованию выключенной системы? На мой взгляд, их всего три:
1. Уничтожение данных при нарушении методик проведения компьютерных экспертиз (например, при включении исследуемой системы без аппаратной блокировки записи);
1.1. Уничтожение криптографических ключей для противодействия терморектальному криптоанализу (ввод пароля "под принуждением" -> перезапись криптографического ключа -> данные невозможно расшифровать даже при наличии правильного пароля);
2. Уничтожение данных путем эксплуатации ошибок в судебном ПО.
Клонирование компьютерных носителей информации перед любым исследованием и использование аппаратных блокираторов записи решает все проблемы, связанные с возможным уничтожением данных в результате активации логических бомб.
Однако, в экспертной практике возникают ситуации, когда клонировать исследуемый носитель информации не представляется возможным (например, из-за отсутствия у эксперта диска соответствующего объема), а аппаратный блокиратор записи по каким-либо причинам недоступен. В этом случае единственным выходом является исследование оригинального носителя информации с программной блокировкой записи; а программная блокировка записи имеет одну неприятную особенность — ее можно отключить. Следовательно, любая уязвимость, приводящая к выполнению произвольного кода, может быть использована для отключения программной блокировки записи и уничтожения улик.
К сожалению, подобные уязвимости присутствуют в большинстве судебных дистрибутивов Linux; более того, большинство судебных дистрибутивов Linux предоставляют возможность работы в режиме суперпользователя либо сразу после загрузки, либо с использованием команды sudo без ввода каких-либо паролей.
Мой вывод: логические бомбы в определенной степени эффективны при их использовании против методов и средств исследования выключенной системы, даже в случае, если эксперт следует признанным рекомендациям по исследованию цифровых доказательств.
Источник: Википедия
Логическая бомба — вид программы (иногда признаётся вредоносной), цель которой уничтожить на компьютере, где она установлена, наиболее чувствительные данные; срабатывает при выполнении или при невыполнении заранее определённых условий, например, в заданное время
Источник: forensics.ru
Логические бомбы используются для противодействия криминалистическому исследованию как работающих, так и выключенных систем. Наибольшую эффективность логические бомбы имеют в первом случае, т.к. исследование проводится с использованием "чужого" аппаратного обеспечения в "чужой" программной среде. На данный момент существуют методы и средства противодействия криминалистическому исследованию работающих систем, направленные на обнаружение и блокировку судебных программных продуктов, сокрытие участков оперативной памяти и т.п.
С другой стороны, считается, что логические бомбы неэффективны при их использовании против средств исследования выключенной системы. Так ли это? Думаю, нет.
Какие задачи могут решать злоумышленники с помощью логических бомб, предназначенных для противодействия исследованию выключенной системы? На мой взгляд, их всего три:
1. Уничтожение данных при нарушении методик проведения компьютерных экспертиз (например, при включении исследуемой системы без аппаратной блокировки записи);
1.1. Уничтожение криптографических ключей для противодействия терморектальному криптоанализу (ввод пароля "под принуждением" -> перезапись криптографического ключа -> данные невозможно расшифровать даже при наличии правильного пароля);
2. Уничтожение данных путем эксплуатации ошибок в судебном ПО.
Клонирование компьютерных носителей информации перед любым исследованием и использование аппаратных блокираторов записи решает все проблемы, связанные с возможным уничтожением данных в результате активации логических бомб.
Однако, в экспертной практике возникают ситуации, когда клонировать исследуемый носитель информации не представляется возможным (например, из-за отсутствия у эксперта диска соответствующего объема), а аппаратный блокиратор записи по каким-либо причинам недоступен. В этом случае единственным выходом является исследование оригинального носителя информации с программной блокировкой записи; а программная блокировка записи имеет одну неприятную особенность — ее можно отключить. Следовательно, любая уязвимость, приводящая к выполнению произвольного кода, может быть использована для отключения программной блокировки записи и уничтожения улик.
К сожалению, подобные уязвимости присутствуют в большинстве судебных дистрибутивов Linux; более того, большинство судебных дистрибутивов Linux предоставляют возможность работы в режиме суперпользователя либо сразу после загрузки, либо с использованием команды sudo без ввода каких-либо паролей.
Мой вывод: логические бомбы в определенной степени эффективны при их использовании против методов и средств исследования выключенной системы, даже в случае, если эксперт следует признанным рекомендациям по исследованию цифровых доказательств.
Категории: Все записи
Отрицаемое шифрование в сетях IP
Наверное, многие слышали про такое понятие как "отрицаемое шифрование" (англ. deniable encryption). Отрицаемое шифрование используется в некоторых криптографических продуктах, предназначенных для шифрования файловых систем, с целью создания возможности правдопободного отрицания наличия зашифрованных данных. Типичным примером являются скрытые контейнеры TrueCrypt, которые располагаются внутри свободного пространства файловой системы внешнего контейнера. По умолчанию, свободное пространство любого контейнера TrueCrypt заполнено (псевдо)случайными данными, а отличить данные скрытого контейнера от случайных практически невозможно. Следовательно, практически невозможно доказать факт наличия или отсутствия скрытого контейнера в свободном пространстве файловой системы другого контейнера TrueCrypt.
Разумеется, у подобного способа компоновки зашифрованных данных существуют недостатки, которые были рассмотрены как нами, так и другими исследователями. А скрытые операционные системы (т.е. операционные системы, установленные в скрытых контейнерах) так и не решили проблемы обнаружения скрытых контейнеров.
Можно ли применить концепцию отрицаемого шифрования для организации скрытых каналов передачи данных? Безусловно. К примеру, протокол TLS (RFC 4346) предусматривает передачу 28 случайных байтов в пакетах Client Hello и Server Hello (секции 7.4.1.2, 7.4.1.3 указанного RFC), которые можно использовать для хранения зашифрованных данных. Протокол TLS довольно часто используется для организации защищенного обмена данными протокола HTTP и, следовательно, сервер, используемый для организации скрытого канала передачи данных, может маскироваться под веб-сайт, работающий по протоколу HTTPS. Отправка одного килобайта данных потребует менее 40 пакетов Client/Server Hello, которые можно довольно легко замаскировать под обмен данными между веб-сервером и веб-браузером.
Возможно ли доказать факт присутствия подобного скрытого канала передачи данных только средствами анализа сетевого трафика? Нет.
Разумеется, у подобного способа компоновки зашифрованных данных существуют недостатки, которые были рассмотрены как нами, так и другими исследователями. А скрытые операционные системы (т.е. операционные системы, установленные в скрытых контейнерах) так и не решили проблемы обнаружения скрытых контейнеров.
Можно ли применить концепцию отрицаемого шифрования для организации скрытых каналов передачи данных? Безусловно. К примеру, протокол TLS (RFC 4346) предусматривает передачу 28 случайных байтов в пакетах Client Hello и Server Hello (секции 7.4.1.2, 7.4.1.3 указанного RFC), которые можно использовать для хранения зашифрованных данных. Протокол TLS довольно часто используется для организации защищенного обмена данными протокола HTTP и, следовательно, сервер, используемый для организации скрытого канала передачи данных, может маскироваться под веб-сайт, работающий по протоколу HTTPS. Отправка одного килобайта данных потребует менее 40 пакетов Client/Server Hello, которые можно довольно легко замаскировать под обмен данными между веб-сервером и веб-браузером.
Возможно ли доказать факт присутствия подобного скрытого канала передачи данных только средствами анализа сетевого трафика? Нет.
Категории: Все записи
Что такое "forensically sound"?
Что такое "forensically sound"? Это понятие, используемое в среде судебных экспертов и специалистов по расследованию компьютерных инцидентов для оценки методов и средств, используемых в процессе сбора и анализа цифровых доказательств (т.е. доказательств в виде компьютерной информации). К сожалению, данное понятие не имеет каких-либо аналогов в русском языке и может быть переведено как "криминалистически правильно". Иными словами, понятие "forensically sound" обозначает соответствие тех или иных методов и средств требованиям приемлемости и допустимости.
Применительно к средствам исследования работающей системы можно выделить следующие технические требования: минимальное изменение состояния работающей системы (минимальное количество отправляемых команд записи данных на исследуемый диск, минимальное использование оперативной памяти); отсутствие ошибок, приводящих к сбору ложных данных.
К средствам, предназначенным для клонирования и предварительного просмотра компьютерных носителей информации, как правило, предъявляют следующие требования:
1) Минимальное изменение содержимого носителя информации;
2) Любое изменение содержимого носителя информации не должно затрагивать криминалистически значимые участки данных;
3) Любое изменение содержимого носителя информации должно быть описано в документации к используемому средству.
Не все изменения содержимого компьютерных носителей информации происходят из-за используемого в процессе исследования средства: например, некоторые твердотельные накопители (SSD) автоматически очищают блоки данных, принадлежащие свободному пространству используемых файловых систем. С этой и другими особенностями компьютерных носителей информации приходится сталкиваться в процессе разработки и эксплуатации различных судебных продуктов: клонирование содержимого НЖМД приводит к изменениям параметров SMART, клонирование содержимого флеш-памяти в большинстве случаев приводит к перераспределению данных на физическом уровне (из-за используемых алгоритмов выравнивания изнашивания) и т.д.
Необходимо ли создание специального средства, предназначенного для клонирования содержимого компьютерных носителей информации без каких-либо изменений как служебных, так и пользовательских данных? С одной стороны, создание подобных средств потребует значительного усложнения процесса исследования носителей информации (например, отказ от встроенного в устройство контроллера). С другой стороны, незначительное изменение исследуемых данных не влияет на результаты исследования в целом (например, изменения параметров SMART исследуемого диска не влияют на содержимое документа MS Word, расположенного на этом же диске).
Как провести грань между изменениями приемлемыми и неприемлемыми? В среде судебных экспертов считается "дурным тоном" производить загрузку исследуемой операционной системы с исследуемого диска без использования блокировки записи (загрузка исследуемой ОС может активировать установленные логические бомбы, изменить важные метаданные и удалить некоторые лог-файлы), но изменения параметров SMART исследуемого диска считаются приемлемыми. Как следует относиться к изменениям метаданных и журналов некоторых файловых систем? На мой взгляд, следует разделять понятия приемлемых и неприемлемых изменений между судебными программными продуктами и конкретными ситуациями, возникающими в ходе исследования компьютерных носителей информации.
К примеру, автоматическое восстановление поврежденных файловых систем Ext3 в ходе монтирования приводит к обновлению временной метки последней записи данных. Является ли подобное изменение временной метки допустимым при проведении компьютерной экспертизы? Решать эксперту: если данная временная метка не используется для обоснования каких-либо выводов, то ее изменение можно признать допустимым. Могут ли разработчики судебных дистрибутивов Linux решать, являются ли изменения временных меток последней записи данных в файловых системах Ext3 допустимыми? Нет, т.к. разработчики не могут знать о том, будут ли данные временные метки использоваться в ходе конкретного исследования в будущем.
Следовательно, используемое средство должно минимизировать количество изменяемых данных. Современный уровень развития свободных операционных систем позволяет полностью исключить отправку каких-либо команд записи на исследуемые диски как в процессе загрузки, так и в процессе монтирования файловых систем; поэтому программные продукты, предназначенные для судебного исследования компьютерных носителей информации, не должны приводить к записи каких-либо данных в процессе работы (это касается и отдельных продуктов, и специализированных операционных систем в целом), а изменения, происходящие из-за особенностей самих компьютерных носителей информации, допустимы, пока не будут затрагивать криминалистически значимые участки данных.
К сожалению, вопреки утверждениям разработчиков, некоторые судебные дистрибутивы Linux (например, Helix3, SPADA и Raptor) не блокируют запись на исследуемые носители информации, что иногда приводит к перезаписи некоторых участков данных. Не стоит забывать и о возможности подмены корневой файловой системы в процессе загрузки с CD или USB Flash.
Применительно к средствам исследования работающей системы можно выделить следующие технические требования: минимальное изменение состояния работающей системы (минимальное количество отправляемых команд записи данных на исследуемый диск, минимальное использование оперативной памяти); отсутствие ошибок, приводящих к сбору ложных данных.
К средствам, предназначенным для клонирования и предварительного просмотра компьютерных носителей информации, как правило, предъявляют следующие требования:
1) Минимальное изменение содержимого носителя информации;
2) Любое изменение содержимого носителя информации не должно затрагивать криминалистически значимые участки данных;
3) Любое изменение содержимого носителя информации должно быть описано в документации к используемому средству.
Не все изменения содержимого компьютерных носителей информации происходят из-за используемого в процессе исследования средства: например, некоторые твердотельные накопители (SSD) автоматически очищают блоки данных, принадлежащие свободному пространству используемых файловых систем. С этой и другими особенностями компьютерных носителей информации приходится сталкиваться в процессе разработки и эксплуатации различных судебных продуктов: клонирование содержимого НЖМД приводит к изменениям параметров SMART, клонирование содержимого флеш-памяти в большинстве случаев приводит к перераспределению данных на физическом уровне (из-за используемых алгоритмов выравнивания изнашивания) и т.д.
Необходимо ли создание специального средства, предназначенного для клонирования содержимого компьютерных носителей информации без каких-либо изменений как служебных, так и пользовательских данных? С одной стороны, создание подобных средств потребует значительного усложнения процесса исследования носителей информации (например, отказ от встроенного в устройство контроллера). С другой стороны, незначительное изменение исследуемых данных не влияет на результаты исследования в целом (например, изменения параметров SMART исследуемого диска не влияют на содержимое документа MS Word, расположенного на этом же диске).
Как провести грань между изменениями приемлемыми и неприемлемыми? В среде судебных экспертов считается "дурным тоном" производить загрузку исследуемой операционной системы с исследуемого диска без использования блокировки записи (загрузка исследуемой ОС может активировать установленные логические бомбы, изменить важные метаданные и удалить некоторые лог-файлы), но изменения параметров SMART исследуемого диска считаются приемлемыми. Как следует относиться к изменениям метаданных и журналов некоторых файловых систем? На мой взгляд, следует разделять понятия приемлемых и неприемлемых изменений между судебными программными продуктами и конкретными ситуациями, возникающими в ходе исследования компьютерных носителей информации.
К примеру, автоматическое восстановление поврежденных файловых систем Ext3 в ходе монтирования приводит к обновлению временной метки последней записи данных. Является ли подобное изменение временной метки допустимым при проведении компьютерной экспертизы? Решать эксперту: если данная временная метка не используется для обоснования каких-либо выводов, то ее изменение можно признать допустимым. Могут ли разработчики судебных дистрибутивов Linux решать, являются ли изменения временных меток последней записи данных в файловых системах Ext3 допустимыми? Нет, т.к. разработчики не могут знать о том, будут ли данные временные метки использоваться в ходе конкретного исследования в будущем.
Следовательно, используемое средство должно минимизировать количество изменяемых данных. Современный уровень развития свободных операционных систем позволяет полностью исключить отправку каких-либо команд записи на исследуемые диски как в процессе загрузки, так и в процессе монтирования файловых систем; поэтому программные продукты, предназначенные для судебного исследования компьютерных носителей информации, не должны приводить к записи каких-либо данных в процессе работы (это касается и отдельных продуктов, и специализированных операционных систем в целом), а изменения, происходящие из-за особенностей самих компьютерных носителей информации, допустимы, пока не будут затрагивать криминалистически значимые участки данных.
К сожалению, вопреки утверждениям разработчиков, некоторые судебные дистрибутивы Linux (например, Helix3, SPADA и Raptor) не блокируют запись на исследуемые носители информации, что иногда приводит к перезаписи некоторых участков данных. Не стоит забывать и о возможности подмены корневой файловой системы в процессе загрузки с CD или USB Flash.
Категории: Все записи
