Антикомпьютерная криминалистика
Антикомпьютерная криминалистика или контркриминалистика — это методы, используемые для препятствования судебно-медицинскому анализу .
Определение
[ редактировать ]Антикриминалистика лишь недавно была признана законной областью исследований.
Одно из наиболее широко известных и общепринятых определений принадлежит Марку Роджерсу. В одной из самых ранних подробных презентаций антикриминалистики в журнале Phrack Magazine в 2002 году антикриминалистика определяется как «удаление или сокрытие доказательств в попытке снизить эффективность судебно-медицинского расследования». [ 1 ]
Более сокращенное определение дает Скотт Беринато в своей статье «Расцвет антикриминалистики». «Антикриминалистика — это больше, чем просто технология. Это подход к криминальному хакерству, который можно резюмировать следующим образом: сделайте так, чтобы им было трудно вас найти и чтобы они не могли доказать, что они вас нашли». [ 2 ] Ни один из авторов не учитывает использование антикриминалистических методов для обеспечения конфиденциальности своих персональных данных.
Подкатегории
[ редактировать ]Методы антикриминалистики часто разбивают на несколько подкатегорий, чтобы упростить классификацию различных инструментов и методов. Одна из наиболее широко распространенных разбивок по подкатегориям была разработана доктором Маркусом Роджерсом. Он предложил следующие подкатегории: сокрытие данных, стирание артефактов, запутывание следов и атаки на процессы и инструменты CF (компьютерной криминалистики). [ 3 ] Атаки непосредственно на инструменты криминалистики также называются контркриминалистикой. [ 4 ]
Цель и цели
[ редактировать ]В области цифровой криминалистики ведется много споров по поводу целей и задач антикриминалистических методов. Распространено мнение , что антикриминалистические инструменты имеют исключительно вредоносные намерения и замысел. Другие считают, что эти инструменты следует использовать для иллюстрации недостатков в цифровых процедурах судебной экспертизы, цифровых инструментах судебной экспертизы и обучении судебных экспертов. Это мнение было поддержано на конференции Blackhat Conference 2005 года авторами антикриминалистических инструментов Джеймсом Фостером и Винни Лю. [ 5 ] Они заявили, что, раскрыв эти проблемы, следователям-криминалистам придется приложить больше усилий, чтобы доказать, что собранные доказательства являются точными и надежными. Они полагают, что это приведет к появлению более качественных инструментов и повышению уровня образования судебно-медицинских экспертов. Кроме того, контркриминалистика имеет значение для защиты от шпионажа , поскольку восстановление информации с помощью криминалистических инструментов служит целям как шпионов, так и следователей.
Скрытие данных
[ редактировать ]Сокрытие данных — это процесс, который затрудняет поиск данных, сохраняя при этом их доступность для использования в будущем. « Обфускация и шифрование данных дают злоумышленнику возможность ограничить идентификацию и сбор доказательств следователями, в то же время позволяя получить доступ и использовать их самим». [ 6 ]
Некоторые из наиболее распространенных форм сокрытия данных включают шифрование, стеганографию и другие различные формы аппаратного/программного сокрытия данных. Каждый из различных методов сокрытия данных затрудняет проведение цифровой судебно-медицинской экспертизы. Комбинация различных методов сокрытия данных может сделать успешное судебно-медицинское расследование практически невозможным.
Шифрование
[ редактировать ]Одним из наиболее часто используемых методов борьбы с компьютерной криминалистикой является шифрование данных . В презентации, посвященной шифрованию и антикриминалистическим методологиям, вице-президент по безопасным вычислениям Пол Генри назвал шифрование «кошмаром судебно-медицинской экспертизы». [ 7 ]
Большинство общедоступных программ шифрования позволяют пользователю создавать виртуальные зашифрованные диски, которые можно открыть только с помощью назначенного ключа. Благодаря использованию современных алгоритмов шифрования и различных методов шифрования эти программы делают данные практически невозможными для чтения без назначенного ключа.
Шифрование на уровне файла шифрует только содержимое файла. Это оставляет важную информацию, такую как имя файла, размер и временные метки, незашифрованными. Части содержимого файла можно восстановить из других мест, например, из временных файлов, файла подкачки и удаленных незашифрованных копий.
Большинство программ шифрования имеют возможность выполнять ряд дополнительных функций, которые значительно затрудняют цифровую криминалистику. Некоторые из этих функций включают использование ключевого файла , полнотомное шифрование и правдоподобное отрицание . Широкая доступность программного обеспечения, содержащего эти функции, поставила сферу цифровой криминалистики в невыгодное положение.
стеганография
[ редактировать ]Стеганография — это метод, при котором информация или файлы скрываются внутри другого файла в попытке скрыть данные, оставив их на виду. «Стеганография производит темные данные, которые обычно скрыты внутри светлых данных (например, невидимый цифровой водяной знак, скрытый внутри цифровой фотографии)». [ 8 ] Хотя некоторые эксперты утверждают, что использование методов стеганографии не очень широко распространено и, следовательно, не следует уделять этому вопросу много внимания, большинство экспертов сходятся во мнении, что стеганография способна нарушить судебно-медицинский процесс при правильном использовании. [ 2 ]
По словам Джеффри Карра, в выпуске журнала «Технический моджахид» 2007 года (выходящего два раза в месяц террористического издания) подчеркивалась важность использования программы стеганографии под названием «Секреты моджахедов». По словам Карра, программа рекламировалась как дающая пользователю возможность избежать обнаружения текущими программами стегоанализа . Это было достигнуто за счет использования стеганографии в сочетании со сжатием файлов. [ 9 ]
Другие формы сокрытия данных
[ редактировать ]Другие формы сокрытия данных включают использование инструментов и методов для сокрытия данных в различных местах компьютерной системы. Некоторые из этих мест могут включать в себя «память, свободное пространство , скрытые каталоги, плохие блоки , альтернативные потоки данных и (и) скрытые разделы ». [ 3 ]
Один из наиболее известных инструментов, который часто используется для сокрытия данных, называется Slacker (часть платформы Metasploit ). [ 10 ] Slacker разбивает файл и помещает каждую часть этого файла в резервное пространство других файлов, тем самым скрывая его от программного обеспечения судебно-медицинской экспертизы. [ 8 ] Другой метод сокрытия данных предполагает использование поврежденных секторов. Чтобы применить этот метод, пользователь меняет определенный сектор с хорошего на плохой, а затем данные помещаются в этот конкретный кластер. Считается, что инструменты судебно-медицинской экспертизы сочтут эти кластеры плохими и продолжат работу без какого-либо исследования их содержимого. [ 8 ]
Удаление артефактов
[ редактировать ]Методы, используемые при удалении артефактов, предназначены для окончательного удаления отдельных файлов или целых файловых систем. Этого можно добиться с помощью различных методов, в том числе утилит очистки диска, утилит очистки файлов и методов размагничивания/уничтожения диска. [ 3 ]
Утилиты для очистки диска
[ редактировать ]Утилиты очистки диска используют различные методы для перезаписи существующих данных на дисках (см. раздел «Остаток данных »). Эффективность утилит очистки диска как антикриминалистических инструментов часто подвергается сомнению, поскольку некоторые считают, что они не совсем эффективны. Эксперты, которые не верят, что утилиты очистки диска подходят для очистки диска, основывают свое мнение на текущей политике Министерства обороны США, которая гласит, что единственной приемлемой формой очистки является размагничивание. (См. Национальная программа промышленной безопасности .) Утилиты очистки диска также подвергаются критике за то, что они оставляют подписи о том, что файловая система была стерта, что в некоторых случаях недопустимо. Некоторые из широко используемых утилит очистки диска включают DBAN , srm , BCWipe Total WipeOut , KillDisk, PC Inspector и CyberScrubs cyberCide. Другой вариант, одобренный NIST и NSA , — это безопасное стирание CMRR, в котором используется команда безопасного стирания, встроенная в спецификацию ATA .
Утилиты для очистки файлов
[ редактировать ]Утилиты очистки файлов используются для удаления отдельных файлов из операционной системы. Преимущество утилит очистки файлов заключается в том, что они могут выполнить свою задачу за относительно короткий промежуток времени, в отличие от утилит очистки диска, которые занимают гораздо больше времени. Еще одним преимуществом утилит очистки файлов является то, что они обычно оставляют гораздо меньшую подпись, чем утилиты очистки диска. У утилит стирания файлов есть два основных недостатка: во-первых, они требуют участия пользователя в процессе, а во-вторых, некоторые эксперты полагают, что программы стирания файлов не всегда корректно и полностью стирают информацию о файлах. [ 11 ] [ 12 ] Некоторые из широко используемых утилит для очистки файлов включают BCWipe , R-Wipe & Clean, Eraser, Aevita Wipe & Delete и CyberScrubs PrivacySuite. В Linux такие инструменты, как shred и srm, также можно использовать для удаления отдельных файлов. [ 13 ] [ 14 ] SSD-накопители по своей конструкции сложнее стереть, поскольку прошивка может записывать данные в другие ячейки, что позволяет восстановить данные. В таких случаях следует использовать ATA Secure Erase на всем диске с помощью таких инструментов, как hdparm , которые его поддерживают. [ 15 ]
Методы размагничивания/уничтожения диска
[ редактировать ]диска Размагничивание — это процесс воздействия магнитного поля на цифровое мультимедийное устройство. В результате получается устройство, полностью очищенное от любых ранее сохраненных данных. Размагничивание редко используется в качестве антикриминалистического метода, несмотря на то, что оно является эффективным средством обеспечения уничтожения данных. Это объясняется высокой стоимостью машин для размагничивания, которые среднестатистическому потребителю трудно себе позволить.
Более распространенный метод удаления данных — физическое уничтожение устройства. NIST рекомендует , чтобы «физическое уничтожение могло осуществляться с использованием различных методов, включая дезинтеграцию, сжигание, измельчение, измельчение и плавление». [ 16 ]
Запутывание следа
[ редактировать ]Цель запутывания следов — запутать, дезориентировать и отвлечь процесс судебно-медицинской экспертизы. Обфускация следов охватывает множество методов и инструментов, в том числе «очистку журналов, спуфинг , дезинформацию , переключение по магистральной сети, зомбированные учетные записи, троянские команды». [ 3 ]
Одним из наиболее широко известных инструментов запутывания следов является Timestomp (часть Metasploit Framework ). [ 10 ] Timestomp дает пользователю возможность изменять метаданные файла , относящиеся к времени/дате доступа, создания и изменения. [ 2 ] Используя такие программы, как Timestomp, пользователь может сделать любое количество файлов бесполезными с юридической точки зрения, напрямую ставя под сомнение достоверность файлов. [ нужна ссылка ]
Другая известная программа для запутывания следов — Transmogrify (также часть Metasploit Framework). [ 10 ] В большинстве типов файлов заголовок файла содержит идентифицирующую информацию. Файл (.jpg) будет содержать информацию заголовка, которая идентифицирует его как ( .jpg ), файл ( .doc ) будет содержать информацию, которая идентифицирует его как (.doc) и так далее. Transmogrify позволяет пользователю изменять информацию заголовка файла, поэтому заголовок (.jpg) можно изменить на заголовок (.doc). Если бы программа судебно-медицинской экспертизы или операционная система провели поиск изображений на машине, она просто увидела бы файл (.doc) и пропустила бы его. [ 2 ]
Атаки на компьютерную криминалистику
[ редактировать ]В прошлом антикриминалистические инструменты были направлены на атаку на процесс судебно-медицинской экспертизы путем уничтожения данных, сокрытия данных или изменения информации об использовании данных. Антикриминалистика недавно перешла в новую сферу, где инструменты и методы ориентированы на атаку на криминалистические инструменты, выполняющие исследования. Эти новые антикриминалистические методы получили выгоду от ряда факторов, в том числе от хорошо документированных процедур судебно-медицинской экспертизы, широко известных уязвимостей инструментов судебной экспертизы и сильной зависимости цифровых судебно-медицинских экспертов от своих инструментов. [ 3 ]
Во время типичной судебно-медицинской экспертизы эксперт создает образ дисков компьютера. Это предохраняет исходный компьютер (улику) от порчи криминалистическими инструментами. Хэши создаются программным обеспечением судебно-медицинской экспертизы для проверки целостности изображения. Один из недавних методов борьбы с инструментами нацелен на целостность хэша, созданного для проверки изображения. Влияя на целостность хэша, любые доказательства, собранные в ходе последующего расследования, могут быть оспорены. [ 3 ]
Физический
[ редактировать ]Чтобы предотвратить физический доступ к данным, когда компьютер включен (например, в результате кражи, а также конфискации со стороны правоохранительных органов), можно реализовать различные решения:
- Программные платформы, такие как USBGuard или USBKill, реализуют политики авторизации USB и политики методов использования. Если программное обеспечение запускается при вставке или извлечении USB-устройств, можно выполнить определенное действие. [ 17 ] После ареста Silk Road администратора Росса Ульбрихта был создан ряд концептуальных антикриминалистических инструментов для обнаружения изъятия компьютера у владельца с целью его выключения, что делает данные недоступными, если используется полное шифрование диска. . [ 18 ] [ 19 ]
- Аппаратное крепление кабеля с помощью слота безопасности Kensington предотвращает кражу со стороны воров-любителей.
- аппаратного Кабели отключения , такие как BusKill , которые блокируют, отключают или стирают данные при извлечении
- Использование функции обнаружения проникновения в корпус компьютера или датчика (например, фотодетектора ), оснащенного взрывчаткой для самоуничтожения . В некоторых юрисдикциях этот метод может быть незаконным, поскольку он может серьезно покалечить или убить неавторизованного пользователя и может заключаться в уничтожении доказательств . [ 20 ]
- Аккумулятор можно было вынуть из ноутбука, чтобы он работал только при подключенном к блоку питания. Если кабель отсоединить, произойдет немедленное выключение компьютера, что приведет к потере данных. Однако в случае скачка напряжения произойдет то же самое.
Некоторые из этих методов основаны на выключении компьютера, в то время как данные могут сохраняться в оперативной памяти от пары секунд до пары минут, что теоретически позволяет провести атаку с холодной загрузкой . [ 21 ] [ 22 ] [ 23 ] Криогенная заморозка RAM может продлить это время еще больше, и были замечены некоторые нападения на дикую природу. [ 24 ] Существуют методы противодействия этой атаке, которые позволяют перезаписать память перед выключением. Некоторые антикриминалистические инструменты даже определяют температуру оперативной памяти и отключают ее, когда она ниже определенного порога. [ 25 ] [ 26 ]
Предпринимались попытки создать защищенный от несанкционированного доступа настольный компьютер (по состоянию на 2020 год модель ORWL является одним из лучших примеров). Однако безопасность этой конкретной модели обсуждается исследователем безопасности и Qubes OS основателем Джоанной Рутковской . [ 27 ]
Использование преступниками
[ редактировать ]Хотя исследования и применение антикриминалистики обычно доступны для защиты пользователей от криминалистических атак на их конфиденциальные данные со стороны противников (например, журналистов-расследователей, правозащитников, активистов, корпоративного или государственного шпионажа ), Мак Роджерс из Университета Пердью отмечает, что -Инструменты криминалистики также могут использоваться преступниками.
Роджерс использует более традиционный подход «на месте преступления» при определении антикриминалистики. «Попытки отрицательно повлиять на наличие, количество и/или качество доказательств с места преступления или затруднить или сделать невозможным проведение анализа и изучения доказательств». [ 3 ]
Эффективность антикриминалистики
[ редактировать ]Антикриминалистические методы основаны на нескольких слабых сторонах процесса судебно-медицинской экспертизы, в том числе: человеческий фактор, зависимость от инструментов и физические/логические ограничения компьютеров. [ 28 ] Снижая восприимчивость процесса судебно-медицинской экспертизы к этим недостаткам, эксперт может снизить вероятность того, что антикриминалистические методы успешно повлияют на расследование. [ 28 ] Этого можно достичь путем повышения уровня подготовки следователей и подтверждения результатов с использованием различных инструментов.
См. также
[ редактировать ]- Криптографическая хэш-функция
- Остаточность данных
- БЕЗ КОФЕИНА
- Размагничивание
- Шифрование
- Судебный контроллер диска
- Конфиденциальность информации
- Ключевой файл
- Инструмент удаления метаданных
- Правдоподобное отрицание
- Тейлз (операционная система)
Примечания и ссылки
[ редактировать ]- ^ Гругк (2002). «Победа над судебным анализом в Unix» . Проверено 6 сентября 2019 г. Журнал Фрак.
- ^ Jump up to: а б с д Беринато, С. (2007). Расцвет антикриминалистики. Получено 19 апреля 2008 г. из CSO Online: https://www.csoonline.com/article/521254/investigations-forensics-the-rise-of-anti-forensics.html .
- ^ Jump up to: а б с д и ж г Роджерс, DM (2005). Антикриминалистическая презентация для Lockheed Martin. Сан-Диего.
- ^ Хартли, В. Мэтью (август 2007 г.). «Текущие и будущие угрозы цифровой криминалистике» (PDF) . ИССА. Архивировано из оригинала (PDF) 22 июля 2011 г. Проверено 2 июня 2010 г.
- ^ «Black Hat USA 2005 – Поймай меня, если сможешь – 27 июля 2005 г.» . Фостер Дж. К. и Лю В. (2005). Архивировано из оригинала 19 января 2016 года . Проверено 11 января 2016 г.
- ^ Перон, CSJ (на). Цифровая антикриминалистика: новые тенденции в методах преобразования данных. от Seccuris: http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdf. Архивировано 19 августа 2008 г. в Wayback Machine.
- ^ Генри, Пенсильвания (2006). Безопасные вычисления с помощью антикриминалистики [видеофайл LayerOne]. Получено с https://www.youtube.com/watch?v=q9VUbiFdx7w&t=2m18s.
- ^ Jump up to: а б с Бергель, Х. (2007 / Том 50, № 4). Сокрытие данных, криминалистика и антикриминалистика. Сообщения ACM, 15-20.
- ^ Карр, Дж. (2007). Антикриминалистические методы, используемые джихадистскими веб-сайтами. Получено 21 апреля 2008 г. с сайта eSecurityPlanet: http://www.esecurityplanet.com/prevention/article.php/3694711. Архивировано 30 июля 2012 г. на archive.today.
- ^ Jump up to: а б с «Проект антикриминалистики Metasploit (MAFIA) — Бишоп Фокс» . Винсент Лю. Архивировано из оригинала 19 января 2016 года . Проверено 11 января 2016 г.
- ^ «Мифы об очистке диска и твердотельных накопителях» . 3 декабря 2012 г.
- ^ «Что такое уничтожение данных, лучшие способы безопасного удаления ваших данных» . 13 января 2020 г.
- ^ «Shred(1) — справочная страница Linux» .
- ^ «Страница руководства Ubuntu: SRM — безопасное удаление (набор инструментов Secure_deletion)» . Архивировано из оригинала 29 августа 2017 г. Проверено 15 мая 2020 г.
- ^ «Безопасное стирание и очистка SSD, это сработает?» . 23 марта 2017 года. Архивировано из оригинала 23 октября 2017 года . Проверено 15 мая 2020 г.
- ^ Киссель Р., Шолль М., Сколоченко С. и Ли X. (2006). Рекомендации по дезинфекции СМИ. Гейтерсбург: Отдел компьютерной безопасности, Национальный институт стандартов и технологий.
- ^ «USBGuard» . Гитхаб . 12 февраля 2022 г.
- ^ "Hephaest0s/Usbkill" . Гитхаб . 12 февраля 2022 г.
- ^ «Шелк-хранитель» . Гитхаб . 19 января 2022 г.
- ^ «Закон об уничтожении доказательств и юридическое определение | USLegal, Inc» .
- ^ Халдерман, Дж. Алекс; Шон, Сет Д.; Хенингер, Надя; Кларксон, Уильям; Пол, Уильям; Каландрино, Джозеф А.; Фельдман, Ариэль Дж.; Аппельбаум, Джейкоб; Фельтен, Эдвард В. Чтобы мы не помнили: атаки с холодной загрузкой на ключи шифрования (PDF) . 17-й симпозиум по безопасности USENIX.
- ^ Р. Карбоне; К. Бин; М. Салуа. «Углубленный анализ атаки с холодной загрузкой» (PDF) . Оборонные исследования и разработки Канады. Архивировано из оригинала (PDF) 22 июля 2020 г. Проверено 15 мая 2020 г.
- ^ Салессави Фереде Йитбарек; Мисикер Тадессе Ага; Реетурпарна Дас; Тодд Остин. Атаки с холодной загрузкой все еще актуальны: анализ безопасности скремблеров памяти в современных процессорах (PDF) . Международный симпозиум IEEE 2017 по высокопроизводительной компьютерной архитектуре. Архивировано из оригинала (PDF) 18 сентября 2020 г. Проверено 15 мая 2020 г.
- ^ «Холодная перезагрузка» .
- ^ «Защитите Linux от атак с холодной загрузкой с помощью TRESOR | Linuxaria» .
- ^ «Tails — Защита от атак с холодной загрузкой» .
- ^ «Мысли о «физически безопасном» компьютере ORWL | Невидимые вещи» .
- ^ Jump up to: а б Харрис, Р. (2006). Достижение консенсуса против криминалистики: изучение того, как определить и контролировать проблему антикриминалистики. Получено 9 декабря 2010 г. по адресу: http://www.dfrws.org/2006/proceedings/6-Harris.pdf. Архивировано 14 марта 2012 г. в Wayback Machine.
Внешние ссылки
[ редактировать ]- Оценка коммерческих инструментов контркриминалистики на Wayback Machine (архивировано 30 декабря 2014 г.)
- Инструменты контркриминалистики: анализ и восстановление данных
- Рецензированные материалы 5-го ежегодного семинара по цифровым криминалистическим исследованиям, DFRWS 2005 , DBLP
- Достижение консенсуса в отношении антикриминалистики: изучение того, как определить и контролировать проблему антикриминалистики в Wayback Machine (архивировано 14 марта 2012 г.) два : 10.1016/j.diin.2006.06.005
- Класс антикриминалистики Чуть более 3 часов видео на тему антикриминалистических методов