Статья с журнала Xakep Содержание 1 Перемещение данных в другую папку 2 Использование «безопасных» методов коммуникации 3 Переименование файлов 4 Удаление файлов 5 Хранение данных в облаке 6 Использование внешних накопителей 7 Вместо заключения. Вложенные криптоконтейнеры с аппаратным ключом Большинство людей желающих скрыть конфиденциальные данные — далеко не профессионалы в информационной безопасности, поэтому используемые ими способы сокрытия данных наивны. В этой статье мы рассмотрим разные способы сокрытия информации и обсудим стоит ли ими пользоваться. Перемещение данных в другую папку Здесь нужно рассказать чуть подробнее о том, как работает удаление (и последующее чтение) данных на SSD. Наверняка ты слышал о существовании «сборщика мусора» и функции TRIM, позволяющих современным SSD поддерживать высокую производительность при записи (и особенно — перезаписи) данных. Команда TRIM подается операционной системой; она сообщает контроллеру SSD, что определенные блоки данных с определенными физическими (на самом деле нет) адресами освобождены и более не используются. Задача контроллера теперь — очистить (произвести стирание данных) указанные блоки, подготовив их таким образом для того, чтобы в них можно было быстро записать новую информацию. Но стирание данных — процесс очень медленный, и происходит он в фоновом режиме, когда нагрузка на диск падает. А если сразу после команды TRIM поступает команда записи в тот самый «физический» блок? В этом случае контроллер мгновенно подменяет такой блок пустым, просто модифицировав значение в таблице переадресации. А тот блок, который предназначен для стирания, получает другой «физический» адрес или вовсе помещается в неадресуемый пул из резервной области. Вопрос на засыпку: а если контроллер не успел физически стереть данные из TRIM’нутых блоков, сможет ли сигнатурный поиск найти что-либо в свободных областях SSD? Правильный ответ: в большинстве случаев при попытке считать данные из блока, на который поступила команда TRIM, контроллер выдаст либо нули, либо другую последовательность данных, ничего общего не имеющую с реальным содержимым блока. Связано это с особенностями реализации в современных SSD протоколов, в которых четко определяется поведение контроллера при попытке считать блок после команды TRIM. Значений здесь всего три: Undefined (контроллер вернет реальное содержимое блока; в современных SSD практически не встречается), DRAT (Determined Read After Trim, или фиксированные данные после Trim; в потребительских моделях встречается чаще всего) и DZAT (Determined Zeroes After Trim, или всегда возвращать нули после команды Trim; часто встречается в моделях, предназначенных для работы в составе RAID, NAS и в серверных сценариях). Таким образом, в подавляющем большинстве случаев контроллер вернет нам данные, не имеющие ничего общего с реальным содержимым накопителя. Восстановить удаленные файлы с SSD в большинстве случаев не удастся даже спустя секунды после их удаления. Хранение данных в облаке Данные — в облаке? Ты скажешь, что настолько глупых преступников уже не осталось, и будешь не прав. Пользователи с завидным постоянством забывают отключить то iCloud Photo Library, то синхронизацию OneDrive или Google Drive, а то и более экзотические виды синхронизации — например, настройку (которой, кстати, в iOS вовсе нет; может, поэтому забывают?), благодаря которой информация о звонках с iPhone (как по телефону, так и через FaceTime) сразу попадает на серверы Apple. Примеры с «забытым» режимом Continuity и мессенджером BlackBerry я уже приводил. Пожалуй, здесь мне нечего добавить, кроме того, что данные из облака компании выдают полиции без особого сопротивления. Использование внешних накопителей Использование зашифрованных флешек для хранения информации, связанной с нелегальной деятельностью, кажется преступникам гениальной идеей. Казалось бы, ничего не нужно удалять — достаточно выдернуть флешку из компьютера, и доступ к данным не получит никто и никогда (если защита стойкая). Именно так рассуждают наивные преступники. Почему «наивные»? Дело в том, что большинство простых пользователей не имеет представления о «хвостах», которые остаются после практически любых манипуляций с USB-устройствами. Так, однажды расследовался случай с распространением детской порнографии. Преступники использовали исключительно внешние накопители (обычные флешки); на дисках не хранилось ничего. Преступники не учли сразу два момента. Первый: история подключении USB-устройств сохраняется в реестре Windows; если ее не удалять, то хранится она там очень и очень долго. И второй момент: если для доступа к изображениям пользоваться встроенным в Windows проводником, то автоматически создаются (и сохраняются!) уменьшенные превью фотографий (thumbnails), в последних версиях Windows по адресу %LocalAppData%\Microsoft\Windows\Explorer\. В Windows XP — файл Thumbs.db. Проанализировав уменьшенные изображения и сопоставив идентификаторы USB-устройств с конфискованными, следствию удалось доказать причастность обвиняемых к инкриминируемому преступлению. А что же с шифрованием? И здесь не все очевидно. Во-первых, существуют специализированные приложения, позволяющие создать дамп оперативной памяти компьютера и извлечь из него криптографические ключи, использующиеся для доступа к зашифрованным томам (в частности, к популярному среди наивных преступников BitLocker To Go). Пример такой программы — http://www.spy-soft.net/go-to/aHR0cHM6Ly93d3cuZWxjb21zb2Z0LmNvbS9lZmRkLmh0bWw=, при помощи которой можно проанализировать дамп в полностью автоматическом режиме. А создать образ оперативной памяти можно при помощи бесплатной утилиты http://www.spy-soft.net/go-to/aHR0cHM6Ly9iZWxrYXNvZnQuY29tL3JhbS1jYXB0dXJlcg==. http://www.spy-soft.net/wp-content/uploads/kak-ne-stoit-pryatat-informciyu-3.png Belkasoft RAM Capturer Во-вторых, ни для кого не секрет, что многие криптоконтейнеры автоматически депонируют ключи шифрования в облако. И если Apple при активации FileVault 2 несколько раз уведомит пользователя о том, что восстановление доступа к разделу будет возможно через iCloud, то Microsoft при шифровании тома с использованием BitLocker Device Protection просто молча создает депонированный ключ в учетной записи пользователя Microsoft Account. Ключи эти доступны непосредственно на странице аккаунта пользователя. Как получить доступ к учетной записи? Если в компьютере настроен логин при помощи Microsoft Account (а не локальной учетной записи Windows), то офлайновая атака прямым перебором может восстановить пароль, который — сюрприз! — будет совпадать с паролем от онлайновой учетной записи Microsoft Account. Вместо заключения. Вложенные криптоконтейнеры с аппаратным ключом Казалось бы, непробиваемая защита. Пионер Вася может хихикать и потирать ручки, уверенный, что уж теперь-то его данные в полной безопасности. Теоретически — да. Практически… практически — есть тонкости юридического плана. И вот яркий пример. Обвиняемый в скачивании и хранении детской порнографии находится в заключении в американской тюрьме вот уже два с лишним года. Официальное обвинение — отказ подозреваемого выдать пароли от зашифрованных внешних хранилищ (NAS), где, по мнению суда, хранится детская порнография. Хранится она там или нет — неизвестно; соответствующего содержимого у обвиняемого найдено не было. Но обвинение очень серьезное, а здесь можно и пожертвовать такими мелочами, как презумпция невиновности и право не свидетельствовать против самого себя. Так что обвиняемый сидит и будет сидеть до тех пор, пока не раскроет пароли или не умрет от старости или иных причин. Не так давно правозащитники подали апелляцию, в которой указывалось, что по закону по данной статье (отказ от сотрудничества со следствием) максимальный срок заключения — 18 месяцев. Апелляция была отклонена судом несмотря на то, что судья признал аргументы адвоката «интересными и разносторонними». Обвинение посерьезнее — и судьи закроют глаза на что угодно, включая писаные законы.
Еще пикантный момент - при создании криптоконтейнера нужно учитывать что ключ остается в 1) Оперативной памяти, окуда кочует в 2) Файл подкачки и при использовании режимов сохранения энергии перемещается в 3) Файл гибернации (Windows). В общем создавать криптоконтейнер на домашнем ПК или рабочем ноуте - самоубийство. При криминалистической экспертизе ключи будут восстановлены.
А что, если использовать исключительно флешку с установленной туда ОС? Запуск ОС через флешку. При условии, что каждый раз, когда ты вытаскиваешь флешку - данные удаляются? И второй вопрос: Так как же остаться чистым в данных историях?
1) Т.е Tails? Для переписки самое то. Еще GPG и открытый WiFi. 2) Да собственно никак. Это риторический вопрос, если ты единожды взломал акк VK деревенского Васи и он накатал заяву, и нарушил ты (предположительно) ст.272 УКРФ (если она вообще действует к этим аккаунтам, я не читал лиц.соглашиние) - то нахер ты никому не нужен (конечно если ты пользовался хоть какими-то средствами анонимности, а то можно стать легкой добычей для опера - просто для галочки). А если хакинг твоя жизнь, то это совсем другой образ жизни - никаких сотовых, тольно бу ноуты, только софт open-sours, самое главное-тонну знаний+дар божий+дикое везение (только такие индивиды начиная путь хакинга доживают до пенсии не раскрытыми). Короче надо не мало усилий и средств что бы быть хоть как-то анонимным. И самое главное - хакер один, а тех кто может хакера искать много - как говориться одна голова хорошо а 10-100 намного лучше. В общем нет универсального ответа как остаться анонимным. Надо исходить из поставленной задачи и цели. (как всегда местами юношеский максимализм). P.S. О наличии в криптоконтейнере второго дна - сегодня не знают только еще не родившиеся люди. И спец.службы тоже догадываются что он там может быть и могут просто создать такие условия что сам с удовольствием скажешь пароль. Всё в мире относительно. P.S.S. Пишу, пишу и думаю - люди которые способны что-то взломать и т.д. сами прекрасно знают об анонимности и умеют её организовать. Самое главное не действовать просто по инструкции (нее понимая что делаешь), потому что тонкостей очень много.
