Антикомпьютерная криминалистика - Anti-computer forensics

Антикомпьютерная криминалистика или контр-криминалистика методы, используемые для противодействия судебно-медицинский анализ.

Определение

Противодействие судебной медицине только недавно было признано законной областью исследований. В этой области исследований существует множество определений анти-криминалистики. Одно из наиболее широко известных и общепринятых определений исходит от Марка Роджерса из Университета Пердью. Роджерс использует более традиционный подход «на месте преступления» при определении средств противодействия криминалистике. «Попытки отрицательно повлиять на наличие, количество и / или качество доказательств с места преступления или затруднить или сделать невозможным анализ и изучение улик».[1] Одна из самых ранних подробных презентаций анти-криминалистики в Журнал Phrack в 2002 году определяет анти-криминалистику как «удаление или сокрытие улик в попытке снизить эффективность судебно-медицинского расследования».[2]

Более сокращенное определение дано Скоттом Беринато в его статье, озаглавленной «Повышение анти-криминалистики». «Анти-криминалистика - это больше, чем технология. Это подход к криминальному взлому, который можно резюмировать следующим образом: сделать так, чтобы им было сложно найти вас, и им было невозможно доказать, что они вас нашли».[3] Ни один из авторов не принимает во внимание использование методов анти-криминалистики для обеспечения конфиденциальности личных данных.

Подкатегории

Методы анти-криминалистики часто разбиваются на несколько подкатегорий, чтобы упростить классификацию различных инструментов и методов. Одна из наиболее широко используемых подкатегорий была разработана доктором Маркусом Роджерсом. Он предложил следующие подкатегории: сокрытие данных, стирание артефактов, обфускация следов и атаки на процессы и инструменты CF (компьютерной криминалистики).[1] Прямые атаки на инструменты криминалистики также называются контр-криминалистикой.[4]

Цель и цели

В области цифровой криминалистики ведется много споров о целях и задачах анти-криминалистических методов. Общая концепция[кто? ] заключается в том, что средства противодействия судебной экспертизе являются чисто злонамеренными по своим намерениям и конструкции. Другие считают, что эти инструменты следует использовать для иллюстрации недостатков в процедурах цифровой судебной экспертизы, цифровых инструментах судебной экспертизы и обучении судебных экспертов. Это мнение было поддержано на конференции Blackhat в 2005 году авторами антисудебных инструментов Джеймсом Фостером и Винни Лю.[5] Они заявили, что, выявив эти проблемы, судебным следователям придется приложить больше усилий, чтобы доказать, что собранные доказательства являются точными и надежными. Они считают, что это приведет к появлению более совершенных инструментов и обучения судебно-медицинских экспертов. Кроме того, контрразведка имеет значение для защиты от шпионажа, поскольку восстановление информации с помощью средств судебной экспертизы служит целям как шпионов, так и следователей.

Скрытие данных

Скрытие данных это процесс затруднения поиска данных при сохранении их доступности для будущего использования. "Запутывание и шифрование данных дает злоумышленнику возможность ограничить идентификацию и сбор доказательств следователями, одновременно разрешая доступ и использование для себя ".[6]

Некоторые из наиболее распространенных форм сокрытия данных включают шифрование, стеганография и другие различные формы сокрытия данных на основе аппаратного / программного обеспечения. Каждый из различных методов сокрытия данных затрудняет цифровую судебную экспертизу. Когда различные методы сокрытия данных объединяются, они могут сделать успешное судебно-медицинское расследование практически невозможным.

Шифрование

Один из наиболее часто используемых методов борьбы с компьютерной криминалистикой - это шифрование данных. В своей презентации, посвященной методологиям шифрования и защиты от криминалистических исследований, вице-президент по безопасным вычислениям Пол Генри упомянул шифрование как «кошмар судебно-медицинского эксперта».[7]

Большинство общедоступных программ шифрования позволяют пользователю создавать виртуальные зашифрованные диски, которые можно открыть только с помощью указанного ключа. Благодаря использованию современных алгоритмов шифрования и различных методов шифрования эти программы делают данные практически невозможными для чтения без указанного ключа.

Шифрование на уровне файла шифрует только содержимое файла. Это оставляет незашифрованной важную информацию, такую ​​как имя файла, размер и временные метки. Части содержимого файла можно восстановить из других мест, таких как временные файлы, файл подкачки и удаленные незашифрованные копии.

Большинство программ шифрования могут выполнять ряд дополнительных функций, которые значительно затрудняют проведение цифровой криминалистической экспертизы. Некоторые из этих функций включают использование ключевой файл, шифрование всего тома и правдоподобное отрицание. Широкая доступность программного обеспечения, содержащего эти функции, поставила цифровую судебную экспертизу в очень невыгодное положение.

Стеганография

Стеганография это метод, при котором информация или файлы скрываются в другом файле в попытке скрыть данные, оставив их на виду. «Стеганография дает темные данные, которые обычно скрыты внутри светлых данных (например, неощутимый цифровой водяной знак, скрытый внутри цифровой фотографии)».[8] Некоторые эксперты утверждают, что использование методов стеганографии не очень широко распространено, и поэтому о них не следует много думать. Большинство экспертов согласятся, что при правильном использовании стеганография может нарушить судебный процесс.[3]

По словам Джеффри Карра, издание Technical Mujahid (выходящее два раза в месяц) за 2007 год подчеркнуло важность использования стеганографической программы под названием «Секреты моджахедов». По словам Карра, программа рекламировалась как дающая пользователю возможность избежать обнаружения текущим стеганализ программы. Это было сделано за счет использования стеганографии в сочетании со сжатием файлов.[9]

Другие формы сокрытия данных

Другие формы сокрытия данных включают использование инструментов и методов для сокрытия данных в различных местах компьютерной системы. Некоторые из этих мест могут включать "память, свободное пространство, скрытые каталоги, плохие блоки, альтернативные потоки данных, (и) скрытые перегородки."[1]

Один из наиболее известных инструментов, который часто используется для сокрытия данных, называется Slacker (часть Metasploit фреймворк).[10] Slacker разбивает файл и помещает каждую часть этого файла в свободное пространство других файлов, тем самым скрывая их от программы судебной экспертизы.[8] Другой метод сокрытия данных предполагает использование сбойных секторов. Чтобы выполнить этот метод, пользователь меняет конкретный сектор с хорошего на плохой, а затем данные помещаются в этот конкретный кластер. Считается, что инструменты судебной экспертизы сочтут эти кластеры плохими и продолжат работу без какой-либо проверки их содержимого.[8]

Удаление артефактов

Методы, используемые при стирании артефактов, предназначены для безвозвратного удаления отдельных файлов или целых файловых систем. Этого можно достичь с помощью различных методов, в том числе утилит для очистки диска, утилит для очистки файлов и методов размагничивания / уничтожения диска.[1]

Утилиты очистки диска

Утилиты очистки дисков используют различные методы для перезаписи существующих данных на дисках (см. остаточные данные ). Эффективность утилит для очистки дисков как анти-криминалистических инструментов часто ставится под сомнение, поскольку некоторые считают, что они не полностью эффективны. Эксперты, которые не верят, что утилиты очистки дисков приемлемы для очистки дисков, основывают свое мнение на текущей политике Министерства обороны США, которая утверждает, что единственно приемлемой формой очистки является размагничивание. (Увидеть Национальная программа промышленной безопасности.) Утилиты очистки диска также критикуются за то, что они оставляют подписи о том, что файловая система была стерта, что в некоторых случаях недопустимо. Некоторые из широко используемых утилит для очистки дисков включают DBAN, srm, BCWipe Total WipeOut, KillDisk, PC Inspector и CyberScrubs cyberCide. Другой вариант, одобренный NIST и АНБ это CMRR Secure Erase, в котором используется команда Secure Erase, встроенная в ATA Технические характеристики.

Утилиты для очистки файлов

Утилиты очистки файлов используются для удаления отдельных файлов из операционной системы. Преимущество утилит очистки файлов заключается в том, что они могут выполнить свою задачу за относительно короткий промежуток времени, в отличие от утилит очистки диска, которые занимают гораздо больше времени. Еще одно преимущество утилит для очистки файлов заключается в том, что они обычно оставляют гораздо меньшую подпись, чем утилиты для очистки диска. У утилит для очистки файлов есть два основных недостатка: во-первых, они требуют участия пользователя в процессе, а во-вторых, некоторые эксперты считают, что программы для очистки файлов не всегда корректно и полностью стирают информацию о файлах.[11][12] Некоторые из широко используемых утилит для очистки файлов включают BCWipe, R-Wipe & Clean, Eraser, Aevita Wipe & Delete и CyberScrubs PrivacySuite. В инструментах GNU / Linux, таких как крошить и srm может также использоваться для стирания отдельных файлов.[13][14] SSD по своей конструкции труднее стереть, поскольку микропрограмма может записывать данные в другие ячейки, что позволяет восстанавливать данные. В этих случаях следует использовать ATA Secure Erase для всего диска с такими инструментами, как hdparm которые его поддерживают.[15]

Методы размагничивания / разрушения диска

Диск размагничивание это процесс, с помощью которого магнитное поле прикладывается к цифровому мультимедийному устройству. В результате получается устройство, полностью очищенное от ранее сохраненных данных. Размагничивание редко используется в качестве метода противодействия судебной экспертизе, несмотря на то, что это эффективное средство обеспечения удаления данных. Это связано с высокой стоимостью устройств размагничивания, которые рядовому потребителю сложно себе позволить.

Более часто используемый метод удаления данных - это физическое разрушение устройства. В NIST рекомендует, чтобы «физическое уничтожение могло быть выполнено с использованием различных методов, включая дезинтеграцию, сжигание, измельчение, измельчение и плавление».[16]

Обфускация следов

Цель запутывания следов - запутать, дезориентировать и отвлечь процесс судебно-медицинской экспертизы. Обфускация следа охватывает различные методы и инструменты, в том числе «очистители журналов, спуфинг, дезинформация, межсетевое переключение, зомбированные учетные записи, троянские команды ".[1]

Одним из наиболее широко известных инструментов обфускации следов является Timestomp (часть Metasploit Framework ).[10] Timestomp дает пользователю возможность изменять файл метаданные относящиеся к времени / дате доступа, создания и изменения.[3] Используя такие программы, как Timestomp, пользователь может сделать любое количество файлов бесполезным в юридических условиях, напрямую поставив под сомнение достоверность файлов.[нужна цитата ]

Еще одна хорошо известная программа для обфускации следов - Transmogrify (также часть Metasploit Framework).[10] В большинстве типов файлов заголовок файла содержит идентифицирующую информацию. Файл (.jpg) будет содержать информацию заголовка, которая идентифицирует его как (.jpg ), а (.doc ) будет содержать информацию, идентифицирующую его как (.doc), и так далее. Transmogrify позволяет пользователю изменять информацию заголовка файла, поэтому заголовок (.jpg) может быть изменен на заголовок (.doc). Если программа судебно-медицинской экспертизы или Операционная система если бы выполнить поиск изображений на машине, он просто увидел бы файл (.doc) и пропустил бы его.[3]

Атаки на компьютерную криминалистику

В прошлом средства защиты от судебной экспертизы были сосредоточены на атаке на криминалистический процесс путем уничтожения данных, сокрытия данных или изменения информации об использовании данных. Анти-криминалистика недавно перешла в новую сферу, где инструменты и методы сосредоточены на атаке на судебно-медицинские инструменты, выполняющие экспертизу. Эти новые методы борьбы с судебной экспертизой извлекли выгоду из ряда факторов, включая хорошо задокументированные процедуры судебной экспертизы, широко известные уязвимости инструментов судебной экспертизы и сильную зависимость цифровых судебных экспертов от своих инструментов.[1]

Во время типичной судебно-медицинской экспертизы эксперт создает образ дисков компьютера. Это предохраняет исходный компьютер (улики) от искажения средствами судебной экспертизы. Хеши создаются программным обеспечением судебной экспертизы для проверки целостность изображения. Один из последних методов борьбы с инструментами нацелен на целостность хэша, который создается для проверки образа. Нарушая целостность хэша, можно оспорить любые доказательства, собранные в ходе последующего расследования.[1]

Физический

Чтобы предотвратить физический доступ к данным при включенном компьютере (например, в случае кражи с захватом и передачи или изъятия у правоохранительных органов), можно реализовать различные решения:

  • Программные фреймворки, такие как USBGuard или USBKill реализует политики авторизации USB и политики методов использования. Если программное обеспечение запускается путем вставки или удаления USB-устройств, может быть выполнено определенное действие.[17] После ареста Шелковый путь администратор Росс Ульбрихт, был создан ряд доказательств концепции анти-криминалистических инструментов для обнаружения изъятия компьютера у владельца с целью его выключения, что делает данные недоступными при использовании полного шифрования диска.[18][19]
  • А Кенсингтонский замок безопасности присутствует на многих устройствах и с соответствующим может предотвратить кражу со стороны оппортунистических воров.
  • Использование функции обнаружения вторжения шасси в чехол для компьютера или датчик (например, фотоприемник ) оснащены взрывчаткой для самоуничтожение. В некоторых юрисдикциях этот метод может быть незаконным, поскольку он может серьезно искалечить или убить неавторизованного пользователя и может заключаться в уничтожение доказательств.[20]
  • Батарею можно было снять с ноутбука, чтобы он работал, только когда он подключен к блоку питания. Если кабель отсоединен, компьютер немедленно выключится, что приведет к потере данных. Однако в случае скачка напряжения произойдет то же самое.

Некоторые из этих методов основаны на выключении компьютера, в то время как данные могут сохраняться в ОЗУ от пары секунд до пары минут, что теоретически позволяет холодная атака.[21][22][23] Криогенное замораживание ОЗУ может продлить это время еще больше, и были обнаружены некоторые атаки на дикую природу.[24] Существуют методы противодействия этой атаке, которые могут перезаписывать память перед выключением. Некоторые анти-криминалистические инструменты даже определяют температуру ОЗУ, чтобы выполнить выключение, когда она ниже определенного порога.[25][26]

Были предприняты попытки создать устойчивый к взлому настольный компьютер (по состоянию на 2020 год модель ORWL является одним из лучших примеров). Однако безопасность этой конкретной модели обсуждается исследователями безопасности и Qubes OS основатель Иоанна Рутковска.[27]

Эффективность анти-криминалистики

Антисудебные методы основаны на нескольких недостатках судебно-экспертного процесса, включая человеческий фактор, зависимость от инструментов и физические / логические ограничения компьютеров.[28] Уменьшая уязвимость судебно-экспертного процесса к этим слабостям, эксперт может снизить вероятность успешного воздействия антисудебных методов на расследование.[28] Это может быть достигнуто путем повышения уровня подготовки следователей и подтверждения результатов с помощью различных инструментов.

Смотрите также

Примечания и ссылки

  1. ^ а б c d е ж г Роджерс, Д. М. (2005). Антисудебная презентация для Lockheed Martin. Сан Диего.
  2. ^ Grugq (2002). «Победить криминалистический анализ в Unix». Получено 2019-09-06. Журнал Phrack.
  3. ^ а б c d Беринато, С. (2007). Подъем анти-криминалистики. Получено 19 апреля 2008 г. из CSO Online: http://www.csoonline.com/article/221208/The_Rise_of_Anti_Forensics
  4. ^ Хартли, В. Мэтью. (2007). Текущие и будущие угрозы цифровой криминалистике. «Архивная копия» (PDF). Архивировано из оригинал (PDF) на 2011-07-22. Получено 2010-06-02.CS1 maint: заархивированная копия как заголовок (ссылка на сайт)
  5. ^ "Black Hat USA 2005 - Поймай меня, если сможешь - 27 июля 2005". Фостер, Дж. К. и Лю, В. (2005). Получено 11 января 2016.
  6. ^ Перон, К.С.Дж. (нет данных). Цифровая анти-криминалистика: новые тенденции в методах преобразования данных. от Секкурис: http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdf В архиве 2008-08-19 на Wayback Machine
  7. ^ Генри, П. А. (2006). Безопасные вычисления с помощью анти-криминалистики [Видео файл LayerOne]. Полученное из https://www.youtube.com/watch?v=q9VUbiFdx7w&t=2m18s
  8. ^ а б c Бергель, Х. (2007 / том 50, № 4). Скрытие данных, криминалистика и анти-криминалистика. Коммуникации ACM, 15-20.
  9. ^ Карр, Дж. (2007). Методы противодействия судебной экспертизе, используемые джихадистскими веб-сайтами. Получено 21 апреля 2008 г. из eSecurityPlanet: http://www.esecurityplanet.com/prevention/article.php/3694711 В архиве 2012-07-30 в Archive.today
  10. ^ а б c «Проект по борьбе с криминалистикой Metasploit (MAFIA) - Епископ Фокс». Винсент Лю. Получено 11 января 2016.
  11. ^ https://www.stellarinfo.com/blog/myths-about-disk-wiping-and-solid-state-drives/
  12. ^ https://allgreenrecycling.com/what-is-data-destruction/
  13. ^ https://linux.die.net/man/1/shred
  14. ^ http://manpages.ubuntu.com/manpages/precise/man1/srm.1.html
  15. ^ https://drbobtechblog.com/secure-erase-wipe-ssd-will-work/
  16. ^ Киссель, Р., Шолль, М., Сколоченко, С., и Ли, X. (2006). Рекомендации по дезинфекции СМИ. Гейтерсбург: Отдел компьютерной безопасности, Национальный институт стандартов и технологий.
  17. ^ https://github.com/USBGuard/usbguard
  18. ^ https://github.com/hephaest0s/usbkill
  19. ^ https://github.com/NateBrune/silk-guardian
  20. ^ https://definitions.uslegal.com/d/destruction-of-evidence/
  21. ^ https://www.usenix.org/legacy/event/sec08/tech/full_papers/halderman/halderman.pdf
  22. ^ https://apps.dtic.mil/dtic/tr/fulltext/u2/a545078.pdf
  23. ^ https://web.eecs.umich.edu/~misiker/resources/HPCA17-coldboot.pdf
  24. ^ https://hackaday.com/tag/cold-boot/
  25. ^ https://linuxaria.com/howto/protect-linux-from-cold-boot-attacks-with-tresor
  26. ^ https://tails.boum.org/doc/advanced_topics/cold_boot_attacks/index.en.html
  27. ^ https://blog.invisiblethings.org/2016/09/03/gotits-about-orwl.html
  28. ^ а б Харрис, Р. (2006). Достижение консенсуса против судебной экспертизы: изучение того, как определять и контролировать проблему анти-криминалистики. Получено 9 декабря 2010 г. из: http://www.dfrws.org/2006/proceedings/6-Harris.pdf

внешние ссылки