Śledczy na celowniku

Przy analizie działań wielu hakerów stosuje narzędzia informatyki śledczej, które umożliwiają zebranie śladów i ułatwiają pracę organów ścigania. Mogą być jednak celem ataków utrudniających pracę śledczym.

W przypadku podejrzenia popełnienia przestępstwa, śledczy posługują się zestawem narzędzi przeznaczonych do pobierania cyfrowych śladów z komputerów, z których korzystała osoba podejrzana o popełnienie przestępstwa. Narzędzia te potrafią analizować stan systemu operacyjnego, zainstalowane oprogramowanie, uruchomione procesy, ślady znanego złośliwego oprogramowania, pozostawione ślady w systemie plików, takie jak: poprzednie wersje dokumentów biurowych, modyfikacje, pliki tymczasowe oraz ślady zmian.

Oprogramowanie informatyki śledczej jest skomplikowane, gdyż musi analizować wiele aspektów pracy zaawansowanego systemu operacyjnego Windows, wliczając także wykrywanie nieautoryzowanych modyfikacji, zatem istnieje duże prawdopodobieństwo, że w tych aplikacjach znajdują się błędy, które można wykorzystać. Hakerzy już od dawna opracowywali narzędzia, mające na celu zablokowanie pracy narzędzi informatyki śledczej, używanych przez organy ścigania lub sprawienie, by pozyskane tą drogą informacje nie miały wartości dowodowej.

Zaszyfrowanie gwarancją poufności

Podstawowym narzędziem ochrony przed analizą za pomocą informatyki śledczej jest szyfrowanie. Cel, którym w tym przypadku jest ochrona przed narzędziami informatyki śledczej, jest zbieżny z zachowaniem poufności informacji w stanie spoczynku. Wykorzystywanie narzędzi do szyfrowania informacji jest standardowym i zalecanym zabiegiem w firmach, chroniąc informację przed utratą w przypadku kradzieży laptopa. Narzędzia szyfrujące potrafią zachować poufność całych dysków lub zawartości plików, w tym także opcję fałszywej zawartości, chroniącej cenne dane. Oprócz wykorzystania rozwiązań wbudowanych w system wielką popularnością cieszą się narzędzia firm trzecich, przy czym szczególne miejsce zajmuje tu TrueCrypt, który umie skutecznie szyfrować wolumin danych, a także pełnodyskowo chronić dane w instalacjach Windows. Narzędzie to umożliwia zaszyfrowanie woluminów także z użyciem łańcucha najmocniejszych znanych algorytmów.

Puste sektory i alternatywne strumienie

Inną formą ukrywania informacji jest umieszczenie jej w zasobach, które są trudniejsze do analizy - pozostałości sektorów dyskowych między plikiem a końcem jednostki alokacji (slack space). Narzędzie, które to realizuje, nazywa się Slacker i stanowi część projektów MAFIA (Metasploit Anti-Forensic Investigation Arsenal) utworzonych za pomocą popularnego frameworku Metasploit.

System plików NTFS umożliwia przechowanie informacji jako alternatywny strumień dowolnego pliku. W ten sposób można przechować dowolny dokument jako strumień przypisany np. do pliku tekstowego lub obrazu. Jest to właściwość systemu NTFS, do zapisu można z powodzeniem użyć typowych narzędzi systemu operacyjnego, a jednocześnie zapisane porcje danych są niewidoczne podczas przeglądania katalogów za pomocą Eksploratora Windows.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200