среда, 11 декабря 2013 г.

Интернет и закон: инструменты компьютерных детективов

В мире, где есть Google и Facebook, «Большому брату» делать нечего. Зачем за кем-то следить специально, если достаточно заглянуть в историю поиска или на список виртуальных друзей подозреваемого?

Примеров достаточно, самый, наверное, известный — суд над матерью девочки по имени Кейли Энтони. Ребенок пропал без вести 16 июня 2011 г., тело было найдено в декабря того же года. Адвокаты обвиняемой утверждали, что Кейли утонула — и суд присяжных признал мать невиновной. Однако присяжные не знали, что по результатам исследования домашнего компьютера семьи Энтони в истории поиска обнаружились запросы, связанные с удушением, они были сделаны... в день исчезновения Кейли.

Многие ли сознают, что, добавляя в контакты Android-смартфона фотографию приятеля, сообщают Google о том, как он выглядит? Проведите эксперимент: попробуйте добавить данные в Google Hangouts. Чистая форма для новой записи о контакте. Введите адрес электронной почты... Google услужливо покажет его фотографию, заодно предложив указать ФИО, номер мобильного телефона и т. д.

Стоит ли удивляться, откуда социальные сети и поисковые системы так много знают о своих пользователях? Ваш собеседник, может быть, совершенно случайно стал владельцем учетной записи в Gmail (поскольку Google требует ее создания при активации нового Android-смартфона), но добрые товарищи сообщат о нем все. День рождения, домашний адрес, организацию и должность... Из самых лучших побуждений.


Но профессия компьютерного детектива не становится проще. Злоумышленники хитры, пользователи беспечны, и все вместе создает питательную среду для самых разных компьютерных преступлений. Это не только DDoS или похищение PIN-кодов кредитных карточек. Сфера работы ИТ-детектива сегодня расширилась, охватывая не только реальный мир, но и мир виртуальный.

Цифровые устройства — отражение реальной жизни своих владельцев. И они становятся одним из самых существенных источников информации, жизненно необходимых на наиболее сложных этапах расследования сборе доказательств и анализе информации.

Как добываются доказательства, если они сохранены на дисках, предусмотрительно отформатированных киберпреступником, или в его смартфоне, который он тоже благополучно вычистил? Можно ли это вообще сделать? Как показывает практика — вполне. Если не предпринимать специальных усилий для затирания информации, то с жесткого диска она восстанавливается довольно легко, соответствующие программы широко распространены и несложны в применении.

В случае, когда накопитель прошел процедуру «затирания» другими данными, многократной перезаписи секторов, где хранится конфиденциальная информация, ситуация сложнее. Существует несколько стандартов, определяющих глубину такой очистки, но известно, что при наличии специальной аппаратуры надежно вроде бы уничтоженные данные удается восстановить.

С флэш-памятью ситуация и проще, и сложнее. Как известно, всякому активному пользователю, флэш-носители, как правило, «дохнут» сразу и надежно. К тому же карта или флэшка, не читаемая на обычной, «бытовой» ИТ-аппаратуре, может быть прочитана на специальном стенде — в крайнем случае, из нее могут быть извлечены микросхемы.

Однако просто извлечь образ данных недостаточно, необходимо еще и разобраться в них. Современный ПК или смартфон — это отнюдь не упорядоченное хранилище информации, снабженное удобным интерфейсом, который позволяет компетентным органам или компьютерным детективам посекундно восстановить картину поведения подозрительной особы. В большинстве случаев двоичный образ памяти компьютерной системы точнее всего описывает слово «бардак».

В нем сначала требуется восстановить системные структуры, от секторов перейти к разделам, затем — к файлам и каталогам, проанализировать структуры данных прикладных программ, файлов данных, БД, системных модулей и др. В ходе процесса потребуется исключить кусочки от удаленных и временных файлов, выявить типы двоичных объектов, сохраненных паролей и т. д. Такая задача весьма нетривиальна и требует как специального инструментария, так и работы опытного эксперта.

Кстати, именно по этой причине специалисты слабо верят в откровения Эдварда Сноудена. Даже если предположить, что спецслужбы имеют возможность подключаться к ЦОД и каналам, используемым Интернет-гигантами, перехватывать и сохранять огромные объемы данных, задача корректного их считывания выглядит почти нерешаемой.

В массиве перехваченного трафика очень сложно восстановить структуру данных, а если это удастся, то исследователь получит набор двоичных объектов неясной природы, восстановление из которых осмысленной информации потребует знания всех внутренних форматов и протоколов, используемых участниками процесса. Более того, всех версий этих протоколов. И все это придется регулярно обновлять.

Тем не менее инструментарий существует и развивается. Современные решения для кибердетективов предоставляют множество функций, упрощающих анализ данных на ПК или мобильном устройстве злоумышленника. С технической точки зрения это комплексные системы с функциями отладчика, поисковой утилиты, даже антивируса. Анализ файлов, содержащих образ памяти компьютера, позволяет выявить многие типы улик, даже не сохраняемых на жестком диске, например личную переписку в социальной сети.

Извлекаются данные об истории посещения сайтов и поиска в браузерах, общения в программах обмена сообщениями, а также сведения о документах, таблицах и почтовых базах данных. Итоги анализа некоторых программ можно даже предъявлять в суде как вещественное доказательство. Существуют специальные версии Linux-дистрибутивов, созданные для решения задач компьютерных расследовании и содержащие большое количество инструментов. В частности, это популярный пакет тестирования защиты Metasploit, Kismet, сканер Nmap, сетевой сниффер Wireshark и т. д.

С вопросами расследования тесно связаны и средства для «восстановления паролей». Утилит, которые позволяют снять или взломать пароль, сегодня достаточно. Их разработчики весьма активны и обычно декларируют благие цели, например «вспомнить забытый пароль» или более активно применять свои разработки для расследований. Как бы то ни было, современные пакеты для вскрытия парольной защиты способны справляться с большинством популярных программ. Вскрываются даже пароли систем криптозащиты жестких дисков и криптоконтейнеров, такие как BitLocker или TrueCrypt, причем в некоторых случаях без применения полного перебора, а, скажем, с использованием попыток обнаружить следы ключей шифрования в дампах оперативной памяти и файлах гибернации, взятых с исследуемой машины.

Современное ПО для анализа мобильных телефонов позволяет извлекать сведения о географической привязке событий, определяя и показывая на карте положение мобильного телефона в момент принятия или отправки сообщений и звонков, а также данные из пользовательских папок и каталогов об удаленных из памяти самого смартфона и с SIM-карты сообщениях.

На помощь детективам приходят и весьма экзотические решения. Так, например, исследователи университета им. Фридриха-Александера (Германия) продемонстрировали оригинальную методику восстановления данных с зашифрованного Android-устройства без ввода PIN-кода или пароля. Идея состоит в том, что аппарат замораживается, после чего из него извлекается батарея, а он переводится в режим «холодной» (во всех смыслах) загрузки с подменой встроенного ПО на заранее подготовленное, содержащее средства считывания данных из памяти.., ячейки которой еще хранят остаточный заряд (DRAM не обнуляется мгновенно, при низких температурах «след» в памяти сохраняется до 20 мин). Впрочем, это, конечно, экзотика. Куда больше возможностей дает использование уязвимостей в прикладном ПО. По разным оценкам, до 20% программ для iOS и едва ли не 60% для Android не обеспечивают надлежащий уровень безопасности, а значит, могут использоваться для криминалистического анализа.

Другая задача — удостоверение подлинности фотоматериалов, приобщенных к делу. В век Photoshop и возможности редактирования снимка, сделанного смартфоном на нем же, она более чем актуальна. Инструменты, удостоверяющие отсутствие признаков монтажа, как правило, используют сигнатурные методы, сравнивая снимок с характеристиками «эталонного» фото, сделанного камерой этой же модели, а также фиксируя некоторые, очевидно неестественные области на изображении (например, подозрительно однородную заливку на снимке листьев дерева).

Не менее интересная в технологическом отношении задача — поиск стеганографии, текста, скрытого в деталях изображения. Это не обязательно должны быть буквы или цифры, замаскированные под детали фотографии. Современные утилиты стеганографии позволяют записать данные в снимок, например изменяя один-два бита в каждом пикселе. Заметить такое сообщение невооруженным глазом невозможно в принципе, современные утилиты для стеганографии могут записывать в картинку данные любых типов, вплоть до файловых архивов. И не только в картинку — такого рода приемы отлично срабатывают и с видео. Обнаружить подобные тайники чрезвычайно сложно, и создатели программных средств для компьютерных детективов активно работают в этом направлении. Пока наиболее перспективным выглядит метод статистического анализа, когда статистические характеристики подозрительной картинки (например, особенности распределения битов или пикселов изображения) сравниваются с аналогичными показателями других, более или менее похожих на нее изображений (в этом случае, например, возникает вполне очевидная эвристика: многие утилиты стеганографии используют избыточное сжатие файлов JPEG, что вполне объяснимо — им требуется как можно большая вариативность по значениям пикселов, чтобы скрытно «замести» туда пару-другую битов на каждый пиксел). 

(с) Сергей Петров