Большинство преступников — далеко не профессионалы, поэтому и используемые ими способы сокрытия данных наивны. И тем не менее эти способы в массе своей срабатывают — просто потому, что у следователя может не быть времени или достаточной квалификации для того, чтобы провести качественный анализ. Какие же способы используют среднестатистический Джон и среднестатистическая Мэри, чтобы сокрыть улики? Набор уловок невелик, а сами уловки достаточно бесхитростны.

В один прекрасный день я настраивал вложенный криптоконтейнер, защищенный аппаратным криптоключом, и пытался понять, как можно добраться до информации, если ключ выдернули из компьютера. В голове все более четко формировался ответ: никак. В этот самый момент меня попросили прокомментировать документ — по сути, руководство полицейских экспертов по поиску цифровых улик. Документ привел меня в такой восторг, что, не спросив официального разрешения от его авторов, я решил написать на его основе статью. Вложенные криптоконтейнеры вместе с аппаратным криптоключом отправились в сторону, а я сел изучать методы, которыми, по словам полицейских, большинство подследственных пытаются заметать следы и скрывать улики.

 

Перемещение данных в другую папку

Нет, сейчас мы обсуждаем не «сокрытие» коллекции порнографических картинок в папке «Курсовые по сопромату». Мы обсуждаем наивный, но достаточно действенный способ спрятать улики, просто переместив определенные данные в другое место на диске.

Что это, очевидная глупость или запредельное простодушие? Каким бы наивным ни казался этот способ, он вполне может сработать для редких и экзотических данных — таких как jump lists (кстати, а знаешь ли ты, что это такое?) или база данных мессенджера WhatsApp. У эксперта может просто не найтись времени или достаточной целеустремленности, чтобы обшаривать весь компьютер в поисках базы данных от… а от чего, собственно? Программ для мгновенного обмена сообщениями существует сотни, если не тысячи; поди пойми, какой из них пользовался преступник. И, заметь, у каждого приложения сугубо собственные пути к файлам, имена и даже свои форматы баз данных. Искать их вручную на компьютере с десятками тысяч папок и сотнями тысяч файлов — занятие бесперспективное.

Очевидно, что такой способ сокрытия улик сработает, исключительно если расследуются преступления, не связанные с информационной безопасностью. У следователя может не возникнуть вопросов по поводу содержимого жесткого диска подозреваемого, и его анализ превратится в формальность. В таких и только таких случаях метод — назовем его «методом Неуловимого Джо» — может сработать.

 

Использование «безопасных» методов коммуникации

Этот пункт вызвал у меня особое восхищение. Современные преступники, как ни странно, неплохо ориентируются в вопросах безопасности. Они довольно хорошо представляют, каким образом передаются сообщения между участниками чата, где они сохраняются и как их удалять.

В документе подробно описываются возможности, которыми может воспользоваться следствие для того, чтобы все-таки получить доступ к чатам. Здесь и исследование областей freelist баз данных в формате SQLite, и официальные запросы к производителям мессенджеров (например, Microsoft без лишних вопросов отдаст следствию логи бесед в Skype — ведь хранятся они на серверах компании), и даже запросы к производителям смартфонов (здесь вспоминается история, в которой компания BlackBerry помогла канадской полиции локализовать банду наркоторговцев, решивших воспользоваться фирменным мессенджером компании на старой платформе BlackBerry OS).

В этой связи на ум приходит курьезный случай, о котором я услышал на полицейском мероприятии. Американская полиция задержала человека, подозревавшегося в наркоторговле в особо крупных размерах. Подозреваемый был неплохо подкован технически и в качестве единственного метода общения выбрал Apple iMessage. Сообщения iMessage не сохраняются на серверах Apple, а подозреваемый тщательно очищал историю переписки после каждой сессии. В резервной копии его iPhone не обнаружилось ничего интересного.

Однако, когда полиция взялась за исследование его компьютера (у преступника был Mac), их радости не было предела: на компьютере нашлись сотни тысяч (!) сообщений, о самом существовании которых преступник (теперь уже точно преступник) вовсе не подозревал. Осудить наркоторговца помогла новинка (на тот момент) от Apple — система Continuity, которая синхронизировала сообщения iMessage между всеми устройствами, зарегистрированными в одной учетной записи.

К слову, докладчик жаловался, что все существовавшие на тот момент программы для анализа баз данных iMessage не справлялись с таким количеством сообщений и попросту падали; полиции пришлось писать собственную утилиту для парсинга разбухшей БД.

Мораль? Морали здесь нет: если ты не специалист в IT, знать о подобных моментах невозможно.

 

Переименование файлов

Еще одна наивная попытка спрятать улики — переименование файлов. Как бы просто это ни звучало, переименование, к примеру, зашифрованной базы данных какого-нибудь защищенного мессенджера во что-то вроде C:\Windows\System32\oobe\en-US\audit.mui вполне в состоянии пройти мимо внимательного взгляда эксперта. Действительно, в каталогах Windows хранятся тысячи файлов; найти среди них что-то необычное (особенно если оно не выделяется размерами) — задача, ручным трудом не решаемая.

Каким образом ищут такие файлы? Наивному обывателю простительно не знать о существовании целого класса специализированных программ, предназначенных именно для поиска подобных файлов на дисках (и образах дисков) подозреваемых. Используется отнюдь не только поиск по имени файла; применяется комплексный подход, когда анализируются следы (например, в реестре Windows) установленных приложений, после чего отслеживаются пути к файлам, к которым получали доступ эти приложения.

Другой популярный способ поиска переименованных файлов — так называемый карвинг, или сквозной поиск по содержимому. В точности такой же подход, иначе известный как «поиск по сигнатурам», использовался с начала времен абсолютно во всех антивирусных программах. При помощи карвинга можно проанализировать как содержимое файлов на диске, так и содержимое самого диска (или только занятых областей) на низком уровне.

Стоит ли переименовывать файлы? Это — очередная хитрость «Неуловимого Джо», способная защитить лишь от очень ленивого следователя.

Продолжение статьи доступно только подписчикам

Cтатьи из последних выпусков журнала можно покупать отдельно только через два месяца после публикации. Чтобы читать эту статью, необходимо купить подписку.

Подпишись на журнал «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

10 комментариев

  1. Ckomop0x

    22.12.2017 at 13:22

    Спасибо за инфу. Какая-то очень хаотичная статья и тема с SSD указывает только на то, что данные удаляются оттуда очень хорошо…

  2. inkognito.o

    22.12.2017 at 14:07

    А теперь можно сделать статью как можно всё таки удалить насмерть данные;)

  3. Annon

    23.12.2017 at 01:33

    Не пользуешься автокопиями приятных помощников. Чистишь все что нужно, потом заполняешь все пространство разным бредом до последнего бита, удаляешь заполненное…. — профит- Или я не так все понимаю?

  4. joker2k1

    23.12.2017 at 14:24

    ну последний случай это вообще жесть какая то, все эти системы шифрования тогда нафиг не нужны получается.

    • Anty

      06.01.2018 at 16:31

      Никто не мешал подозреваемому дать неправильные пароли и «поклясться мамой», что это именно они. Но ведь он уперся и противодействует! Это действительно тонкости юриспруденции — сотрудничать не хочет или хочет, но не может.
      Но есть чисто технический аспект — спецслужба обращается к производителю цифрового сейфа и говорит — дайте суперключ или откройте данные своим суперключом и свидетельствуйте своим сотрудником (экспертом в этом деле) против этого извращенца. В этом случае для хитреца три исхода — производитель цифрового сейфа идет на сотрудничество, и хитрец получает по заслугам. Либо не получает, в зависимости от фактически прошедшего срока, качества его юристов и серьезности содержимого сейфа). Либо производитель не идет на сотрудничество, и тогда его нежелание сотрудничества с законом становится основанием для его совершенно легального выпиливания из бизнеса. Вы скажете — да черта с два! Наоборот, теперь этими сейфами наоборот начнут пользоваться разные преступники!
      Но есть такой интересный момент — если этого хитреца всё-таки прижмут, пользуясь другой случайно найденной уликой, свидетелем, и т.п., и он таки-сядет… производитель сейфа становится покрывающим преступление. А вы купите накопитель с шифрованием, если его производитель впутан в судебные процессы, и судьба его бизнеса зависит от законников, и в случае прекращения его работы поддержка Вашего устройства тоже под вопросом? Ну, мало ли, у вас будет другая проблема, и решить мог бы производитель, но увы!… А если на рынке есть аналогичные модели того же уровня и ценника, но без всех этих проблем с репутацией, вы тоже будете настаивать на своём? 😉

  5. suhorez

    25.12.2017 at 00:11

    Я что то последнее время совсем тугой. Если максимальный срок по некоторой статье составляет скажем 20 лет. А он не дал пароли от NAS. Сидеть ему пожизненно что ли. По моему вы тут бред несете. Или статья явно проплаченная. Такое возможно только у нас в России. Но вы говорите про Запад.Есть очень много не стыковок у вас в статье.

  6. suhorez

    25.12.2017 at 00:26

    Статья остерегает кулхацкеров. И говорит не пользуйтесь вы этой проприетарщиной как вынь и мак а до конца изучите арч дебиан дженту фрю или опенку. И будет вам счастье с опенкой.

  7. baddad

    07.01.2018 at 01:39

    Для кого это статья? Детский бред. Концовка вообще убила ))

Оставить мнение

Check Also

Десятка быстрых. Выбираем консольный софт для повседневных нужд

И вновь на страницах нашего журнала рубрика «Кто самый большой гик на планете». В этот раз…