Большинство преступников — далеко не профессионалы, поэтому и используемые ими способы сокрытия данных наивны. И тем не менее эти способы в массе своей срабатывают — просто потому, что у следователя может не быть времени или достаточной квалификации для того, чтобы провести качественный анализ. Какие же способы используют среднестатистический Джон и среднестатистическая Мэри, чтобы сокрыть улики? Набор уловок невелик, а сами уловки достаточно бесхитростны.

В один прекрасный день я настраивал вложенный криптоконтейнер, защищенный аппаратным криптоключом, и пытался понять, как можно добраться до информации, если ключ выдернули из компьютера. В голове все более четко формировался ответ: никак. В этот самый момент меня попросили прокомментировать документ — по сути, руководство полицейских экспертов по поиску цифровых улик. Документ привел меня в такой восторг, что, не спросив официального разрешения от его авторов, я решил написать на его основе статью. Вложенные криптоконтейнеры вместе с аппаратным криптоключом отправились в сторону, а я сел изучать методы, которыми, по словам полицейских, большинство подследственных пытаются заметать следы и скрывать улики.

 

Перемещение данных в другую папку

Нет, сейчас мы обсуждаем не «сокрытие» коллекции порнографических картинок в папке «Курсовые по сопромату». Мы обсуждаем наивный, но достаточно действенный способ спрятать улики, просто переместив определенные данные в другое место на диске.

Что это, очевидная глупость или запредельное простодушие? Каким бы наивным ни казался этот способ, он вполне может сработать для редких и экзотических данных — таких как jump lists (кстати, а знаешь ли ты, что это такое?) или база данных мессенджера WhatsApp. У эксперта может просто не найтись времени или достаточной целеустремленности, чтобы обшаривать весь компьютер в поисках базы данных от… а от чего, собственно? Программ для мгновенного обмена сообщениями существует сотни, если не тысячи; поди пойми, какой из них пользовался преступник. И, заметь, у каждого приложения сугубо собственные пути к файлам, имена и даже свои форматы баз данных. Искать их вручную на компьютере с десятками тысяч папок и сотнями тысяч файлов — занятие бесперспективное.

Очевидно, что такой способ сокрытия улик сработает, исключительно если расследуются преступления, не связанные с информационной безопасностью. У следователя может не возникнуть вопросов по поводу содержимого жесткого диска подозреваемого, и его анализ превратится в формальность. В таких и только таких случаях метод — назовем его «методом Неуловимого Джо» — может сработать.

 

Использование «безопасных» методов коммуникации

Этот пункт вызвал у меня особое восхищение. Современные преступники, как ни странно, неплохо ориентируются в вопросах безопасности. Они довольно хорошо представляют, каким образом передаются сообщения между участниками чата, где они сохраняются и как их удалять.

В документе подробно описываются возможности, которыми может воспользоваться следствие для того, чтобы все-таки получить доступ к чатам. Здесь и исследование областей freelist баз данных в формате SQLite, и официальные запросы к производителям мессенджеров (например, Microsoft без лишних вопросов отдаст следствию логи бесед в Skype — ведь хранятся они на серверах компании), и даже запросы к производителям смартфонов (здесь вспоминается история, в которой компания BlackBerry помогла канадской полиции локализовать банду наркоторговцев, решивших воспользоваться фирменным мессенджером компании на старой платформе BlackBerry OS).

В этой связи на ум приходит курьезный случай, о котором я услышал на полицейском мероприятии. Американская полиция задержала человека, подозревавшегося в наркоторговле в особо крупных размерах. Подозреваемый был неплохо подкован технически и в качестве единственного метода общения выбрал Apple iMessage. Сообщения iMessage не сохраняются на серверах Apple, а подозреваемый тщательно очищал историю переписки после каждой сессии. В резервной копии его iPhone не обнаружилось ничего интересного.

Однако, когда полиция взялась за исследование его компьютера (у преступника был Mac), их радости не было предела: на компьютере нашлись сотни тысяч (!) сообщений, о самом существовании которых преступник (теперь уже точно преступник) вовсе не подозревал. Осудить наркоторговца помогла новинка (на тот момент) от Apple — система Continuity, которая синхронизировала сообщения iMessage между всеми устройствами, зарегистрированными в одной учетной записи.

К слову, докладчик жаловался, что все существовавшие на тот момент программы для анализа баз данных iMessage не справлялись с таким количеством сообщений и попросту падали; полиции пришлось писать собственную утилиту для парсинга разбухшей БД.

Мораль? Морали здесь нет: если ты не специалист в IT, знать о подобных моментах невозможно.

 

Переименование файлов

Еще одна наивная попытка спрятать улики — переименование файлов. Как бы просто это ни звучало, переименование, к примеру, зашифрованной базы данных какого-нибудь защищенного мессенджера во что-то вроде C:\Windows\System32\oobe\en-US\audit.mui вполне в состоянии пройти мимо внимательного взгляда эксперта. Действительно, в каталогах Windows хранятся тысячи файлов; найти среди них что-то необычное (особенно если оно не выделяется размерами) — задача, ручным трудом не решаемая.

Каким образом ищут такие файлы? Наивному обывателю простительно не знать о существовании целого класса специализированных программ, предназначенных именно для поиска подобных файлов на дисках (и образах дисков) подозреваемых. Используется отнюдь не только поиск по имени файла; применяется комплексный подход, когда анализируются следы (например, в реестре Windows) установленных приложений, после чего отслеживаются пути к файлам, к которым получали доступ эти приложения.

Другой популярный способ поиска переименованных файлов — так называемый карвинг, или сквозной поиск по содержимому. В точности такой же подход, иначе известный как «поиск по сигнатурам», использовался с начала времен абсолютно во всех антивирусных программах. При помощи карвинга можно проанализировать как содержимое файлов на диске, так и содержимое самого диска (или только занятых областей) на низком уровне.

Стоит ли переименовывать файлы? Это — очередная хитрость «Неуловимого Джо», способная защитить лишь от очень ленивого следователя.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


10 комментариев

  1. Ckomop0x

    22.12.2017 at 13:22

    Спасибо за инфу. Какая-то очень хаотичная статья и тема с SSD указывает только на то, что данные удаляются оттуда очень хорошо…

  2. inkognito.o

    22.12.2017 at 14:07

    А теперь можно сделать статью как можно всё таки удалить насмерть данные;)

  3. Annon

    23.12.2017 at 01:33

    Не пользуешься автокопиями приятных помощников. Чистишь все что нужно, потом заполняешь все пространство разным бредом до последнего бита, удаляешь заполненное…. — профит- Или я не так все понимаю?

  4. joker2k1

    23.12.2017 at 14:24

    ну последний случай это вообще жесть какая то, все эти системы шифрования тогда нафиг не нужны получается.

    • Anty

      06.01.2018 at 16:31

      Никто не мешал подозреваемому дать неправильные пароли и «поклясться мамой», что это именно они. Но ведь он уперся и противодействует! Это действительно тонкости юриспруденции — сотрудничать не хочет или хочет, но не может.
      Но есть чисто технический аспект — спецслужба обращается к производителю цифрового сейфа и говорит — дайте суперключ или откройте данные своим суперключом и свидетельствуйте своим сотрудником (экспертом в этом деле) против этого извращенца. В этом случае для хитреца три исхода — производитель цифрового сейфа идет на сотрудничество, и хитрец получает по заслугам. Либо не получает, в зависимости от фактически прошедшего срока, качества его юристов и серьезности содержимого сейфа). Либо производитель не идет на сотрудничество, и тогда его нежелание сотрудничества с законом становится основанием для его совершенно легального выпиливания из бизнеса. Вы скажете — да черта с два! Наоборот, теперь этими сейфами наоборот начнут пользоваться разные преступники!
      Но есть такой интересный момент — если этого хитреца всё-таки прижмут, пользуясь другой случайно найденной уликой, свидетелем, и т.п., и он таки-сядет… производитель сейфа становится покрывающим преступление. А вы купите накопитель с шифрованием, если его производитель впутан в судебные процессы, и судьба его бизнеса зависит от законников, и в случае прекращения его работы поддержка Вашего устройства тоже под вопросом? Ну, мало ли, у вас будет другая проблема, и решить мог бы производитель, но увы!… А если на рынке есть аналогичные модели того же уровня и ценника, но без всех этих проблем с репутацией, вы тоже будете настаивать на своём? 😉

  5. suhorez

    25.12.2017 at 00:11

    Я что то последнее время совсем тугой. Если максимальный срок по некоторой статье составляет скажем 20 лет. А он не дал пароли от NAS. Сидеть ему пожизненно что ли. По моему вы тут бред несете. Или статья явно проплаченная. Такое возможно только у нас в России. Но вы говорите про Запад.Есть очень много не стыковок у вас в статье.

  6. suhorez

    25.12.2017 at 00:26

    Статья остерегает кулхацкеров. И говорит не пользуйтесь вы этой проприетарщиной как вынь и мак а до конца изучите арч дебиан дженту фрю или опенку. И будет вам счастье с опенкой.

  7. baddad

    07.01.2018 at 01:39

    Для кого это статья? Детский бред. Концовка вообще убила ))

Оставить мнение

Check Also

ОС максимальной секретности. Выбираем дистрибутив для обхода блокировок и защиты от слежки

Возможно, ты уже пользовался дистрибутивом Tails или даже запускаешь его ежедневно. Но это…