Solodov.pl

Nasz artykuł w Forensic Science International

Posted on 22 April 202122 April 2021 by Ilia

Zapraszamy do zapoznania się z naszym artykułem o pożarze w Kuźni Społecznej w Olsztynie, który został opublikowany w renomowanym czasopiśmie międzynarodowym Forensic Science International: Reports

Denis Solodov, Ilia Solodov, Data recovery in the case of fire-damaged Hard Disk Drives and Solid-State Drives, Forensic Science International: Reports, 2020

Zmieniamy metadane w plikach .docx

Posted on 27 March 202127 March 2021 by Denis

Wcześniej pisaliśmy o tym, że każdy plik cyfrowy (są wyjątki – pliki tworzone w Notatniku z rozszerzeniem .txt czy pliki bibliotek dynamicznych .dll) ma dodane informacje techniczne. Zakres tych informacji w przypadku każdego rodzaju plików będzie różny. Na przykład, pliki-zdjęcia (.jpg, .png itd.) będą zawierały w metadanych informacje o modelu kamery, jej producencie, warunkach, w których było robione zdjęcie, koordynaty geograficzne. Pliki .pdf zawierające oprócz tekstu zdjęcia będą miały metadane własne oraz metadane ukryte (metadane zdjęć) – o tym pisaliśmy w naszym poprzednim blogu o metadanych w plikach umieszczonych na oficjalnych stronach organów państwowych i służ specjalnych w Polsce i innych krajach. Wiemy, że metadane mogą zawierać informacje poufne i wrażliwe, w związku z czym należy je usuwać (różne formaty plików będą wymagały zastosowania różnych narzędzi i metod).

Wyobraźmy sobie jednak, że zależy nam na tym, żeby metadane pliku były zachowane – jest to pewnego rodzaju gwarancja autentyczności pliku. Mamy jednak pewien problem – musimy ukryć/zmienić rzeczywistą datę utworzenia pliku oraz czas pracy nad plikiem. Na przykład, nie chcemy, żeby z metadanych wynikało, że plik ten ściągnęliśmy z Internetu i wydajemy za swój. Co możemy w tej sytuacji zrobić?

Uwaga: metody z zakresu anti-forensics opisywane w naszym blogu są podawane wyłącznie w celach informacyjnych. Celem autorów nie jest szkolenie „cyberprzestępców”. W związku z tym autorzy zastrzegają sobie prawo do pewnych niedomówień i zmian umożliwiających wykrycie tego rodzaju manipulacji😊

Pliki w formacie .docx są de facto plikami-archiwami, których „rzeczywiste” rozszerzenie jest .zip. Możemy z łatwością o tym się przekonać, jeśli zmienimy rozszerzenie pliku w formacie .docx na .zip. Zobaczymy skompresowany folder zawierający podfoldery i pliki w formacie .xml (Extensible Markup Language) – rys. 1

Rys. 1. Zmieniamy rozszerzenie pliku na .zip

Rozpakowujemy archiwum i otwieramy rozpakowany folder – rys. 2

Metadane będziemy oczywiście szukali w subfolderze o nazwie docProps (od angielskiego Document Properties). Wewnątrz znajdziemy dwa pliki – app.xml oraz core.xml.

Wybieramy, oczywiście, ten drugi (przyda się znajomość języka angielskiego) i otwieramy go w przeglądarce – rys. 3. Data utworzenia naszego pliku to 13 grudnia 2012 roku.

Rys. 3. Zawartość pliku z metadanymi o nazwie core.xml

W pliku o nazwie app.xml znajdziemy natomiast czas pracy nad plikiem – rys. 4. W tym przypadku jest to 87 minut.

Aby zmienić te znaczenia, trzeba otworzyć w/w pliki w dowolnym redaktorze tekstowym – rys. 5

Jak widzimy, operacja ta jest stosunkowa prosta i nie wymaga zaawansowanej wiedzy z zakresu kryminalistyki cyfrowej. Niemniej jednak należy pamiętać o tym, że pliki .docx mają ukryte😊 metadane (czytaj nasz pierwszy wpis o metadanych), które mogą w sposób „niewytłumaczalny” pojawić się, kiedy przekażemy nasz plik via email, MS Teams czy dowolny inny komunikator internetowy.

PS: opisana metoda działa również w przypadku plików w formacie .pptx (MS PowerPoint) oraz .xlsx (MS Excel)

BREAKING NEWS: Metadane w plikach na stronach organów państwowych i służb

Posted on 15 March 202115 March 2021 by Denis

W poprzednim wpisie (o metadanych) opowiadaliśmy o tym, jakie znaczenie mają tego rodzaju informacje, jeśli chodzi o odtworzenie kolejności wydarzeń, ujawnienie związku pomiędzy pojedynczymi faktami itd. Podaliśmy również przykłady programów, które umożliwiają odczyt metadanych z plików różnego formatu. Programy te są wyjątkowo łatwe w obsłudze i dostępne dla każdego w sieci Internet. Niestety, jak się okazuje, metadane to nie jest tylko teoria. Otóż parę dni temu grupa naukowców z Uniwersytetu w Grenoble opublikowała wyniki badań nad danymi umieszczanymi na stronach służb specjalnych w kilkudziesięciu krajach zarówno Unii Europejskiej jak i państw spoza Unii. W abstrakcie artykułu widzimy następujące informacje:

„Organizacje [rządowe] coraz częściej publikują i udostępniają w formie elektronicznej dokumenty, takie jak pliki PDF. Niestety większość organów nie zdaje sobie sprawy z tego, że dokumenty te mogą zawierać informacje poufne, takie jak nazwiska autorów, szczegóły dotyczące systemów operacyjnych czy też architektury sieci komputerowych. Tego rodzaju dane mogą być wykorzystane przez hakerów, które dysponując tymi informacjami, są w stanie przeprowadzić pewnego rodzaju profilowanie i znaleźć „słabe punkty” w danej organizacji [chodzi tu o pracowników/funkcjonariuszy, którzy korzystają z przestarzałych wersji systemów operacyjnych czy wykazują niekompetentność w zakresie informatyki]. W artykule analizujemy ukryte dane znalezione w plikach PDF opublikowane przez organizację rządowe [służby specjalne]. Przebadano łącznie 39 664 plików PDF opublikowanych przez 75 służb specjalnych w 47 krajach. Udało nam się zmierzyć jakość i ilość informacji ujawnionych w tych plikach PDF. Zidentyfikowaliśmy tylko 7 agencji bezpieczeństwa, które oczyszczają kilka swoich plików PDF przed publikacją. Niestety, nadal byliśmy w stanie znaleźć poufne informacje w 65% tych oczyszczonych plików PDF. Niektóre służby używają słabe techniki sanityzacji [chodzi o techniki usuwania metadanych z umieszczanych na stronie dostępnej publicznie plików]”.

Cały artykuł w języku angielskim można znaleźć pod tym linkiem https://arxiv.org/abs/2103.02707

Spróbowaliśmy powtórzyć doświadczenia francuskich kolegów. Nie wdając się w szczegóły, udało się nam zobaczyć metadane [wrażliwe!] w przypadku większości plików dostępnych do pobrania na oficjalnych stronach internetowych wiodących służ polskich (Rysunek 1). Z ciekawości sprawdziliśmy oficjalne strony niektórych służb niemieckich, wynik jest taki sam. Podobnie tez jest w przypadku Rosji.

Rysunek 1. Przykład metadanych ze strony oficjalnej jednej ze służb.

Każdy z Państwa może powtórzyć te doświadczenia korzystając z programów, o których pisaliśmy.

Informacje o tym artykule jako pierwszy podał na swoim blogu Bruce Schneier.

Budowa SSD. Część 3: TRIM a odzyskiwanie danych.

Posted on 19 February 202120 February 2021 by Ilia

Jak już wiemy z poprzedniego wpisu kontroler dysku SSD musi dysponować wolnymi komórkami pamięci NAND. Jest to konieczne, jeśli chodzi o pracę translatora FTL, bez którego nie funkcjonuje logiczna adresacja LBA, a bez LBA nie działa system operacyjny, czyli użytkownik nie może korzystać z dysku SSD, odczytywać lub zapisywać jakiekolwiek dane. W związku z tym kontroler dysku SSD nieustannie szuka bloków pamięci NAND, które można zwolnić bez uszkodzenia danych użytkownika lub danych systemowych dysku SSD. Z tą drugą kategorią danych dla kontrolera „wszystko jest jasne”, bo on sam je tworzy i wypełnia treścią. Natomiast zrozumienie, które to dane użytkownika nie są mu już potrzebne, jest dla kontrolera nieco bardziej skomplikowane.

Jak pamiętamy z poprzedniego wpisu, w przypadku, kiedy użytkownik usuwa pliki, system operacyjny nie trudni się nadpisywaniem usuniętych danych, a zmienia tylko kilka bitów w odpowiednich tabelach (tzw. flagi). To powoduje, że plik z poziomu systemu operacyjnego staje się niewidoczny. W przypadku dysków SSD takie podejście powodowałoby, że po pewnym czasie dysk zapchałby się niepotrzebnymi danymi i przestał działać. Aby zwolnić zajęte przez „niepotrzebne” pliki komórki pamięci NAND (czyli wykasować te dane na stale), kontroler dysku musi najpierw zidentyfikować pliki, które nie są już potrzebne użytkownikowi.

*Na szczęście nasze dane na zawsze pozostaną w pamięci data centrów FaceBook, Google i wielu innych graczy rynku BigData.*

Czytaj dalej

W tym celu kontroler dysku SSD może zastosować dwie metody:

— zastosować algorytm umożliwiający ciągłe analizowanie struktur kluczowych systemu plików — taki algorytm będzie inny dla każdego systemu plików, tj. NTFS, FAT16/32/64, EXT2/3/4, HFS itd. Aby to robić, kontroler SSD musi mieć dodatkową moc obliczeniową oraz zwiększoną objętość własnego RAM;

— uzyskać informacje o skasowanych plikach od systemu operacyjnego.

Z uwagi na koszty, na rynku dominują urządzenia wykorzystujące te drugie podejście. Nazywa się one TRIM. TRIM jest realizowane jako jedno z poleceń interfejsu, przy pomocy którego system operacyjny komunikuje się z nośnikiem danych, czyli protokołu ATA (ang. Advanced Technology Attachments) – jego współczesną implementacją jest SATA. Za pomocą TRIM system operacyjny może przekazać oprogramowaniu SSD adresy danych, które nie są już potrzebne użytkownikowi. Te dane kontroler SSD wpisuje na listę adresów przeznaczonych do kasowania i rozładowywania (operacja erase). Obe te operacje – kasowanie i rozładowywanie – wykonywane są w tzw. wolnej chwili (idle time) w ramach wspomnianej wcześniej operacji garbage collection.

Czasami prawidłowe działanie funkcji TRIM się zakłóca, bo TRIM wymaga sprawnego współdziałania co najmniej trzech elementów komputera: systemu operacyjnego (TRIM jest nadbudową systemu operacyjnego i musi być w nim prawidłowo zaimplementowany), interfejsu znajdującego się pomiędzy systemem operacyjnym a dyskiem – musi podtrzymywać przekazywanie poleceń TRIM, oraz samego dysku SSD. Błędy w przypadku dowolnego z tych elementów mogą powodować, że TRIM przestanie funkcjonować. Niedziałający lub działający nieprawidłowo TRIM będzie z jednej strony ułatwiał odzyskiwanie usuniętych danych, które będą pozostawały w komórkach pamięci. Z drugiej strony, po jakimś czasie kontroler wykorzystuje wolne miejsce, po czym przed każdą nową operacją zapisywania danych będzie musiał rozładowywać bloki, co istotnie obniża prędkość działania nośnika. W naszej praktyce, kiedy mieliśmy podobne sytuacje, prędkość dysku SSD spadała do około 30 mb/s. Dla porównania, w trybie normalnym jest to 300-400 mb/s.

Wadą i głównym koszmarem, dzięki któremu wiemy o istnieniu TRIM jest to, że od chwili, kiedy dysk SSD otrzymał polecenie TRIM, jego kontroler zaczyna rozładowywać odpowiednie obszary pamięci, co powoduje trwałe usunięcie danych. Kontroler będzie to robił zupełnie niezależnie, w każdej chwili, jak tylko dysk otrzyma zasilanie. Na ten fakt zwrócono uwagę jeszcze w dalekim 2010 r., kiedy to grupa badaczy z australijskiego Murdoch University opisała wpływ mechanizmów działania dysków SSD na możliwości odzyskiwania danych cyfrowych.

W ramach eksperymentu popularny model dysku SSD o pojemności 64 GB porównywano do dysku typu HDD o pojemności 80 GB. Opisano zostało zjawisko tzw. korozji (ang. self-corrosion), tj. samodzielnego, bez polecenia użytkownika czy też systemu operacyjnego, trwałego niszczenia przez kontroler zapisanych na dysku danych cyfrowych.

Badany SSD wykonywał tą operację również w sytuacji, gdy badacze stosowali standardowe metody prewencyjne, zapobiegające uszkodzeniu danych używane przez biegłych policyjnych (utworzenie obrazu dysku, blokada zapisu). Co ciekawe, dysk SSD zaczynał usuwać dane już po upływie 3 minut od momentu włączenia zasilania, a w przeciągu następnych trzech minut potrafił całkowicie usunąć te dane, które były uprzednio oznaczone przez użytkownika jako „niepotrzebne” (wykonywano szybkie formatowanie dysku). W konsekwencji nie udało się odzyskać ani jednego całego pliku. Z 25 000 plików tekstowych, którymi badacze wypełnili dysk SSD, tylko jeden dało się częściowo odzyskać (na 50% jego oryginalnej zawartości). To był najlepszy rezultat. Większość plików zostało uszkodzonych nawet w 82%. „Operację” bezpiecznie „przeżyło” zaledwie 0,03% zapisanych na dysku danych.

Należy zaznaczyć, że badaczy nie zaobserwowali żadnych zmian świadczących o tym, że wykonywany jest algorytm garbage collection – nie było wizualnych czy dźwiękowych ostrzeżeń systemowych, wibracji czy kliknięć, które można byłoby w podobnej sytuacji oczekiwać mając do czynienia z dyskiem typu HDD. Pod tym względem działający dysk SSD niczym się nie różnił od dysku SSD odłączonego od zasilania. Wniosek był taki, że korozja danych cyfrowych w przypadku dysków SSD odbywa się „bezobjawowo”.

Nie każdy jednak dysk SSD zachowuje się tak, jak opisano wyżej. Pamiętajmy, że producenci tych urządzeń, a jest ich ponad 80, mają różne koncepcje, jeśli chodzi o „idealny” SSD. To dotyczy również implementacji polecenia TRIM będącego częścią standardu ATA. Badacze raportują, że niektóre wersje oprogramowania dysków SSD posiadają błędy powodujące to, że dysk nie pozbywa się danych usuniętych przez użytkownika. Nawet jeśli takich błędów nie ma, szybkość przeprowadzenia operacji garbage collection będzie zależała od właściwości fizycznych i ustawień konkretnego SSD.

Powstaje tu także pytanie – co SSD będzie robił z danymi które trafiły do garbage collection, ale nie zostały jeszcze wykasowane przez kontroler? Czy on wciąż będzie je pokazywał pod tymi samymi adresami LBA jak to robi dysk HDD? Czy je ukryje pokazując zamiast same zera? Na szczęście, ten etap funkcjonowania dysku SSD (tzw. Read After Trim) jest także przewidziany w standardzie ATA. Niemniej jednak wybór jednego z trzech proponowanych tu rozwiązań jest indywidualny dla każdego producenta:

1. Non-deterministic TRIM, czyli nie-deterministyczny odczyt po TRIM –SSD może pokazywać dane oryginalne dopóki odpowiednie bloki nie zostaną rozładowane (erase);

2. Deterministic Read After TRIM (DRAT), czyli deterministyczny odczyt po TRIM – przy próbie odczytania sektorów zawierających skasowane dane, SSD zamiast tych danych wyświetla ustawiony przez producenta wzór lub same zera;

3. Deterministic Zeroes After TRIM (DZAT), czyli deterministyczny odczyt zer po TRIM – dane użytkownika wpisane do listy garbage collection nie są pokazywane; zamiast nich pokazywane są same zera i nic więcej.

Pierwsze rozwiązanie czasami znajdziemy w najtańszych modelach dysków SSD wyprodukowanych przez mało znanych producentów. Drugie – deterministyczny odczyt po TRIM – jest najczęściej spotykane. Ostatnie, trzecie, rozwiązanie jest charakterystyczne dla dysków SSD należących do klasy enterprise, tj. tych wykorzystywanych w macierzach RAID.

Użytkownicy systemów operacyjnych na bazie Linux mogą dowiedzieć się, które rozwiązanie jest zastosowane w przypadku ich dysku (SSD) wprowadzając w Terminale polecenie hdparm –I. Na przykład:

$ sudo hdparm -I /dev/sda | grep -i trim

DRAT i DZAT powodują, że dane skasowane przez użytkownika lub system operacyjny robią się niewidoczne z poziomu interfejsu SSD. Niemniej jednak dane te mogą pozostawać przez pewien czas w kostkach pamięci NAND – aż do ich usunięcia (erase) przez kontroler dysku. Czas ten różni się w zależności od modelu dysku. W przypadku sprawnie działającego mechanizmu garbage collection może to być 15 minut lub nawet kilka lat, jeśli z jakiegoś powodu mechanizm ten nie działa. Oczywiście, jeśli odłączyć dysk SSD od zasilania od razu po tym, jak usunięto pliki, czas ten wydłuży się do kolejnego podłączenia zasilania.

Wcześniej jedynym sposobem na odzyskanie danych po uruchomieniu funkcji TRIM był tzw. chip-off – operacja polegająca na wylutowywaniu kostek pamięci i ich późniejszym odczytaniu przy pomocy specjalnego sprzętu. Trudności jednak powstają przy próbie odwrócenia przekształceń (transformacji) danych użytkownika dokonanych przez kontroler przy zapisywaniu tych danych do NAND – to jest przy odbudowywaniu „wirtualnego kontrolera” przy pomocy specjalnego oprogramowania (np. Rusolut). Tego rodzaju modyfikacje są konieczne nie tylko ze względu na dziwną „fizykę” pamięci NAND Flash (o tym pisaliśmy w pierwszej części), ale też, aby zapewnić niezawodność dysku SSD w czasie obowiązywania gwarancji. W związku z tym, odbudowa „wirtualnego kontrolera” dysku SSD jest zadaniem niesamowicie trudnym, czasochłonnym i kosztownym.

Na szczęście, ostatnio pojawiło się inne rozwiązanie – odczyt SSD w trybie factory mode (znanym również jako safe mode). Dostępne ono jest głównie dla posiadaczy programowo-sprzętowego kompleksu odzyskiwania danych PC3000 produkcji rosyjskiej. Więcej na ten temat można dowiedzieć się na oficjalnej stronie AceLab.

Wniosek końcowy brzmi następująco: aby zachować jak najwięcej danych zapisanych na dysku SSD i zwiększyć szanse na odzyskanie danych skasowanych, należy niezwłocznie odłączyć źródło zasilania.

Metadane plików – czym są i jakie znaczenie mają dla kryminalistyki cyfrowej

Posted on 10 February 202110 February 2021 by Denis

Metadane są najczęściej definiowane jako dane o danych (a set of data about other data). Nie jest to jednak definicja prawidłowa. Tak naprawdę, ze względu na różnorodność danych, które możemy zaliczać do metadanych, nie da się wypracować definicji uniwersalnej. Łatwej jest natomiast wymienić najczęściej spotykane rodzaje metadanych. Do tej kategorii zaliczamy m. in. nagłówki emailów, dane EXIF w plikach graficznych, dane o autorach, dacie utworzenia, modyfikacji i ostatniego dostępu w przypadku plików MS Word. Metadane znajdziemy również poza światem cybernetycznym. Na przykład, nazwa, obrazek na stronie tytułowej książki to są metadane. Mapa drogowa w nawigacji samochodowej to są metadane – dzięki nim lepiej radzimy sobie z obiektem bardziej skomplikowanym (teren realny).

Metadane pełnią różne funkcje, z których główną jest identyfikacja, opis danych [podstawowych] i ułatwienie procesu korzystania z tych danych. W systemach komputerowych metadane plików dzielą się na dwie grupy – metadane aplikacji, programu oraz metadane systemowe. Mówiąc w uproszczeniu, te pierwsze są przekazywane razem z plikiem do nowej lokalizacji, na przykład, za pośrednictwem emailu lub serwisu społecznościowego. Metadane systemowe pozostają, natomiast, w pamięci komputera, na którym utworzono (modyfikowano) dany plik cyfrowy – są to m. in. zapisy w MFT, czyli Master File Table.

Czytaj dalej

W zależności od rodzaju pliku, zawartość metadanych „dodawanych” przez aplikację, program, może być różna. W przypadku plików MS Word w metadanych znajdziemy informacje o dacie utworzenia, modyfikacji i ostatniego dostępu do pliku, o autorze (autorach w przypadku, kiedy plik był modyfikowany przez różne osoby), wersji Worda, czasie pracy z danym plikiem, liczbie słów.

Rys. 2. Metadane w plikach Word można zobaczyć otwierając zakładkę „Plik” i wybierając „Info”

Tego rodzaju dane mogą okazać się pomocne na przykład w sytuacji, kiedy chcemy ustalić kto stworzył dany dokument i kiedy. Dodatkowo w plikach .docx znajdziemy dane o rodzaju systemu operacyjnego, jego wersji, dacie ostatniego drukowania dokumentu (Rys. 3).

Rys. 3. Metadane w „ciele” pliku .docx (żeby je zobaczyć, musimy zmienić rozszerzenie pliku na .zip i otworzyć folder „docProps”)

W kryminalistyce cyfrowej częściej pojawia się jednak potrzeba ustalenia autentyczności plików graficznych – .jpg .bmp itd. W sprawach karnych może to być dowód sprawstwa (w przypadku plików-zdjęć pornograficznych ukazujących osoby nieletnie, zdjęć narkotyków zrobionych przez „handlarza” narkotykami w sieci Dark Web itd.) lub dowód przemawiający na korzyść obrony (w przypadku tzw. alibi cyfrowego). W sprawach cywilnych podobnego rodzaju dowody pojawiają się, na przykład, w sprawach patentowych – ustalenie pierwszeństwa, jeśli chodzi o wynalazek, sprawach rodzinnych, spadkowych. Można znaleźć i inne zastosowanie tego rodzaju danym. Na przykład, mamy zdjęcie, którego „twórcę” znamy (zdjęcie nr 1) oraz zdjęcie, którego „twórcę” nie znamy (zdjęcie nr. 2), ale potrafimy rozpoznać miejsce, gdzie zostało zrobione. Porównując metadane obu zdjęć ustalamy, że zdjęcie nr 2 zostało wykonane najprawdopodobniej przez tą samą osobę. Zbieżność metadanych w tym przypadku pomoże nam ustalić, kto jest „autorem” zdjęcia nr 2 oraz gdzie się znajdował, w czasie, kiedy było zrobione zdjęcie nr 2 – informacje te nie były dostępne na początku, wydedukowaliśmy to analizując i porównując metadane obu zdjęć (Rys. 4).

Rys. 4. Jeśli porównamy metadane tych dwóch zdjęć, to zobaczymy, że najprawdopodobniej zrobiła je ta sama osoba przy pomocy tego samego sprzętu – a więc, wiemy, gdzie ta osoba znajdowała się, kiedy było robione zdjęcie nr 2

Metadane tego rodzaju plików można zobaczyć przy pomocy narzędzia o nazwie ExifTool od Phila Harvey’a – jest to najstarsza tego rodzaju aplikacja dostępna w Internecie.

ExifTool pozwala na przeglądanie oraz modyfikację dowolnych metadanych w plikach graficznych. Za jego pomocą można również przeglądać metadane w innych rodzajach plików – .pdf .docx itd.

Najprościej jest ściągnąć wersję Windows Executable. Rozpakowujemy archiwum i korzystamy z programy po prostu przeciągając pliki na ikonkę z wielbłądem (Rys. 6).

Rys. 6. Ściągnięty i rozpakowany program

Jakiego rodzaju metadane możemy zobaczyć? Rodzaj sprzętu, na którym wykonano zdjęcie, jego model seryjny, data utworzenia, modyfikacji i ostatniego dostępu, koordynaty geograficzne miejsca, gdzie wykonano dane zdjęcie, dane techniczne (Rys. 7).

Rys. 7. Przykład metadanych (łącznie z koordynatami geograficznymi miejsca, gdzie było robione dane zdjęcie) w programie ExifTool

Analizując metadane plików zdjęciowych należy pamiętać o tym, że mogą one być łatwo zmienione – przy pomocy na przykład ExifTool. Istnieje kilka metod weryfikacji autentyczności plików zdjęciowych:

1. Zwracamy uwagę na to, co widzimy na zdjęciu – czy to, co widzimy na zdjęciu jest zgodne z tym, co widzimy w metadanych pliku (czy zgadza się pora roku, dnia, czy widać inne szczegóły, które pomogą ustalić, gdzie, w którym miejscu oraz kiedy wykonano przedmiotowe zdjęcie – rys. 8).

Rys. 8. Na tym zdjęciu można zobaczyć szczegóły, które pomogą zweryfikować autentyczność metadanych geograficznych

2. Analizujemy zgodność wewnętrzną metadanych. Należy pamiętać o tym, że data utworzenia pliku może być „starsza” lub „młodsza” od daty jego modyfikacji – te ostanie zdarza się w sytuacji, kiedy plik jest kopiowany do innej lokalizacji, do innego folderu – system operacyjny oznacza taki plik jako „nowoutworzony”, odpowiednio zmienia się też data utworzenia pliku. Bardziej stabilną jest data modyfikacji pliku – żeby ta data się zmieniła, plik musi być podany gruntownej modyfikacji – nie wystarczy, na przykład, tylko zmienić jego nazwę, trzeba zmienić zawartość (w przypadku zdjęć, na przykład, przy pomocy Photoshopu – rys. 9).

3. Analizujemy i porównujemy metadane w plikach eksperymentalnych – plikach wykonanych przy pomocy tego samego sprzętu

4. Analizujemy metadane systemowe, ich zgodność z metadanymi aplikacji zawartymi w pliku – warunkiem jest uzyskanie dostępu do komputera, na którym dany plik był otwierany lub zmieniany.

Rys. 9. Tego rodzaju manipulacja ze zdjęciem będzie powodowała automatyczną zmianę daty jego modyfikacji

Budowa SSD. Część 2: mechanizm działania kontrolera, translator FTL.

Posted on 13 January 202119 February 2021 by Ilia

To wszystko, o czym pisaliśmy w części pierwszej powoduje, że dysk SSD musi mieć pewnego rodzaju „pośrednika” pomiędzy dwoma mechanizmami zapisu i odczytu danych – adresacją logiczną LBA (którą posługuje się system operacyjny) z jednej strony a scalakiem pamięci NAND z drugiej. Ten ostatni, jak już Państwo wiecie z poprzedniego wpisu, może wykonywać tylko trzy rodzaje operacji – read, write oraz erase. Zauważmy, że nie ma wśród nich operacji rewrite, czyli nadpisywania – wynika to z fizycznych ograniczeń tego typu pamięci. Ale tak się składa, że jest to operacja istotna dla funkcjonowania mechanizmu LBA, który bezwarunkowo umożliwia systemowi operacyjnemu zapisywanie/odczytywanie/modyfikację danych w każdym bloku logicznym (de facto sektorze z danymi), który tą adresacją jest objęty – czyli posiada wyrażony liczbą (od 0 do iluś bilionów) adres LBA.

Obraz 1: W programie DMDE widzimy, że każdy sektor z zapisanymi danymi jest oznaczony liczbą porządkową – to akurat jest LBA.

Czytaj dalej

Jak więc organizowana jest współpraca pomiędzy NAND a systemem operacyjnym, jeśli ten drugi musi mieć tą funkcję (modyfikacji/nadpisywania) i nie może bez niej funkcjonować? Niestety mechanizm adresacji LBA był stworzony w czasach, kiedy podstawowym nośnikiem danych były nośniki magnetyczne – dyski HDD oraz taśmy streamerów. W przypadku dysków HDD operacja modyfikacji danych to tylko jeden „przelot” głowicy nad odpowiednimi sektorami, na skutek czego ich zawartość (dotychczasowa) zostaje nadpisana przez nowe dane. Jeśli chodzi zaś o pamięci NAND Flash, to tego rodzaju „zabieg” wymaga szeregu manipulacji. Zajmuje się tym część oprogramowania dysku SSD nosząca nazwę translator (czyli tłumacz).

Warto zwrócić uwagę na to, że dyski typu HDD również mają mechanizm translacji adresów LBA w adresy fizyczne, o czym opowiemy w kolejnych wpisach.

W pamięciach typu NAND jest to tzw. FTL (ang. Flash Translation Layer), który uwzględnia opisaną wyżej specyfikę działania pamięci flash oraz pozwala na przedstawienie urządzenia na poziomie systemu operacyjnego jako tzw. “block device”. Działanie FTL nie jest widoczne z poziomu użytkownika i systemu operacyjnego. Jego prawidłowe funkcjonowanie to zadanie kontrolera pamięci NAND i tylko on o nim wie.

Poniższy przykład obrazuje mechanizm działania FTL w sytuacji, kiedy mamy dwa bloki pamięci NAND oznaczone X i Y.

Obraz 2: Obraz ukazuje działanie operacji “Garbage collection” – jednej z podstawowych funkcji FTL.

Przyjmijmy, że w ramach kroku pierwszego do bloku „X” użytkownik zapisał dane A, B, C oraz D. Dalej użytkownik chce zmodyfikować już zapisane dane, poczynając od A, kończąc na D oraz zapisać obok nowe dane E, F, G oraz H. Z uwagi na to, że raz zapisanych danych zmienić nie można, FTL zapisuje nowe dane A–D do obszaru wolnego bloku „X”. W rezultacie powstają dane A’–D’, a kolejno FTL oznacza wcześniejsze dane A–D jako nieaktualne (ang. invalid). „Nieaktualność” powoduje, że dane stają się niewidoczne dla systemu operacyjnego oraz trafiają do kolejki na kasowanie. Żeby pozbyć się nieaktualnych danych i zwolnić miejsce pod nowe dane, kontroler tworzy kopię danych ważnych (ang. valid) w obszarze wolnym (blok „Y”) – to negatywne dla pamięci NAND zjawisko ma nazwę write amplification, czyli amplifikacja, poszerzanie zapisu. Dopiero po zabezpieczeniu ważnych danych w bloku „Y” kontroler usuwa wszystkie dane z bloku „X” „rozładowując” (operacja erase) go. Ten ostatni etap jest nazywany „zbieranie śmieci” czyli „garbage collection” – opiszemy go w następnych wpisach. Oczywiście wszystkie opisane manipulacje z danymi są zupełnie nie widoczne z poziomu użytkownika. Stosując FTL kontroler dysku „dba” o to, aby użytkownik, tj. system operacyjny, nie widział niczego poza ładnym ciągiem adresów LBA.

Z powyższego wynika, że FTL, aby działać prawidłowo, potrzebuje wolnego miejsca na dysku. Niestety niewiedza użytkowników, którzy często wypełniają pamięć na maksa w połączeniu z write amplification powodują, że tego miejsca na dysku staje się coraz mniej. Producenci stosują różne metody umożliwiające identyfikację obszarów pamięci, które oprogramowanie dysku SSD może zwolnić bez uszkodzenia danych użytkownika. Najprostszą jest sytuacja, kiedy oprogramowanie SSD (czyli FTL) samo stwarza dane nieaktualne (jak w podanym wyżej przykładzie). Wtedy dysk na pewno „wie”, że stara kopia tych danych nie jest już potrzebna. Inaczej wygląda sytuacja, kiedy użytkownik opróżnia kosz czy w inny sposób kasuje niepotrzebne mu pliki. W dyskach typu HDD, kasowanie pliku powoduje, że zmienia się kilka bitów (tzw. flagów) w plikach służbowych, systemowych. Np. w systemie plików NTFS w przypadku skasowanego pliku zmienia się jeden bit w „głównej tabeli plików” (tzw. MFT – Master File Table) oraz kilka bitów w pliku $BitMap, który zawiera ewidencję wolnego miejsca na dysku. W rezultacie, miejsce, które dalej jest zajęte przez skasowany plik, jest oznaczane jako wolne, a system operacyjny przestaje dany plik „widzieć”. W systemie plików FAT, w przypadku usunięcia pliku pierwsza litera jego nazwy jest zastępowana przez symbol specjalny. Kiedy system operacyjny chce zapisać (na dysku) nowe dane, sprawdza wymienione wyżej „flagi”. Obszar LBA oznaczony jako wolny zostaje nadpisany. Inaczej sytuacja wygląda w dyskach SSD – kontroler dysku SSD przed tym, jak zapisać nowe dane, musi mieć do dyspozycji wolne miejsce, tj. uprzednio rozładowane bloki. Pomaga mu w tym TRIM, działanie którego opiszemy w następnej części.

Budowa SSD. Część 1: budowa fizyczna, LBA i NAND.

Posted on 30 December 202019 February 2021 by Ilia

Dyski typu SSD coraz częściej wykorzystuje się jako podstawowy nośnik danych zarówno w urządzeniach klasy konsumenckiej, jak i specjalistycznej (np. w serwerach). Zgodnie z prognozami, w 2021 r. sprzedaż dysków SSD przewyższy sprzedaż dysków twardych typu HDD. Dzisiaj istnieje ponad 80 firm, które produkują dyski SSD (warto zwrócić uwagę na to, że dyski HDD w 1985 roku, tj. na początku ich istnienia, były produkowane przez 75 firm, z których obecnie funkcjonuje tylko 3).

Niektóre producenci komponentów do dysków SSD
Źródło: kaleron.pl

Kilka lat temu dyski SSD wyprzedziły dyski typu HDD pod względem pojemności maksymalnej. Obecny „rekordzista” wśród dysków typu HDD ma pojemność 20 terabajt – znacznie mniej niż 100 terabajtowy konkurent z rodziny SSD firmy Nimbus.

Czytaj dalej

Co ciekawe, użytkownik, kiedy ma do czynienia z dyskiem półprzewodnikowym (SSD), może o tym nawet nie wiedzieć. Na poziomie użytkownika, korzystanie z dysku SSD niczym się nie różni od korzystania ze zwykłego dysku twardego. System operacyjny rozpoznaje taki dysk jako tzw. urządzenie blokowe (ang. block device) – ciąg adresów LBA (ang. Logical Block Adres) od 0 do kilku miliardów. Każdy taki block logiczny w zależności od zastosowanej w nośniku technologii zawiera od 512 bajt do 4 KB danych. Zwracając się do każdego z nich system operacyjny odczytuje/zapisuje znajdujące się pod tym adresem dane zupełnie nie przyjmując się tym, w jaki sposób (fizycznie) dane te są zapisywane/przechowywane – troszczy o to kontroler dysku. Tak samo nic się nie zmienia dla użytkownika – posługuje się on (użytkownik) środkami systemu operacyjnego, tj. tworzy, modyfikuje lub przegląda zawartość bloków logicznych (plików). Jedyna zauważalną różnicą w przypadku dysków SSD będzie znaczący wzrost prędkości zapisu/odczytu danych oraz skrócenie czasu wyszukiwania, czyli seek time. O tym, jakie to ma znaczenie pisaliśmy w blogu o budowie dysków twardych HDD.

W celu zapewnienia kompatybilności, dyski SSD są również bardzo podobne do dysków HDD, jeśli chodzi o wymiary fizyczne, wygląd zewnętrzny czy też umiejscowienie wewnątrz komputera.

W odróżnieniu od dysków twardych HDD (ang. Hard Disk Drive – napęd z dyskiem twardym), dyski SSD (ang. Solid State Drive – napęd o stanie stałym) nie mają ruchomych elementów- talerzy, głowicy i ich ramion. W przypadku dysku SSD można bez obaw zdjąć górną pokrywę i zajrzeć do wnętrza- nie spowoduje to awarii dysku czy modyfikacji/uszkodzenia danych. SSD będzie dalej funkcjonował – jest to skutek zupełnie innej zasady działania. Dane urządzenie składa się tylko z dwóch elementów: układy scalone NAND Flash oraz kontroler pamięci.

Pamięć typu NAND Flash pełni rolę nośnika danych. Pierwsza cześć tej nazwy jest wskazaniem na zasadę logiczną (tzw. bramkę logiczną), na podstawie której działa NAND – jest to zasada „NOT AND”. Druga zaś cześć (flash) w tłumaczeniu z angielskiego oznacza „błyskawicę” i zobrazuje fizyczną stronę jej działania. Warto zwrócić jednak uwagę na to, że nazwa ta nawiązuje nie do szybkości działania – jest ona tak naprawdę niewielka, jeśli chodzi o pojedyncze kostki pamięci. Stosunkowo większa szybkość operacji (odczytu-zapisu) osiąga się dzięki połączeniu tych scalaków w jedną „macierz”, co umożliwia zapisywanie/odczyt danych w kilku z nich na raz, a więc ich prędkości się sumują. Pojedyncze komórki działają natomiast stosunkowo wolno. To są tranzystory, którzy dzięki dodatkowej „bramki pływającej” (ang. „floating gate”), zachowują ładunek elektryczny po odcięciu zasilania.

W pamięciach starego typu „NAND SLC” (ang. Single Level Cell) obecność ładunku w tranzystorze interpretowana była jako 0 w kodzie binarnym, a jego brak jako 1. Powodem jest najprawdopodobniej to, że kod binarny z reguły ma więcej jedynek niż zer. Odwrócenie sposobu reprezentacji licz binarnych (obecność ładunku symbolizuje zero, a jego brak symbolizuje jedynkę) obniża zużycie się komórek. We współczesnych pamięciach typu MLC (ang. Multi Level Cell), TLC (ang. Triple Level Cell) czy QLC (ang. Quad Level Cell) liczby binarne są kodowane przy pomocy zmiany poziomu, stopnia naładowania komórek. Dzięki temu można w nich przechowywać większe ilości danych.

W celu obniżenia kosztów produkcji, pamięci Flash projektowane są w taki sposób, że z ich komórkami można wykonać tylko 3 rodzaje operacji:

Programować (ang. „program”) – czyli ładować do nich ładunek elektryczny;
Odczytywać (ang. „read”) – czyli sprawdzać, czy jest w komórce ładunek elektryczny czy nie;
Kasować (ang. „erase”) – czyli rozładowywać komórkę pozbawiając ją ładunku elektrycznego.

Kolejnym ograniczeniem jest to, że nie wszystkie te operacje można wykonać na poszczególnych tranzystorach. Programować (program) i odczytywać (read) można tylko z tzw. „stron” (ang. page) – jednostek pamięci, które w przypadku pamięci typu SLC mogą się składać nawet z 16 tysięcy pojedynczych tranzystorów! Więc aby odczytać stan naładowania poszczególnych tranzystorów (czyli „bit”) musimy odczytać całą „stronę”. “Gorzej” wygląda operacja rozładowywania (erase). Fizyczne ograniczenia przyczyniają się do tego, że skasować (erase) można tylko tzw. blok – jednostkę rozmiarową pamięci zawierającą w pamięciach SLC około 2 000 000 pojedynczych tranzystorów = bit. We współczesnych pamięciach typu TLC, rozmiar bloku wynosi od 1.5 do 3 megabajtów, co daje w sumie od 13 do 25 mln tranzystorów!

Oznacza to, że w pamięciach typu Flash nie ma możliwości zmiany zawartości pojedynczego tranzystora (indywidualnie) ze stanu naładowanego (w kodzie binarnym „0”) do stanu rozładowanego („1”).

Jednoczesne rozładowywanie takiej ilości komórek powoduje powstanie dużego przepływu prądu. Stąd i nazwa flash, czyli błyskawica. Wyzwolony ładunek po drodze uszkadza bramki pływające wraz z pozostałymi elementami, przez to operacja rozładowywania jest najbardziej szkodliwą, jeśli chodzi o żywotność pamięci. Właśnie w liczbie cykli programowania/kasowania mierzy się żywotność pamięci NAND. Jest to też najwolniejsza operacja z trzech możliwych. Dlatego wykonuje się ją z reguły w tle, kiedy mózg dysku SSD, tj. jego kontroler, ma wolną chwilę.

Z czasem wypracowane, zmęczone komórki przestają się programować lub pojawiają się problemy z ich rozładowywaniem. Podobne komórki zostają wpisane na listę „uszkodzonych”, i więcej oprogramowanie SSD z nich nie korzysta. Przy czym, im dłużej dane pozostają w tym samym miejscu fizycznym pamięci, tym trudniej jest rozładować zajęte tymi danymi komórki (operacja erase). Dane te w pewnym sensie utrwalają się na stale w komórkach pamięci podobnie do tego, jak dawno temu pozostawały na ekranach monitorów kineskopowych (CRT) obrazki statyczne – zjawisko te otrzymało nazwę „data retention”. Dlatego też potrzebne jest ciągłe przemieszczanie danych z jednego fizycznego obszaru do drugiego w ramach tzw. Równoważenia Zużycia (ang. Wear Leveling). Operacja Wear leveling służy również innym celom, ale o tym w następnych blogach 🙂

Sztuka steganografii, czyli ukrywamy informacje w innych plikach

Posted on 14 December 202016 December 2020 by Denis

“It’s the oldest question of all, George. Who can spy on the spies?”
John le Carré, Tinker Tailor Soldier Spy

Dzisiejszy blog był zainspirowany przez Państwa komentarze (osobne podziękowania dla Pana Jakuba!). Bezpośrednim natomiast powodem była dość smutna wiadomość o odejściu Johna le Carré (1931-2020), którego książki (The Spy Who Came in from the Cold, Tinker Tailor Soldier Spy czy też ostatnia i niesamowita Agent Running in the Field) były i pozostaną inspiracją dla wielu pokoleń kryminalistyków.

W czasach Wojny Zimowej jednym z podstawowych problemów, z którym miały do czynienia służby bezpieczeństwa, było przekazywanie informacji (zdobytych) w taki sposób, żeby w sytuacji, kiedy wiadomość/list zostanie przechwycona/y a) nie ujawnić jej źródła, b) uniemożliwić odczyt treści wiadomości oraz c) nie dać podmienić wiadomości na inną. W sztuce szpiegowskiej stosowano w tych celach wiele rozwiązań – od prostych do dość zaawansowanych technicznie. Możemy zobaczyć, jak wyglądała ukryta wiadomość (wariant najprostszy) w filmie braci Coen Bridge of Spies opowiadającym o wymianie Rudolfa Abla na Francisa Gary Powersa – pilota amerykańskiego samolotu szpiegowskiego U-2 zestrzelonego nad terytorium Związku Radzickiego. Do zaawansowanych technicznie metod można zaliczyć tzw. microdot’y – tekst widoczny wyłącznie przy dużym powiększeniu zamaskowany pod kropkę lub zabrudzenie (Rys. 1).

Rys. 1. *Microdot* – technika przekazywania instrukcji, informacji wywiadowczych kanałami otwartymi (czasopisma o zasięgu międzynarodowym, listy, pocztówki, serwetki itd.)
Źródło: newsmax.com

Czytaj dalej

Steganografia klasyczna opiera się o zasadę „matreshki” (rys. 2)

Rys. 2. Matreshka rosyjska ilustruje podstawową zasadę steganografii – ukrywamy jeden obiekt w drugim. Tylko adresat wie o tym, ile jest poziomów/„matrioszek” w matrioszce-mamie😊

Technika cyfrowa zdecydowanie poszerza możliwości steganografii. Dostępne metody można podzielić na dwie grupy 1) te, gdzie trzeba popracować rączkami oraz 2) gotowe programy, które robią wszystko za nas (rys. 3).

Rys. 3. „Interfejs” programu steganograficznego steghide (program pracuje w wierszu poleceń Windows)

Gotowe programy mają jednak kilka istotnych wad:

kryminalistycy cyfrowi wiedzą o ich istnieniu;
każdy może je ściągnąć i wypróbować, a więc będzie wiedział, jak wygląda wynik końcowy oraz (kryminalistyk cyfrowy) jak działa dany program;
gotowe programy zostawiają ślady cyfrowe (szczególnie w środowisku Windows), na podstawie których można domyślić się, jakiego programu steganograficznego używał nasz Kowalski.

W związku z powyższym w dzisiejszym blogu opiszemy metodę nr 1. Potrzebny nam będzie redaktor liczb szesnastkowych, na przykład znany nam już HxD Maëla Hörza z uroczego Saarbrücken😊 oraz program do archiwizowania/kompresji plików, na przykład darmowy 7-Zip. Plus, zwierzątko doświadczalne – plik z rozszerzeniem .jpg lub .gif.

Mamy plik secret.docx. Kompresujemy nasz plik w 7-Zip (klikamy na plik prawy przyciskiem myszki, w menu wybieramy 7-Zip – Add to „Secret.7z” – rys. 4).

Rys. 4. Archiwizujemy plik secret.docx przy pomocy programu 7-Zip

Otwieramy nasz nowy plik secret.7z w HxD Editorze (rys.5), kopiujemy w całości (!) widoczny na ekranie kod szesnastkowy (nie zamykamy programu HxD).

Rys. 5. Plik secret.7z w HxD Editorze, otwieramy i kopiujemy kod

Przeciągamy myszką plik-obrazek na ikonkę HxD. Przewijamy kod szesnastkowy do samego końca i dodajemy kod szesnastkowy pliku secret.7z. Zachowujemy plik (Save) (nie zwracamy uwagi na pojawiające się ostrzeżenie dotyczące zmiany rozmiaru pliku, zmiana ta nie jest na tyle znacząca, żeby tym się przyjmować) – rys. 6.

Rys. 6. Dodajemy kod szesnastkowy pliku **secret.7z** do kodu szesnastkowego naszego pliku-obrazku (można też po prostu przełączać się pomiędzy okienkami, tylko nie pomylcie „mamę-matrioszkę” z „córką” 😉).

Gotowe! Mamy teraz nasz plik-obrazek, w którym schowaliśmy plik secret.docx. Jeśli zmienimy rozszerzenie pliku-obrazku na .7z będziemy mogli odtworzyć go w programie 7-Zip (Rys. 7- 8).

Rys. 7. Gotowe! Ten obrazek ma w sobie plik **secret.7z**

Rys. 8. Po zmianie rozszerzenia pliku-obrazku na .7z możemy go otworzyć w 7-Zip (prawym przyciskiem klikamy plik-obrazek ze zmienionym rozszerzeniem, wybieramy **Open archive** – 7z) i odczytać zawartość pliku **secret.docx**

Podsumowanie: zaprezentowana metoda jest prosta w użyciu, a jednocześnie nie pozostawia za wiele śladów (programy do tworzenia skompresowanych plików są dość popularne, można je znaleźć na każdym komputerze). Pozostaje tylko poinformować naszego Adresata o zastosowanej metodzie steganograficznej. Jak to zrobić – odsyłam do książek J. Le Carré 😊

Czy HDD i SSD są w stanie “przeżyć” pożar?

Posted on 9 December 202014 December 2020 by Ilia

W niniejszym blogu analizujemy przypadek odzyskiwania danych z nośników cyfrowych uszkodzonych podczas pożaru i operacji gaśniczej. Szczegółowo opiszemy także procedury odzyskiwania danych.

Zdarzenie

Pożar wybuchł około 3 nad ranem w dwukondygnacyjnym budynku niemieszkalnym – olsztyńskiej Kuźni Społecznej. Po godzinie został zauważony i wezwano straż pożarną. W akcji gaśniczej brało udział ponad 60 strażaków. Udało im się ograniczyć rozprzestrzenianie się ognia na drugim piętrze, ale całkowite ugaszenie ognia zajęło prawie cztery godziny. Uszkodzona została trzecia część budynku, w tym drugie piętro zajmowane przez wydawnictwo. Przyczyna pożaru została później określona jako przypadkowa. Większość komputerów firmy wydawniczej, w tym komputery stacjonarne i laptopy, znajdowała się na pierwszym piętrze, przez co narażone one były nie tylko na działanie wysokich temperatur, lecz także na oddziaływanie środków gaśniczych, uderzenia i wstrząsy.

Do laboratorium UratujemyTwojeDane.pl trafiło 14 nośników. Wśród nich 3,5-calowe dyski twarde z komputerów stacjonarnych, dyski SSD oraz 2,5-calowe dyski twarde z laptopów oraz dyski twarde zewnętrzne z interfejsami USB 3.0.

Czytaj dalej

Oględziny

Inspekcja wizualna wykazała, że dyski zainstalowane w komputerach stacjonarnych mają większe uszkodzenia, niż dyski zainstalowane w laptopach. Komputery stacjonarne, a szczególnie te przeznaczone do prac graficznych zawierają zazwyczaj wiele elementów, które, aby działać prawidłowo, wymagają intensywnego chłodzenia – procesory i karty graficzne generują sporo ciepła. Aktywnego chłodzenia wymagają również niektóre modele dysków twardych, ponieważ temperatura wewnątrz HDD może osiągnąć nawet 60 C, co zwiększa ryzyko przedwczesnej degradacji warstw magnetycznych. Dlatego każda obudowa PC jest zaprojektowana tak, aby zapewnić jak najlepszą cyrkulację powietrza. Ponieważ niektóre komputery działały aż do chwili wyłączenia prądu przez strażaków, gorące powietrze mogło dostać się wewnątrz obudów powodując przegrzanie się i w konsekwencji uszkodzenie ich elementów wewnętrznych.

Dyski z laptopów były w znacznie lepszym stanie. Kompaktowe 2,5-calowe dyski instalowane w laptopach mają znacznie niższą temperaturę pracy w porównaniu do 3,5-calowych dysków przeznaczonych do komputerów stacjonarnych. Nie wymagają więc intensywnego chłodzenia. Wszystkie badane laptopy pozostawiono z zamkniętymi pokrywami górnymi (zwykle dyski znajdują się w dolnej części obudowy laptopów). Podczas akcji gaszenia pożaru dyski były dodatkowo chronione przez metalowe ramy laptopów, klawiatury i ekrany.

Plastikowe obudowy dysków zewnętrznych zostały nadpalone i miały na sobie ślady po środkach przeciwpożarowych. Wewnątrz obudów nie było widocznych uszkodzeń, co oznaczało, że dyski nie były narażone na oddziaływanie wysokich temperatur.

Temperatura

Niestety nie mieliśmy żadnych informacji o tym, jakiej temperatury doświadczyły badane nośniki. Odpowiedź na to pytanie byłaby jednak korzystna z pozycji ustalenia wytrzymałości termicznej poszczególnych modeli dysków. W przybliżeniu dało się oszacować temperaturę, która oddziaływała na dyski, na poziomie 120-300 °C. O tym, że temperatura maksymalna nie przekraczała 300 °C świadczyło to, że elementy na płytkach drukowanych sterowników dyskowych oraz dysków SSD nie przesunęły się, czego można byłoby się spodziewać w przypadku, kiedy temperatura oddziaływająca na te elementy przekracza 300 °C. Na podstawie stanu etykiet na dyskach ustaliliśmy dolną granicę tej temperatury. Każda etykieta dysku HDD czy SSD jest wykonana z winylu a tekst na niej jest nanoszony przy pomocy drukarki laserowej. Podobnie jak w każdej innej drukarce tego rodzaju, najpierw nanoszona jest cienka warstwa tonera. Następnie, wysoka temperatura w połączeniu z naciskiem powodują, że toner się topi i łączy się z podłożem. Badania pokazują, że temperatura fiksacji tonera w różnych modelach drukarek wynosi od 124 do 210 °C. Ponowne wystawienie nadruku na oddziaływanie wysokiej temperatury może spowodować odwarstwienie się tonera, co zaobserwowaliśmy na etykietach uszkodzonych dysków.

Jeszcze trochę i można drukować nowy napis 😉

Zauważyliśmy również, że toner można usunąć z etykiety przy pomocą stacji lutowniczej Hot Air oraz waciku nasyconego IPA.

Pożar a dyski SSD

Teoretycznie układy pamięci w dyskach SSD są bardziej odporne na wibracje i uderzenia w porównaniu do dysków twardych. Niemniej jednak i one mogą ulec uszkodzeniu, jeśli mamy do czynienia z ekstremalnie wysoką temperaturą.

W odniesieniu do dysków SSD, badacze podkreślają wpływ wysokich temperatur na skuteczność procedury „chip-off” polegającej na wylutowywaniu chipów pamięci NAND z płytki drukowanej (PCB) i ich bezpośrednim odczytaniu przy pomocy specjalnych adapterów. Do wylutowywania układów pamięci używa się stacji lutowniczej Hot Air. Temperatura topienia lutu wynosi co najmniej 200 °C, ale zwykle zbliża się do 300 °C. Ustalono jednak, że zaaplikowanie nawet najniższej możliwej temperatury zwiększa ilość błędów bitowych co prowadzi do uszkodzenia zapisanych danych.

Z drugiej strony dyski SSD są mniej podatne na uszkodzenia fizyczne. Dane przechowywane na dysku SSD są dobrze chronione przez wewnętrzną konstrukcję dysku, a mianowicie przez brak ruchomych części oraz sztywną obudowę scalaków pamięci.

Niemniej jednak, podobnie jak i w przypadku HDD, tu również woda może dostać się do wnętrza obudowy i uszkodzić elektronikę.

Pożar a dyski HDD

Wcześniej pisaliśmy o tym, jaki wpływ mają wysoka temperatura i wilgoć na talerzy magnetyczne w dyskach HDD. Po pierwsze, w przypadku dysków twardych intensywne ciepło może rozmagnesować cząsteczki ferromagnetyczne. W połączeniu z wilgocią temperatura może powodować korozję warstwy magnetycznej talerza zawierającej dane służbowe i użytkownika, co wymaga jednak czasu. Po drugie, podczas pożaru HDD może być narażony na silne wibracje, uderzenia czy upadki. Działający dysk twardy jest dość delikatny, ponieważ jego głowice pracują bardzo blisko obracających się z dużą prędkością talerzy magnetycznych. Zetkniecie się głowicy z powierzchnią talerza może powodować powstawanie zadrapań i uszkodzenie obu elementów. Po trzecie, środki gaśnicze również mogą uszkodzić dysk twardy. Z reguły nie jest on wodoodporny (wyjątek stanowią hermetyczne dyski twarde wypełnione helem), a jego delikatne elementy nie mówiąc o obwodach elektrycznych są pod tym względem podatne na uszkodzenie.

Woda a PCB

W przypadku uszkodzonych przez wodę płytek drukowanych (PCB) udowodniono, że im więcej czasu mija, tym większe są problemy.

“Zaśniedziała” elektronika wygląda nie przyjemnie.

Na szczęście właściciele dysków zareagowali szybko – dyski zostały przekazane do laboratorium w ciągu kilka godzin po odzyskaniu.

Warto zauważyć, że pomimo tego, że płytki PCB zostały oczyszczone, korozja dalej postępowała. Kilka dni po odzyskaniu danych ponownie zbadaliśmy uszkodzone dyski i okazało się, że część nie uruchomia się z powodu skorodowanych styków między płytkami drukowanymi a wewnętrznymi komponentami dysku, czy też skorodowanego konektora interfejsu.

To oznacza, że alkohol izopropylowy nie nadaje się do trwałego zatrzymania korozji. Prawdopodobnie odpowiednim rozwiązaniem w przypadku uszkodzonych przez wodę PCB jest zastosowanie procedury lutowania rozpływowego (ang. reflow soldering), czyli obróbka utlenionych styków topnikiem i podgrzanie PCB w specjalnym piecu.

Odzyskiwanie danych

W przypadku kilku dysków twardych nie można było usunąć roztopionego plastiku z powierzchni płytek drukowanych. Zastąpiono je więc płytkami PCB tego samego modelu. Układy ROM przeniesiono z uszkodzonych PCB na nowe. Trzeba powiedzieć, że ze względu na stosunkowo niskie temperatury jakie doświadczyły dyski twarde, układy ROM były w dobrym stanie i można było skutecznie zainicjować dyski.

Elementy elektroniczne dysków po wymontowaniu zostały oczyszczone przy użyciu 99,9% alkoholu izopropylowego. Najpierw płytki drukowane (PCB) dysków twardych i dysków SSD zostały całkowicie zanurzone w IPA, a następnie dokładnie w nim przepłukane, aby usunąć ewentualne zanieczyszczenia. Po wyschnięciu płytki drukowane zostały sprawdzone wizualnie pod kątem ewentualnych oznak zwarcia. Wszystkie dyski twarde ze śladami wody na obudowach zostały otwarte w komorze laminarnej i sprawdzone pod kątem obecności plam pozostawionych przez wodę w otworach wentylacyjnych i obok nich. Dopiero wtedy napędy zostały podłączone do zasilania i zainicjowane. W trakcie zwracano uwagę na wszelkie postronne dźwięki, takie jak klikanie głowic czy zgrzyty oraz intensywne wibracje. Pierwszym krokiem po udanej inicjalizacji napędów było kopiowanie oprogramowania dysków z pamięci ROM i talerzy magnetycznych (z tzw. Strefy Serwisowej). Jednocześnie sprawdzano czy oprogramowanie nie zawiera błędów.

Następnie sprawdzano S.M.A.R.T. nośników pod kątem występowania BAD sektorów oraz sprawdzano zużycie napędu (liczba godzin pracy HDD oraz znaczenie TBW w przypadku dysków SSD). Dopiero potem wykonywano odzyskiwanie danych.

Prowizoryczna próba walki z zapachem pożaru.

Biorąc pod uwagę fakt, że w trakcie kontroli wizualnej i oczyszczania mogliśmy nie zauważyć pewnych problemów, zrezygnowaliśmy z wykonania kopii po-sektorowych nośników, czyli zabezpieczenia całego obszaru z danymi użytkownika. Zabezpieczono więc tylko potrzebne Klientowi katalogi.

Na szczęście tylko jeden dysk twardy 3,5 cala – 2 TB firmy Seagate – wykazywał oznaki uszkodzenia termicznego. Ten model jest wyposażony w dwa talerze i cztery głowice do odczytu i zapisu. Górna powierzchnia górnego talerza osiągała prędkość odczytu tylko około 1 MB/s, podczas gdy reszta dysku pozwalała na odczyt z prędkością 30 MB/s. To świadczyło o tym, że kontroler dysku zmaga się z wieloma błędami na górnej powierzchni próbując odczytać zapisane na niej dane.

Niektóre dyski posiadały zwiększoną liczbę realokowanych sektorów. Jednak powodem było przepełnienie list realokacji uszkodzonych sektorów (parametr Reallocated Sectors Count w S.M.A.R.T. dysku) na skutek zaniedbania ze strony użytkowników i intensywnego użytkowanie tych dysków. Powodem nie były natomiast czynniki związane z pożarem i operacją gaszenia.

W opisanym przypadku mieliśmy to szczęcie, że temperatury oddziaływujące na dyski nie przekroczyły znaczeń krytycznych. Pewna rolę odegrało też to, że właścicieli dysków niezwłocznie skontaktowali się z nami i przywieźli dyski do laboratorium. Dzięki temu mogliśmy rozpocząć odzyskiwanie danych przed tym, jak elementy dysków zostały uszkodzone przez korozję.

Jak ukryć plik? Rozszerzenia i „podpisy cyfrowe” w plikach

Posted on 1 December 202014 December 2020 by Denis

Zadanie: ukryć plik (.pdf, .docx, .wav lub inny) na dysku twardym, a jednocześnie uniemożliwić jego otwarcie przez osoby trzecie nie stosując szyfrowania.

Przedstawimy Państwu dwie metody z zakresu tzw. antiforensics, tj. działań podejmowanych w celu ukrycia śladów (kryminalistycznych) przed detekcją – metodę dla „laików” oraz drugą, bardziej zaawansowaną metodę antykryminalistyczną.

Antiforensics – działania kontrwykrywcze, których celem jest zatarcie, ukrycie śladów (w tym tych zaliczanych do kategorii cyfrowych) stanowią przedmiot kryminalistyki.
Materiał udostępniany w danym blogu ma służyć wyłącznie do celów edukacyjnych i informacyjnych.

Rozwiązanie 1: zmienić rozszerzenie pliku

Każdy plik ma określone rozszerzenie (ang. extention) wskazujące na jego format – .doc, .docx, .pdf, .png, .wav, .avi itd. Oficjalną, pełną listę rozszerzeń plików można znaleźć na stronie https://fileinfo.com/ (Rys. 2).

Rys. 1. *Oficjalna wyszukiwarka rozszerzeń plików w Internecie*. Każdy format jest dokładnie opisany. Po kliknięciu „View more »” zobaczymy programy (darmowe!) służące do odtwarzania tego rodzaju plików.

Rozszerzenie pliku można łatwo zmienić na dowolne (również te, które w naturze nie istnieje). Na przykład, możemy zmienić rozszerzenie .docx na .jpg. Ikonka pliku zmieni się wtedy „automatycznie” (Rys. 2).

Czytaj dalej

Rys. 2. Zmieniamy rozszerzenie pliku – „automatycznie” zmienia się ikonka pliku (pozostanie jednak białą, jeśli nie mamy na naszym komputerze odpowiedniego programu)

Dodatkowo, możemy umieścić plik ze zmienionym rozszerzeniem wśród innych plików tego samego rodzaju (steganografia). Można też zmienić nazwę naszego pliku na inną, bardziej odpowiadającą nowemu rozszerzeniu. Musimy tylko zapamiętać, jak się nazywa plik i gdzie się znajduje. Po zmianie rozszerzenia pojawi się problem z otwarciem pliku, ale po przywróceniu oryginalnego rozszerzenia wszystko będzie działać jak trzeba.

Niestety (na szczęście😊), programy kryminalistyczne do analizy śladów cyfrowych takie, jak słynny Autopsy mają funkcję (moduł) rozpoznawania plików z niepoprawnym rozszerzeniem.

Rozwiązanie 2, antykryminalistyczne: zmienić podpis cyfrowy pliku

Na poziomie binarnym każdy plik jest kombinacją jedynek i zer (=jeżyk binarny lub kod binarny – Rys. 3). Każda jedynka, każde zero to jest jeden bit. Kombinacja z ośmiu jedynek i zer tworzy jeden bajt.

Rys. 3. Plik tekstowy (.txt) w języku binarnym – literka „t” jest przedstawiana jako 01110111, literka „o” jako 01101111 itd.

W kryminalistyce cyfrowej nie stosuje się jednak kodu binarnego – jest on trudny do zapamiętania i niewygodny dla człowieka. Zamiast tego używa się kodu heksadecymalnego, szesnastkowego, gdzie ta sama informacja binarna jest kodowana przy pomocy kombinacji z liczb (od 0 do 9) i liter (A, B, C, D, E, F). Na rysunku 4 widzimy, że ten sam tekst (plik .txt) w reprezentacji szesnastkowej jest znacznie krótszy i łatwiej odbierany (Rys. 4). W tej uproszczonej formie dane (binarne) mogą być swobodnie odczytane przez człowieka (human-readable).

Rys. 4. Zapis heksadecymalny, szesnastkowy (na rysunku jest to tekst w kolorze czarnym, gdzie liczba 20 oznacza spację) jest krótszy i łatwej odbierany przez człowieka

W zapisie heksadecymalnym każdy znaczek – litera czy liczba – oznacza 4 bity. Kombinacja z literki i liczby/dwóch literek lub dwóch liczb reprezentuje więc jeden bajt (8 bit). Po prawej stronie („Decoded text”) widzimy przedstawienie naszego kodu w ASCII – tabeli, składającej z 256 symboli. Na przykład, kombinacja 74 w ASCII reprezentuje literę „t” małe (z tabelą ASCII można się zapoznać na stronie https://www.ascii-code.com/ ).

Zobaczyć zawartość pliku w języku heksadecymalnym można przy pomocy specjalnego edytora, na przykład HxD – https://mh-nexus.de/en/hxd/

Każdy plik (oprócz plików z rozszerzeniem .txt) ma podpis/sygnaturę cyfrową (w języku angielskim file signature, file header lub magic bytes). Jest on „zakodowany” w pierwszych kilkunastu bitach (Rys. 5). Na stronie https://www.filesignatures.net/ znajdziemy oficjalną bazę podpisów/sygnatur plików.

Rys. 5. Początek pliku „**praca magisterska.docx”** w reprezentacji heksadecymalnej, szesnastkowej

W naszym przypadku podpis cyfrowy pliku tworzą pierwsze 64 bity – 50 4B 03 04 14 00 06 00 (jak widzimy na Rys. 6, 32-bitowa sygnatura 50 4B 03 04 odpowiada dokumentom MS Office). W ASCII jest to zapis „PK…” – widzimy go po prawej stronie w „Decoded text”.

Rys. 6. Podpis cyfrowy plików w formacie .docx

Jeśli zmieniamy wyłącznie rozszerzenie pliku (rozwiązanie 1), to na poziomie binarnym plik będzie dalej plikiem w formacie .docx. Musimy, więc, zmienić podpis cyfrowy pliku. Na przykład, na ten odpowiadający często spotykanym plikom w formacie .png – pliki-obrazki (Rys. 7).

Rys. 7. Edytor kodu szesnastkowego pozwala nie tylko przeglądać, ale też modyfikować kod binarny.

Jak widać, nasz plik otrzymał nowy podpis cyfrowy i jest teraz plikiem w formacie .png Zostało tylko zmienić rozszerzenie pliku z .docx na .png (rozwiązanie 1), nazwę pliku oraz umieścić go wśród innych plików-obrazków.

Ważne: Opisana metoda działa również w przypadku „chmury” – możemy umieścić zmodyfikowany plik w naszym „schowku” wirtualnym. Provider usługi (Microsoft, Google) nie będzie mógł wtedy „zajrzeć” do środka. Plus, osoba nieupoważniona, która uzyska dostęp do naszego konta, nie będzie mogła odczytać, co jest w tym pliku.

Metoda 2 jest bardziej skomplikowana w porównaniu do rozwiązania pierwszego, ale jest też skuteczniejsza – nie udało nam się znaleźć żadnego programu komercyjnego, który potrafiłby rozpoznać rzeczywisty format pliku, który ma zmienioną sygnaturę binarną. Rozwiązania tego problemu istnieją tylko w teorii. To oznacza, że jeśli dysk zawierający podobny plik trafi do biegłego, temu ostatniemu będzie łatwiej uznać plik za uszkodzony i pominąć go w raporcie niż próbować odczytać jego zawartość.

Czy można zidentyfikować użytkownika serwisu VPN – wirtualnego tunelu prywatnego?

Posted on 23 November 202014 December 2020 by Denis

VPN, czyli wirtualny tunel prywatny, jest popularnym rozwiązaniem stosowanym przez osoby, które chcą zapewnić anonimowość poruszania w sieci Internat oraz bezpieczeństwo podczas korzystania z publicznych punktów dostępu do Sieci. Większość operatorów VPN podaje na swoich stronach, że nie przechowuje historię i nie rejestruje aktywności użytkowników, tj. daty, czasu logowania oraz używanego adresu (publicznego) IP. Jest to nie do końca zgodne z prawdą, gdyż w takim razie operator VPN nie jest w stanie rozróżnić osoby, które opłaciły korzystanie z serwisu, od pozostałych oraz zaspokoić ciekawość organów ścigania.

Rysunek 1. Zapewnienie, że PureVPN nie prowadzi *logów* jest niczym innym jak trik marketingowy.

W przypadku Kowalskiego, który wykorzystuje „tunelowanie” do celów legalnych, nie powinno to wywoływać żadnych obaw – dane o jego aktywności będą chronione przez operatora VPN zgodnie z umową. Co więcej, ze względu na to, że dane w „tunelu” są szyfrowane, operator VPN nie jest w stanie odczytać co dokładnie pobieramy/wysyłamy do Sieci.

Czytaj dalej

Odpowiedzi na pytania zadane podczas posiedzenia SKN Kryminalistyki

Posted on 18 November 202014 December 2020 by Ilia

Pytanie 1: Jaki jest najprostszy sposób na usunięcie oprogramowania szpiegowskiego z komputera. Czy trzeba zrobić format całego dysku?

W przypadku, kiedy tego rodzaju oprogramowanie zostało wykryte przez Państwa antywirus, należy posługiwać się wskazówkami antywirusa, tj. można wybrać opcję „skasuj zarażone pliki” lub “wylecz”. Jeśli zaś Państwa antywirus nie wykrywa obecności złośliwego oprogramowania, a są podejrzenia, że takie oprogramowanie jest w systemie, można skorzystać z takich narzędzi jak Dr.Web LiveDisk. Po uruchomieniu tego darmowego programu (z bootowalnego pendrive’a) można sprawdzić wszystkie podłączone do Państwa komputera nośniki i ewentualnie usunąć oprogramowanie złośliwe.

Formatowanie całego dysku twardego jest środkiem skrajnym. Robimy to w sytuacji, kiedy system operacyjny na naszym komputerze jest na tyle „zawirusowany”, że jego “leczenie” zajmie zbyt dużo czasu lub może skutkować uszkodzeniem jego funkcjonalności.

Niestety nie zawsze istnieje możliwość wykrycia wirusa przy pomocy programu antywirusowego. Program wirusowy może być tak zamaskowany, że antywirus nie znajdzie w nim znanych sygnatur wirusowych (tzw. obfuscation).

Pytanie 2. Na jakich zasadach działają przeglądarki typu Tor?

Kiedy używamy przeglądarki TOR, to przeglądarka taka nie zwraca się do stron internetowych bezpośrednio jak to robi każda inna, zwykła przeglądarka. Zamiast tego przeglądarka TOR łączy się z tymi stronami (serwerem, na którym umieszczono stronę) za pośrednictwem sieci TOR. Zgodnie z opisem z Wiki, “schemat połączenia wygląda w następujący sposób: Użytkownik → węzeł1 → węzeł2 → węzeł3 → Serwer docelowy”. Oznacza to, że kiedy wysyłamy z naszego komputera zapytanie do jakiegoś serwera, żeby wysłał on nam kopię konkretnej strony internetowej, to nie zwracamy się do serwera bezpośrednio. Zamiast tego oprogramowanie TOR …

Czytaj dalej

… szyfruje nasze zapytanie i wysyła go do komputera-pośrednika – uczestnika (dobrowolnego) sieci TOR. Ten komputer przekazuje nasze zapytanie do innego komputera-pośrednika (bez rozszyfrowywania jego treści). Ten z kolei zwraca się do następnego, czyli trzeciego “węzła” w tej, zbudowanej specjalnie dla nas przez oprogramowanie TOR mini sieci. Dopiero trzeci komputer-węzeł ma klucz do rozszyfrowania naszego zapytania po czym wysyła zapytanie do serwera docelowego. Po uzyskaniu odpowiedzi serwera na nasze zapytanie, szyfruje ją i wysyła nam przez wskazane wyżej węzły mini sieci. Dzięki temu mechanizmowi serwer-adresat „myśli”, że to ten ostatni w „łańcuszku” komputer (węzeł nr 3) jest jego klientem. O nas, natomiast, nie wie nic.

Rysunek 3. Tor Browser wyświetla informacje o „węzłach” naszej mini sieci

Rysunek 4. Tor Browser ma opcję utworzenia nowej „persony”

Pytanie 3. Skoro wszelkie działania na komputerze są zapisywane, to czy warto używać Virtual Private Network?

Nawet jeśli nie zmieniamy oprogramowania na naszym komputerze na takie, które nie będzie zapisywało naszej aktywności, lub nie zmieniamy ustawień naszego oprogramowania, dysk twardy (HDD/SSD) w naszym komputerze pozostaje pod naszą kontrolą fizyczną. Jesteśmy w stanie w każdej chwili ten dysk zniszczyć – rozbić talerze HDD lub połamać „kostki” pamięci w dysku SSD. Nie używając środków anonimizacji w sieci Internet, takich jak na przykład VPN, narażamy się natomiast na to, że nasza aktywność w Sieci będzie „przywiązywana” do nas jako właścicieli konkretnego komputera/smartfona. Problem polega na tym, że nie jesteśmy w stanie uzyskać fizyczny dostęp do serwerów, na których są przechowywane te dane. Plus, nie jesteśmy nawet w stanie zlokalizować te serwery fizycznie. W związku z tym, minimalizacja danych, które trafiają do tych serwerów i mogą być „przywiązane” do nas, jest dobrą strategią zapewniającą pewną kontrolę nad naszymi własnymi danymi osobowymi.

Prawo: Na uwagę zasługuję też to, że zgodnie z ustawą Prawo telekomunikacyjne z dnia 16 lipca 2004 r. (Dz.U.2019.2460 t.j.), operatorzy publicznej sieci telekomunikacyjnej oraz dostawcy publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt „zatrzymywać i przechowywać dane [niezbędne do ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego (inicjującego połączenie oraz tego, do którego kierowane jest połączenie), określenia daty i godziny połączenia oraz czasu jego trwania, rodzaju połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego] generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi.

Więc, organ ścigania może pójść „wstecz” o 12 miesięcy i odtworzyć całą naszą aktywność w sieci Internet oraz historię naszych przemieszczeń się. Problem polega też na tym, że mechanizm prawny kasowania takich danych nie jest do końca jasny – można założyć, że zgromadzone dane (wbrew pozorom nie zajmują one dużo miejsca) w zależności od operatora/dostawcy mogą być dostępne (dla organów ścigania i służ specjalnych) i po upływie 12 miesięcy. Co do śledzenia przez graczy prywatnych (korporacje internetowe, firmy handlujące naszymi danymi), to na uwagę zasługuję Unijna Dyrektywa „ciasteczkowa”.

Już wkrótce na naszym blogu opiszemy mechanizm identyfikacji użytkowników serwisów VPN przez organy ścigania. Zapisujcie się na naszego Newslettera lub polubcie nas na Facebooku!

Rysunek 4. Opcja rekonfiguracji połączenia z siecią Internet w przeglądarce Firefox (przekierowanie zapytań/odpowiedzi przez *proxy*-serwer)

Pytanie 5. Czy bezpieczniej jest korzystać z przeglądarek takich jak np. Opera niż z Google?

Jeśli chodzi o bezpieczeństwo w sensie anonimowości przy surfowaniu w Internecie, to zgodnie z informacją Electronic Frontier Fundation zajmującej się ochroną danych użytkowników sieci Internet, przeglądarka Chrome tego rodzaju bezpieczeństwa nam nie zapewnia. Jeśli zaś chodzi o wybór pomiędzy dwoma drugimi potężnymi graczami na rynku przeglądarek – Opera i Firefox – to jest to raczej sprawą gustu. Niestety, żadna z tych przeglądarek nie jest w pełni zabezpieczona przed śledzeniem „po wyjęciu z pudełka”. Konieczne będzie dokonanie zmiany pewnych ustawień. Fundacja EFF udostępnia na swojej stronie internetowej narzędzie do sprawdzenia czy Państwa przeglądarka jest „anonimowa” czy jednak posiada unikatowy „odcisk” – fingerprint umożliwiający śledzenie – panopticlick.eff.org.

Rysunek 5. Ustawienia prywatności w zakładce „Opcje” (przeglądarka Firefox)

Pytanie 5. Na jakiej zasadzie wykrywane są czyny zabronione dokonane za pomocą przeglądarek typu Tor?

Nie wiele jest wiadomo na ten temat, jeśli chodzi o środki techniczne/programowe deanonimizacji użytkowników sieci TOR na „wyposażeniu” organów ścigania, a szczególnie służb specjalnych (dlatego są skuteczne😊). Wiadomo natomiast, że taka identyfikacja jest możliwa, na przykład, przez „niezabezpieczone” aplikacje/programy, które łączą się z Siecią pomijając TOR, czy też przekierowywanie danych przez własną sieć. Jest też możliwość identyfikacji użytkownika sieci Tor na bazie indywidualnych upodobań oraz charakterystyk technicznych używanego sprzętu – język, rozmiar ekranu itd. Czasem sam użytkownik popełnia błąd, na przykład, używając pseudonimu, z którego korzysta w sieci TOR, w zwykłym Internecie – na formach, w czacie. Plusem jest to, że deweloperzy Tor Browser przez cały czas pracują nad tym, aby lepiej chronić użytkowników sieci Tor przed śledzeniem i deanonimizacją – pojawiające się „dziury” są od razu łatane (oczywiście, jeśli deweloperzy o nich wiedzą😉).

Dziękujemy za Państwa pytania!

Strona SKN Kryminalistyki UWM w Olsztynie

Przyznanie się do winy w procesie karnym [ARTYKUŁ]

Posted on 2 November 20202 November 2020 by Ilia

Dzisiejszy temat będzie nieco odbiegał od informatyki (śledczej), ale niestety też jest bardzo życiowy. Dotyczy on przyznawania się do winy, a mianowicie ewentualności wymuszenia przez Policję takiego przyznania się.

Kiedy przyznajemy się do popełnienia przestępstwa stwarzamy tym samym niesamowicie mocny obciążający dowód. Prawdziwe przyznanie może być żyznym źródłem nowych dowodów, które dotychczas były znane tylko sprawcy przestępstwa. Ono pomaga oskarżeniu zbudować silną sprawę w sytuacji, kiedy są dostępne tylko dowody poszlakowe. W niektórych przypadkach, jak np. zabójstwa bez ciała czy podpalenia lasów, trudno jest udowodnić winę podejrzewanego bez kooperacji z jego strony.

Niektóre techniki przesłuchania mogą powodować fałszywe przyznania się do winy, które z kolei są częstą przyczyną pomyłek sądowych. Chodzi tu przede wszystkim o przemoc fizyczną, tortury oraz manipulację. Zakaz używania tego rodzaju technik przez Policję i służby specjalne jest ugruntowany w prawie międzynarodowym i jest również obecny w prawie krajowym. Te ostatnie zawiera mechanizmy, które w ideale pozbawiają sensu naruszenie zakazu stosowania tortur czy innych form przemocy przez funkcjonariuszy. O tych mechanizmach oraz różnicach w ich implementacji w Polsce i Rosji oraz na poziomie europejskim w dzisiejszym artykule w języku angielskim.

Link do artykułu: Denis Solodov, Ilia Solodov, Legal safeguards against involuntary criminal confessions in Poland and Russia, Rev. Bras. de Direito Processual Penal, Porto Alegre, v. 6, n. 3, 2020

Mechanizm działania dysków twardych HDD. Możliwości odzyskiwania danych [ARTYKUŁ]

Posted on 28 October 202019 February 2021 by Ilia

W latach 50. w Stanach Zjednoczonych wraz ze zwiększeniem ilości danych cyfrowych pojawiła się potrzeba zapewnienia szybkiego dostępu do nich. Najbardziej popularne w tym czasie nośniki danych – karty perforowane i streamery – takiego dostępu nie zapewniali. W przypadku kart perforowanych, żeby znaleźć potrzebne informacje lub kod programu należało ręcznie przeszukać zbiór kart – kartotekę, a następnie znalezioną kartę umieścić w czytniku. To znacząco wydłużało tzw. seek time, czyli czas dostępu – charakterystyka systemów przechowywania danych cyfrowych oznaczająca prędkość odnajdywania przez system potrzebnych w tej chwili danych.

4.5 MB danych w 62,500 kartach perforowanych, USA, 1955.
Źródło: Reddit.com

Czytaj dalej

Skuteczna utylizacja dysków twardych metodą Red Dot [WIDEO]

Posted on 23 October 202014 December 2020 by Ilia

Czasem mamy potrzebę szybkiej i pewnej utylizacji nośniku zawierającego określone (wrażliwe, personalne) dane. Może to być kartka z kodem PIN do naszej karty płatniczej, koperta z danymi adresowymi, imieniem i nazwiskiem, które to warto podrzeć na małe kawałki przed wyrzuceniem do śmietnika. To pozwala uniknąć wielu problemów. Nieostrożne udostępnienie naszych danych osobowych może skutkować tym, że mogą one trafić do rąk oszustów, którzy będą je wykorzystywali w celu wyłudzenia pieniędzy, uzyskania kredytu lub wyrobieniu kopii naszej karty SIM.

Sytuacja jest jednak bardziej skomplikowana w przypadku nośników komputerowych. Nawet małej pojemności pendrive może zawierać taką ilość naszych zdjęć i dokumentów, że po wydrukowaniu nie zmieściłyby się one nawet w kilku śmietnikach. W związku z tym tego typu urządzenia wymagają szczególnej uwagi i przede wszystkim należy je poprawnie utylizować.

W tym artykule pokażemy Państwu, jak szybko i bezpowrotnie uniemożliwić dostęp do danych znajdujących się na 2,5-calowym HDD.

Czytaj dalej

Najważniejszym elementem tego typu urządzeń jest talerz, którego właściwości opisywaliśmy w poprzednim artykule. O tym świadczy chociażby to, że jedynym przeznaczeniem pozostałych komponentów dysku twardego jest zapewnienie sprawnego zapisywania i odczytywania danych użytkownika. Aby umożliwić zapis i odczyt danych, ciężko pracują zespół głowic czytujące-zapisujących, elektronika dysku, silniki, a nawet jego obudowa. To powoduje, że uszkodzić talerz jest znacznie trudniej niż głowice czy obudowę dysku. Jeśli weźmiemy młotek i uderzymy nim dysk, nie jesteśmy w stanie od razu zniszczyć talerz. Znajduje się on „pod ochroną”, po pierwsze, sztywnej obudowy metalowej, a, po drugie, umieszczonych wewnątrz osi dwóch silników – znajdującego się z boku silnika głowic (VCM – od ang. voice coil motor) oraz silnika talerzy zlokalizowanego w centrum dysku, które wzmacniają obudowę podobnie jak trzpienie żelbetowe wzmacniają konstrukcję budynków.

Oczywiście obudowa nie przeżyje mocnego uderzenia młotkiem, podobnie jak zespół głowic i elektronika dysku. Dysk przestanie się uruchamiać i będzie wyglądał jako bezużyteczny odpad elektroniczny. Niemniej jednak kilka godzin pracy specjalisty w zakresie odzyskiwania danych i talerz „odda” zapisane na nim Państwa dane nieuprawnionemu odbiorcy.

Na szczęście, talerzy w laptopowych dyskach formatu 2,5 cala są robione ze szkła, a konstrukcja niektórych modeli (dysków) ma pewne wady konstrukcyjne, które umożliwiają ich szybkie i wygodne rozbicie.

Przed tym jak opiszemy Państwu metodę utylizacji takich dysków, chcemy ostrzec Państwa, że jest to niszczenie nieodwracalne. Żadne laboratorium ani w Polsce, ani w świecie nie potrafi przywrócić talerzowi stanu początkowego i odczytać zapisane na nim dane!

Producenci dysków dążąc do zmniejszenia ich grubości stosują specyficzne rozwiązanie techniczne. Wnętrze obudowy hermetyzowane jest od dołu, czyli od strony elektroniki (PCB – od ang. printed circuit board) przy pomocy (wkręcanych) śrub. Aby zabezpieczyć dysk przed przedostaniem się do jego wnętrza kurzu czy innych zabrudzeń w momencie, kiedy śruby z jakiegoś powodu, na przykład w procesie naprawy urządzenia, zostały usunięte, otwór po stronie zewnętrznej dysku, czyli po stronie talerzy, jest zabezpieczany za pomocą okrągłego kawałku przezroczystego plastyku. Najprawdopodobniej chcąc przypomnieć technikowi wykonującemu prace naprawcze o niebezpieczeństwie (pozostawienia) tych otworów, producenci wykonują ten kawałek plastyku w kolorze czerwonym. W związku z tym, odnalezienie tzw. „czerwonej kropki” jest zadaniem stosunkowo łatwym.

Właściciel takiego dysku musi zamiast standardowej śrubki wykorzystanej przez producenta do zamocowania PCB wkręcić śrubkę większej długości. Eksperymenty pokazały, że za każdym razem szklany talerz pęka, co wyklucza możliwość odzyskiwania zapisanych na nim danych.

Ta metoda jest skuteczna w przypadku większości modeli dysków Western Digital i Samsung w formacie 2.5 cala instalowanych w popularnych laptopach czy też zewnętrznych dyskach twardych wykorzystywanych do kopiowania rezerwowego i przenoszenia dużych ilości danych. O powodzeniu operacji niszczenia talerzy świadczy charakterystyczny dźwięk pękającego szkła, po czym można z powrotem wkręcić oryginalną śrubkę.

Na zastosowanie metody „czerwonej kropki” wskazywać będzie specyficzny dźwięk przemieszczających się wewnątrz obudowy szklanych kawałków. Po otwarciu obudowy wewnątrz dysku można znaleźć oderwaną okrągłą nalepkę w kolorze czerwonym.

Demonstracja metody 🙂

Co się kryje za nazwą „BAD sektor”?

Posted on 29 July 202014 December 2020 by Ilia

BAD sektory to najczęstsza przyczyna “śmierci” starych dysków twardych, kiedy nie możemy uzyskać dostęp do wcześniej zapisanych plików. Jako osoba, która na co dzień zajmuje się zawodowo odzyskiwaniem danych z uszkodzonych dysków twardych, postaram się w kilku słowach wyjaśnić przyrodę tego zjawiska.

Na początku wyjaśnijmy sobie, czym jest sektor w przypadku współczesnych HDD.

Podłoże talerzy magnetycznych we współczesnych HDD może być zrobione ze szkła lub aluminium. Na nią napylane są drobne cząsteczki materiału ferromagnetycznego. Pod mikroskopem to przypomina troszeczkę kawior (Zdjęcie 1).

Zdjęcie 1. Powierzchnia talerza magnetycznego pod mikroskopem
Źródło: Ismail-Beigi Research Group, Hard Drives Methods And Materials

Czytaj dalej

Przygotowane w ten sposób talerzy montują w dysku twardym, po czym wykonują pierwsze formatowanie. Nosi ono nazwę Servo Track Writing (w skrócie STW) i polega na tym, że zmieniając bieguny pola magnetycznego poszczególnych cząsteczek głowice zapisująco-odczytujące pozostawiają na powierzchni talerza niewidzialne koncentryczne ścieżki (ang. Track).

Zdjęcie 2. *Track’i* na powierzchni dysku twardego uwidocznione przy pomocy mikroskopu sił magnetycznych
Źródło: Matesy GmbH – Own work, CC BY-SA 3.0

Każda ścieżka zostaje podzielona na określoną liczbę sektorów. Niżej na rysunku (3) widzimy graficzne zobrazowanie jednego z takich tracków.

Rysunek 1. Struktura fizyczna pojedynczego sektora na dysku twardym
Źródło: Dmitry Postrigan, Bad Sector Recovery

Każdy track się składa z kilku sektorów z danymi (Data sector) oraz sektorów z serwo-znacznikami (Servo sector). Te ostatnie mają charakter techniczny. Dzięki nim układ sterujący dysku (układ ten, nazywany również Sterownikiem Dyskowym, składa się z procesora, pamięci operacyjnej, kontrolera silnika i kilku innych elementów) zlokalizowany na płytce drukowanej (tzw. PCB – Printed Circuit Board) może ustalić pozycję głowicy odnośnie centrum tracka. Sterownik non-stop koryguję pozycjonowanie głowicy, gdyż może ona ulegać zmianom na skutek wibracji napędu, fluktuacji aerodynamicznych oraz mikro defektów powierzchni talerza (np z tzw. efektem bicia (ang. Runout), który polega na odchyleniu rzeczywistego Track’a od idealnego okrągu, na przykład zbliżeniu go nieco formą do owalu.)

W górnej części rysunku nr 1 została pokazana (schematycznie) struktura data sectora.

Widzimy tu odstęp pomiędzy sektorami zlokalizowanymi na jednej ścieżce (tzw. gap), adres sektora (A.M. – Address Mark), obszar z danymi (data) oraz obszar z kodem korekcyjnym (ECC – error correction code).

Wiedząc już jaka jest budowa i zasada działania sektorów na dysku twardym możemy zrozumieć, czym są bad sektory. Powstają one, kiedy Sterownik Dyskowy nie potrafi odczytać (poprawnie) któregoś z wymienionych wyżej elementów – wtedy cały ten sektor zostanie oznaczony jako uszkodzony.

Podobne uszkodzenia mogą powstawać w wyniku negatywnych zmian w warstwie ferromagnetycznej lub fizycznej degradacji talerza, o której opowiemy niżej. Uszkodzenia warstwy magnetycznej zdążają się na przykład, kiedy głowica zapisująca w trakcie zapisu zamiast docelowego sektora/ścieżki nadpisuje sąsiedni sektor (sektory). Powodem tu może być silna wibracja lub uderzenie dysku. W takiej sytuacji na miejscu obszaru z danymi (Data) może się okazać, na przykład, ECC lub Data należące do innego sektora. Przy próbie odczytu Sterownik Dyskowy wykryje niezgodność ECC z danymi zapisanymi w sektorze. Taki sektor może być zaliczony do sektorów „podejrzanych”. Z uwagi na to, że warstwa magnetyczna nie jest w tym przypadku uszkadzana, Sterownik Dyskowy będzie próbował wykorzystać „podejrzany” sektor do zapisu innych danych i w razie niepowodzenia stwierdzi fizyczne uszkodzenie powierzchni. Inaczej sytuacja wygląda w przypadku nadpisania serwo-znaczników. Uszkodzone obszary wyłącza się wtedy z użytkowania, ponieważ ich rekonstrukcja wymaga powtórzenia fabrycznych procedur testowania dysku, co oznaczałoby także skasowanie danych użytkownika.

Zdjęcie 3. W dalekim 2005 do *Servo Track Writing* wykorzystywane były takie oto “potwory”
Źródło: T. Yamada et al., Servo Track Writing Technology

Uszkodzenia fizyczne powstają z tego powodu, że warstwa ferromagnetyczna posiada te same cechy co i każdy inny magnes, a więc z czasem traci właściwości magnetyczne. Z reguły, skutki tego procesu w przypadku współczesnych HDD można zauważyć już po około pięciu latach, jeśli dysk jest przechowywany na półce. Raportują o tym m. in. biegli sądowi, którzy po latach próbują odczytać dowody cyfrowe. Przejawia się to w ten sposób, że liczba hash, którą biegły oblicza za każdym razem przystępując do analizy nośnika danych cyfrowych, zaczyna się nie zgadzać z liczbą hash uzyskaną wcześniej.

Badania wykazują, że degradacja warstwy magnetycznej postępuję szybszej, jeśli mamy do czynienia ze znacznymi wahaniami temperatury. W rezultacie może to doprowadzić nawet do całkowitej utraty właściwości magnetycznych, co oznacza też, że nie da się już odczytać zapisane na dysku dane.

Wysokie temperatury w połączeniu z wilgotnością zwiększają intensywność procesów korozyjnych. Warstwa magnetyczna talerzy jest wykonana z metalu i jak każdy metal jest na tą korozję narażona. Aby się przed nią uchronić warstwa magnetyczna jest pokryta dodatkowo dwoma warstwami ochronnymi, przy czym górna warstwa ochronna ma właściwości smarujące. Kiedy głowica w wyniku wibracji lub uderzeń dysku dotyka powierzchni talerza, to kontaktuje przede wszystkim z warstwą smarującą i przez to nie uszkadza się i nie uszkadza warstwy magnetycznej. Talerz może spokojnie „przeżyć” kilka takich dotknięć. Oczywiście z czasem głowica będzie zabrudzona materiałem smarującym, a przez to zwiększy się wysokość jej lotu, a w konsekwencji również wrażliwość na zmiany pola magnetycznego (zdolność do poprawnego odczytania poszczególnych bitów). W najgorszym przypadku to prowadzi do uszkodzenia całego dysku (była to główna przyczyna wysokiej awaryjności dysków twardych Seagate serii 10).

Warto pamiętać o tym, że grubość warstw ochronnych jest bardzo mała. Producenci zawsze szukają kompromisu pomiędzy ochroną warstwy z danymi a zapewnieniem głowicom możliwości odczytu mikroskopijnych zmian pola magnetycznego. Głowica musi znajdować jak najbliżej warstwy magnetycznej, a przy tym zachowywać bezpieczną wysokość lotu nad powierzchnią talerza.

Rysunek 2. Graficzne zobrazowanie przekroju talerza magnetycznego, zrobione w 1997 roku. Grubość warstw ochronnych wtedy wynosiła ok. 16 nm (0,000016 mm)
Źródło: Kanu G. Ashar, Magnetic Disk Drive Technology

Z powyższych rozważań wynika, że każde wyjście poza zakres rekomendowanych warunków eksploatacji HDD przyśpiesza degradację warstwy z danymi. Wysokie temperatury sprzyjają szybszej demagnetyzacji warstwy roboczej. W połączeniu z wysoką wilgotnością to prowadzi do jej szybszej korozji. Rekomendujemy więc sprawdzić czy Państwa dysk twardy nie przegrzewa się i w razie konieczności zainstalować dodatkowe chłodzenie. Należy również kontrolować wilgotność powietrza w pomieszczeniu, w którym znajduje się komputer. Wysoka wilgotność może prowadzić także do innych uszkodzeń techniki komputerowej.

Jeśli macie Państwo uwagi lub życzenia, to zapraszam do pozostawienia komentarzy 🙂