Zapraszamy do zapoznania się z naszym artykułem o pożarze w Kuźni Społecznej w Olsztynie, który został opublikowany w renomowanym czasopiśmie międzynarodowym Forensic Science International: Reports
Zmieniamy metadane w plikach .docx
Wcześniej pisaliśmy o tym, że każdy plik cyfrowy (są wyjątki – pliki tworzone w Notatniku z rozszerzeniem .txt czy pliki bibliotek dynamicznych .dll) ma dodane informacje techniczne. Zakres tych informacji w przypadku każdego rodzaju plików będzie różny. Na przykład, pliki-zdjęcia (.jpg, .png itd.) będą zawierały w metadanych informacje o modelu kamery, jej producencie, warunkach, w których było robione zdjęcie, koordynaty geograficzne. Pliki .pdf zawierające oprócz tekstu zdjęcia będą miały metadane własne oraz metadane ukryte (metadane zdjęć) – o tym pisaliśmy w naszym poprzednim blogu o metadanych w plikach umieszczonych na oficjalnych stronach organów państwowych i służ specjalnych w Polsce i innych krajach. Wiemy, że metadane mogą zawierać informacje poufne i wrażliwe, w związku z czym należy je usuwać (różne formaty plików będą wymagały zastosowania różnych narzędzi i metod).
Wyobraźmy sobie jednak, że zależy nam na tym, żeby metadane pliku były zachowane – jest to pewnego rodzaju gwarancja autentyczności pliku. Mamy jednak pewien problem – musimy ukryć/zmienić rzeczywistą datę utworzenia pliku oraz czas pracy nad plikiem. Na przykład, nie chcemy, żeby z metadanych wynikało, że plik ten ściągnęliśmy z Internetu i wydajemy za swój. Co możemy w tej sytuacji zrobić?
Uwaga: metody z zakresu anti-forensics opisywane w naszym blogu są podawane wyłącznie w celach informacyjnych. Celem autorów nie jest szkolenie „cyberprzestępców”. W związku z tym autorzy zastrzegają sobie prawo do pewnych niedomówień i zmian umożliwiających wykrycie tego rodzaju manipulacji😊
Pliki w formacie .docx są de facto plikami-archiwami, których „rzeczywiste” rozszerzenie jest .zip. Możemy z łatwością o tym się przekonać, jeśli zmienimy rozszerzenie pliku w formacie .docx na .zip. Zobaczymy skompresowany folder zawierający podfoldery i pliki w formacie .xml (Extensible Markup Language) – rys. 1
Rozpakowujemy archiwum i otwieramy rozpakowany folder – rys. 2
Metadane będziemy oczywiście szukali w subfolderze o nazwie docProps (od angielskiego Document Properties). Wewnątrz znajdziemy dwa pliki – app.xml oraz core.xml.
Wybieramy, oczywiście, ten drugi (przyda się znajomość języka angielskiego) i otwieramy go w przeglądarce – rys. 3. Data utworzenia naszego pliku to 13 grudnia 2012 roku.
W pliku o nazwie app.xml znajdziemy natomiast czas pracy nad plikiem – rys. 4. W tym przypadku jest to 87 minut.
Aby zmienić te znaczenia, trzeba otworzyć w/w pliki w dowolnym redaktorze tekstowym – rys. 5
Jak widzimy, operacja ta jest stosunkowa prosta i nie wymaga zaawansowanej wiedzy z zakresu kryminalistyki cyfrowej. Niemniej jednak należy pamiętać o tym, że pliki .docx mają ukryte😊 metadane (czytaj nasz pierwszy wpis o metadanych), które mogą w sposób „niewytłumaczalny” pojawić się, kiedy przekażemy nasz plik via email, MS Teams czy dowolny inny komunikator internetowy.
PS: opisana metoda działa również w przypadku plików w formacie .pptx (MS PowerPoint) oraz .xlsx (MS Excel)
BREAKING NEWS: Metadane w plikach na stronach organów państwowych i służb
W poprzednim wpisie (o metadanych) opowiadaliśmy o tym, jakie znaczenie mają tego rodzaju informacje, jeśli chodzi o odtworzenie kolejności wydarzeń, ujawnienie związku pomiędzy pojedynczymi faktami itd. Podaliśmy również przykłady programów, które umożliwiają odczyt metadanych z plików różnego formatu. Programy te są wyjątkowo łatwe w obsłudze i dostępne dla każdego w sieci Internet. Niestety, jak się okazuje, metadane to nie jest tylko teoria. Otóż parę dni temu grupa naukowców z Uniwersytetu w Grenoble opublikowała wyniki badań nad danymi umieszczanymi na stronach służb specjalnych w kilkudziesięciu krajach zarówno Unii Europejskiej jak i państw spoza Unii. W abstrakcie artykułu widzimy następujące informacje:
„Organizacje [rządowe] coraz częściej publikują i udostępniają w formie elektronicznej dokumenty, takie jak pliki PDF. Niestety większość organów nie zdaje sobie sprawy z tego, że dokumenty te mogą zawierać informacje poufne, takie jak nazwiska autorów, szczegóły dotyczące systemów operacyjnych czy też architektury sieci komputerowych. Tego rodzaju dane mogą być wykorzystane przez hakerów, które dysponując tymi informacjami, są w stanie przeprowadzić pewnego rodzaju profilowanie i znaleźć „słabe punkty” w danej organizacji [chodzi tu o pracowników/funkcjonariuszy, którzy korzystają z przestarzałych wersji systemów operacyjnych czy wykazują niekompetentność w zakresie informatyki]. W artykule analizujemy ukryte dane znalezione w plikach PDF opublikowane przez organizację rządowe [służby specjalne]. Przebadano łącznie 39 664 plików PDF opublikowanych przez 75 służb specjalnych w 47 krajach. Udało nam się zmierzyć jakość i ilość informacji ujawnionych w tych plikach PDF. Zidentyfikowaliśmy tylko 7 agencji bezpieczeństwa, które oczyszczają kilka swoich plików PDF przed publikacją. Niestety, nadal byliśmy w stanie znaleźć poufne informacje w 65% tych oczyszczonych plików PDF. Niektóre służby używają słabe techniki sanityzacji [chodzi o techniki usuwania metadanych z umieszczanych na stronie dostępnej publicznie plików]”.
Cały artykuł w języku angielskim można znaleźć pod tym linkiem https://arxiv.org/abs/2103.02707
Spróbowaliśmy powtórzyć doświadczenia francuskich kolegów. Nie wdając się w szczegóły, udało się nam zobaczyć metadane [wrażliwe!] w przypadku większości plików dostępnych do pobrania na oficjalnych stronach internetowych wiodących służ polskich (Rysunek 1). Z ciekawości sprawdziliśmy oficjalne strony niektórych służb niemieckich, wynik jest taki sam. Podobnie tez jest w przypadku Rosji.
Każdy z Państwa może powtórzyć te doświadczenia korzystając z programów, o których pisaliśmy.
Informacje o tym artykule jako pierwszy podał na swoim blogu Bruce Schneier.
Budowa SSD. Część 3: TRIM a odzyskiwanie danych.
Jak już wiemy z poprzedniego wpisu kontroler dysku SSD musi dysponować wolnymi komórkami pamięci NAND. Jest to konieczne, jeśli chodzi o pracę translatora FTL, bez którego nie funkcjonuje logiczna adresacja LBA, a bez LBA nie działa system operacyjny, czyli użytkownik nie może korzystać z dysku SSD, odczytywać lub zapisywać jakiekolwiek dane. W związku z tym kontroler dysku SSD nieustannie szuka bloków pamięci NAND, które można zwolnić bez uszkodzenia danych użytkownika lub danych systemowych dysku SSD. Z tą drugą kategorią danych dla kontrolera „wszystko jest jasne”, bo on sam je tworzy i wypełnia treścią. Natomiast zrozumienie, które to dane użytkownika nie są mu już potrzebne, jest dla kontrolera nieco bardziej skomplikowane.
Jak pamiętamy z poprzedniego wpisu, w przypadku, kiedy użytkownik usuwa pliki, system operacyjny nie trudni się nadpisywaniem usuniętych danych, a zmienia tylko kilka bitów w odpowiednich tabelach (tzw. flagi). To powoduje, że plik z poziomu systemu operacyjnego staje się niewidoczny. W przypadku dysków SSD takie podejście powodowałoby, że po pewnym czasie dysk zapchałby się niepotrzebnymi danymi i przestał działać. Aby zwolnić zajęte przez „niepotrzebne” pliki komórki pamięci NAND (czyli wykasować te dane na stale), kontroler dysku musi najpierw zidentyfikować pliki, które nie są już potrzebne użytkownikowi.
Czytaj dalejMetadane plików – czym są i jakie znaczenie mają dla kryminalistyki cyfrowej
Metadane są najczęściej definiowane jako dane o danych (a set of data about other data). Nie jest to jednak definicja prawidłowa. Tak naprawdę, ze względu na różnorodność danych, które możemy zaliczać do metadanych, nie da się wypracować definicji uniwersalnej. Łatwej jest natomiast wymienić najczęściej spotykane rodzaje metadanych. Do tej kategorii zaliczamy m. in. nagłówki emailów, dane EXIF w plikach graficznych, dane o autorach, dacie utworzenia, modyfikacji i ostatniego dostępu w przypadku plików MS Word. Metadane znajdziemy również poza światem cybernetycznym. Na przykład, nazwa, obrazek na stronie tytułowej książki to są metadane. Mapa drogowa w nawigacji samochodowej to są metadane – dzięki nim lepiej radzimy sobie z obiektem bardziej skomplikowanym (teren realny).
Metadane pełnią różne funkcje, z których główną jest identyfikacja, opis danych [podstawowych] i ułatwienie procesu korzystania z tych danych. W systemach komputerowych metadane plików dzielą się na dwie grupy – metadane aplikacji, programu oraz metadane systemowe. Mówiąc w uproszczeniu, te pierwsze są przekazywane razem z plikiem do nowej lokalizacji, na przykład, za pośrednictwem emailu lub serwisu społecznościowego. Metadane systemowe pozostają, natomiast, w pamięci komputera, na którym utworzono (modyfikowano) dany plik cyfrowy – są to m. in. zapisy w MFT, czyli Master File Table.
Czytaj dalejBudowa SSD. Część 2: mechanizm działania kontrolera, translator FTL.
To wszystko, o czym pisaliśmy w części pierwszej powoduje, że dysk SSD musi mieć pewnego rodzaju „pośrednika” pomiędzy dwoma mechanizmami zapisu i odczytu danych – adresacją logiczną LBA (którą posługuje się system operacyjny) z jednej strony a scalakiem pamięci NAND z drugiej. Ten ostatni, jak już Państwo wiecie z poprzedniego wpisu, może wykonywać tylko trzy rodzaje operacji – read, write oraz erase. Zauważmy, że nie ma wśród nich operacji rewrite, czyli nadpisywania – wynika to z fizycznych ograniczeń tego typu pamięci. Ale tak się składa, że jest to operacja istotna dla funkcjonowania mechanizmu LBA, który bezwarunkowo umożliwia systemowi operacyjnemu zapisywanie/odczytywanie/modyfikację danych w każdym bloku logicznym (de facto sektorze z danymi), który tą adresacją jest objęty – czyli posiada wyrażony liczbą (od 0 do iluś bilionów) adres LBA.
Czytaj dalejBudowa SSD. Część 1: budowa fizyczna, LBA i NAND.
Dyski typu SSD coraz częściej wykorzystuje się jako podstawowy nośnik danych zarówno w urządzeniach klasy konsumenckiej, jak i specjalistycznej (np. w serwerach). Zgodnie z prognozami, w 2021 r. sprzedaż dysków SSD przewyższy sprzedaż dysków twardych typu HDD. Dzisiaj istnieje ponad 80 firm, które produkują dyski SSD (warto zwrócić uwagę na to, że dyski HDD w 1985 roku, tj. na początku ich istnienia, były produkowane przez 75 firm, z których obecnie funkcjonuje tylko 3).
Kilka lat temu dyski SSD wyprzedziły dyski typu HDD pod względem pojemności maksymalnej. Obecny „rekordzista” wśród dysków typu HDD ma pojemność 20 terabajt – znacznie mniej niż 100 terabajtowy konkurent z rodziny SSD firmy Nimbus.
Czytaj dalejSztuka steganografii, czyli ukrywamy informacje w innych plikach
“It’s the oldest question of all, George. Who can spy on the spies?”
John le Carré, Tinker Tailor Soldier Spy
Dzisiejszy blog był zainspirowany przez Państwa komentarze (osobne podziękowania dla Pana Jakuba!). Bezpośrednim natomiast powodem była dość smutna wiadomość o odejściu Johna le Carré (1931-2020), którego książki (The Spy Who Came in from the Cold, Tinker Tailor Soldier Spy czy też ostatnia i niesamowita Agent Running in the Field) były i pozostaną inspiracją dla wielu pokoleń kryminalistyków.
W czasach Wojny Zimowej jednym z podstawowych problemów, z którym miały do czynienia służby bezpieczeństwa, było przekazywanie informacji (zdobytych) w taki sposób, żeby w sytuacji, kiedy wiadomość/list zostanie przechwycona/y a) nie ujawnić jej źródła, b) uniemożliwić odczyt treści wiadomości oraz c) nie dać podmienić wiadomości na inną. W sztuce szpiegowskiej stosowano w tych celach wiele rozwiązań – od prostych do dość zaawansowanych technicznie. Możemy zobaczyć, jak wyglądała ukryta wiadomość (wariant najprostszy) w filmie braci Coen Bridge of Spies opowiadającym o wymianie Rudolfa Abla na Francisa Gary Powersa – pilota amerykańskiego samolotu szpiegowskiego U-2 zestrzelonego nad terytorium Związku Radzickiego. Do zaawansowanych technicznie metod można zaliczyć tzw. microdot’y – tekst widoczny wyłącznie przy dużym powiększeniu zamaskowany pod kropkę lub zabrudzenie (Rys. 1).
Czytaj dalejCzy HDD i SSD są w stanie “przeżyć” pożar?
W niniejszym blogu analizujemy przypadek odzyskiwania danych z nośników cyfrowych uszkodzonych podczas pożaru i operacji gaśniczej. Szczegółowo opiszemy także procedury odzyskiwania danych.
Zdarzenie
Pożar wybuchł około 3 nad ranem w dwukondygnacyjnym budynku niemieszkalnym – olsztyńskiej Kuźni Społecznej. Po godzinie został zauważony i wezwano straż pożarną. W akcji gaśniczej brało udział ponad 60 strażaków. Udało im się ograniczyć rozprzestrzenianie się ognia na drugim piętrze, ale całkowite ugaszenie ognia zajęło prawie cztery godziny. Uszkodzona została trzecia część budynku, w tym drugie piętro zajmowane przez wydawnictwo. Przyczyna pożaru została później określona jako przypadkowa. Większość komputerów firmy wydawniczej, w tym komputery stacjonarne i laptopy, znajdowała się na pierwszym piętrze, przez co narażone one były nie tylko na działanie wysokich temperatur, lecz także na oddziaływanie środków gaśniczych, uderzenia i wstrząsy.
Do laboratorium UratujemyTwojeDane.pl trafiło 14 nośników. Wśród nich 3,5-calowe dyski twarde z komputerów stacjonarnych, dyski SSD oraz 2,5-calowe dyski twarde z laptopów oraz dyski twarde zewnętrzne z interfejsami USB 3.0.
Czytaj dalejJak ukryć plik? Rozszerzenia i „podpisy cyfrowe” w plikach
Zadanie: ukryć plik (.pdf, .docx, .wav lub inny) na dysku twardym, a jednocześnie uniemożliwić jego otwarcie przez osoby trzecie nie stosując szyfrowania.
Przedstawimy Państwu dwie metody z zakresu tzw. antiforensics, tj. działań podejmowanych w celu ukrycia śladów (kryminalistycznych) przed detekcją – metodę dla „laików” oraz drugą, bardziej zaawansowaną metodę antykryminalistyczną.
Antiforensics – działania kontrwykrywcze, których celem jest zatarcie, ukrycie śladów (w tym tych zaliczanych do kategorii cyfrowych) stanowią przedmiot kryminalistyki.
Materiał udostępniany w danym blogu ma służyć wyłącznie do celów edukacyjnych i informacyjnych.
Rozwiązanie 1: zmienić rozszerzenie pliku
Każdy plik ma określone rozszerzenie (ang. extention) wskazujące na jego format – .doc, .docx, .pdf, .png, .wav, .avi itd. Oficjalną, pełną listę rozszerzeń plików można znaleźć na stronie https://fileinfo.com/ (Rys. 2).
Rozszerzenie pliku można łatwo zmienić na dowolne (również te, które w naturze nie istnieje). Na przykład, możemy zmienić rozszerzenie .docx na .jpg. Ikonka pliku zmieni się wtedy „automatycznie” (Rys. 2).
Czytaj dalejCzy można zidentyfikować użytkownika serwisu VPN – wirtualnego tunelu prywatnego?
VPN, czyli wirtualny tunel prywatny, jest popularnym rozwiązaniem stosowanym przez osoby, które chcą zapewnić anonimowość poruszania w sieci Internat oraz bezpieczeństwo podczas korzystania z publicznych punktów dostępu do Sieci. Większość operatorów VPN podaje na swoich stronach, że nie przechowuje historię i nie rejestruje aktywności użytkowników, tj. daty, czasu logowania oraz używanego adresu (publicznego) IP. Jest to nie do końca zgodne z prawdą, gdyż w takim razie operator VPN nie jest w stanie rozróżnić osoby, które opłaciły korzystanie z serwisu, od pozostałych oraz zaspokoić ciekawość organów ścigania.
W przypadku Kowalskiego, który wykorzystuje „tunelowanie” do celów legalnych, nie powinno to wywoływać żadnych obaw – dane o jego aktywności będą chronione przez operatora VPN zgodnie z umową. Co więcej, ze względu na to, że dane w „tunelu” są szyfrowane, operator VPN nie jest w stanie odczytać co dokładnie pobieramy/wysyłamy do Sieci.
Czytaj dalejOdpowiedzi na pytania zadane podczas posiedzenia SKN Kryminalistyki
Pytanie 1: Jaki jest najprostszy sposób na usunięcie oprogramowania szpiegowskiego z komputera. Czy trzeba zrobić format całego dysku?
W przypadku, kiedy tego rodzaju oprogramowanie zostało wykryte przez Państwa antywirus, należy posługiwać się wskazówkami antywirusa, tj. można wybrać opcję „skasuj zarażone pliki” lub “wylecz”. Jeśli zaś Państwa antywirus nie wykrywa obecności złośliwego oprogramowania, a są podejrzenia, że takie oprogramowanie jest w systemie, można skorzystać z takich narzędzi jak Dr.Web LiveDisk. Po uruchomieniu tego darmowego programu (z bootowalnego pendrive’a) można sprawdzić wszystkie podłączone do Państwa komputera nośniki i ewentualnie usunąć oprogramowanie złośliwe.
Formatowanie całego dysku twardego jest środkiem skrajnym. Robimy to w sytuacji, kiedy system operacyjny na naszym komputerze jest na tyle „zawirusowany”, że jego “leczenie” zajmie zbyt dużo czasu lub może skutkować uszkodzeniem jego funkcjonalności.
Niestety nie zawsze istnieje możliwość wykrycia wirusa przy pomocy programu antywirusowego. Program wirusowy może być tak zamaskowany, że antywirus nie znajdzie w nim znanych sygnatur wirusowych (tzw. obfuscation).
Pytanie 2. Na jakich zasadach działają przeglądarki typu Tor?
Kiedy używamy przeglądarki TOR, to przeglądarka taka nie zwraca się do stron internetowych bezpośrednio jak to robi każda inna, zwykła przeglądarka. Zamiast tego przeglądarka TOR łączy się z tymi stronami (serwerem, na którym umieszczono stronę) za pośrednictwem sieci TOR. Zgodnie z opisem z Wiki, “schemat połączenia wygląda w następujący sposób: Użytkownik → węzeł1 → węzeł2 → węzeł3 → Serwer docelowy”. Oznacza to, że kiedy wysyłamy z naszego komputera zapytanie do jakiegoś serwera, żeby wysłał on nam kopię konkretnej strony internetowej, to nie zwracamy się do serwera bezpośrednio. Zamiast tego oprogramowanie TOR …
Czytaj dalejPrzyznanie się do winy w procesie karnym [ARTYKUŁ]
Dzisiejszy temat będzie nieco odbiegał od informatyki (śledczej), ale niestety też jest bardzo życiowy. Dotyczy on przyznawania się do winy, a mianowicie ewentualności wymuszenia przez Policję takiego przyznania się.
Kiedy przyznajemy się do popełnienia przestępstwa stwarzamy tym samym niesamowicie mocny obciążający dowód. Prawdziwe przyznanie może być żyznym źródłem nowych dowodów, które dotychczas były znane tylko sprawcy przestępstwa. Ono pomaga oskarżeniu zbudować silną sprawę w sytuacji, kiedy są dostępne tylko dowody poszlakowe. W niektórych przypadkach, jak np. zabójstwa bez ciała czy podpalenia lasów, trudno jest udowodnić winę podejrzewanego bez kooperacji z jego strony.
Niektóre techniki przesłuchania mogą powodować fałszywe przyznania się do winy, które z kolei są częstą przyczyną pomyłek sądowych. Chodzi tu przede wszystkim o przemoc fizyczną, tortury oraz manipulację. Zakaz używania tego rodzaju technik przez Policję i służby specjalne jest ugruntowany w prawie międzynarodowym i jest również obecny w prawie krajowym. Te ostatnie zawiera mechanizmy, które w ideale pozbawiają sensu naruszenie zakazu stosowania tortur czy innych form przemocy przez funkcjonariuszy. O tych mechanizmach oraz różnicach w ich implementacji w Polsce i Rosji oraz na poziomie europejskim w dzisiejszym artykule w języku angielskim.
Mechanizm działania dysków twardych HDD. Możliwości odzyskiwania danych [ARTYKUŁ]
W latach 50. w Stanach Zjednoczonych wraz ze zwiększeniem ilości danych cyfrowych pojawiła się potrzeba zapewnienia szybkiego dostępu do nich. Najbardziej popularne w tym czasie nośniki danych – karty perforowane i streamery – takiego dostępu nie zapewniali. W przypadku kart perforowanych, żeby znaleźć potrzebne informacje lub kod programu należało ręcznie przeszukać zbiór kart – kartotekę, a następnie znalezioną kartę umieścić w czytniku. To znacząco wydłużało tzw. seek time, czyli czas dostępu – charakterystyka systemów przechowywania danych cyfrowych oznaczająca prędkość odnajdywania przez system potrzebnych w tej chwili danych.
Czytaj dalejSkuteczna utylizacja dysków twardych metodą Red Dot [WIDEO]
Czasem mamy potrzebę szybkiej i pewnej utylizacji nośniku zawierającego określone (wrażliwe, personalne) dane. Może to być kartka z kodem PIN do naszej karty płatniczej, koperta z danymi adresowymi, imieniem i nazwiskiem, które to warto podrzeć na małe kawałki przed wyrzuceniem do śmietnika. To pozwala uniknąć wielu problemów. Nieostrożne udostępnienie naszych danych osobowych może skutkować tym, że mogą one trafić do rąk oszustów, którzy będą je wykorzystywali w celu wyłudzenia pieniędzy, uzyskania kredytu lub wyrobieniu kopii naszej karty SIM.
Sytuacja jest jednak bardziej skomplikowana w przypadku nośników komputerowych. Nawet małej pojemności pendrive może zawierać taką ilość naszych zdjęć i dokumentów, że po wydrukowaniu nie zmieściłyby się one nawet w kilku śmietnikach. W związku z tym tego typu urządzenia wymagają szczególnej uwagi i przede wszystkim należy je poprawnie utylizować.
Czytaj dalejW tym artykule pokażemy Państwu, jak szybko i bezpowrotnie uniemożliwić dostęp do danych znajdujących się na 2,5-calowym HDD.
Co się kryje za nazwą „BAD sektor”?
BAD sektory to najczęstsza przyczyna “śmierci” starych dysków twardych, kiedy nie możemy uzyskać dostęp do wcześniej zapisanych plików. Jako osoba, która na co dzień zajmuje się zawodowo odzyskiwaniem danych z uszkodzonych dysków twardych, postaram się w kilku słowach wyjaśnić przyrodę tego zjawiska.
Na początku wyjaśnijmy sobie, czym jest sektor w przypadku współczesnych HDD.
Podłoże talerzy magnetycznych we współczesnych HDD może być zrobione ze szkła lub aluminium. Na nią napylane są drobne cząsteczki materiału ferromagnetycznego. Pod mikroskopem to przypomina troszeczkę kawior (Zdjęcie 1).
Czytaj dalej