Kategoria: Antiforensics

Zmieniamy metadane w plikach .docx

Opublikowany 27 marca 202127 marca 2021 przez Denis

Wcześniej pisaliśmy o tym, że każdy plik cyfrowy (są wyjątki – pliki tworzone w Notatniku z rozszerzeniem .txt czy pliki bibliotek dynamicznych .dll) ma dodane informacje techniczne. Zakres tych informacji w przypadku każdego rodzaju plików będzie różny. Na przykład, pliki-zdjęcia (.jpg, .png itd.) będą zawierały w metadanych informacje o modelu kamery, jej producencie, warunkach, w których było robione zdjęcie, koordynaty geograficzne. Pliki .pdf zawierające oprócz tekstu zdjęcia będą miały metadane własne oraz metadane ukryte (metadane zdjęć) – o tym pisaliśmy w naszym poprzednim blogu o metadanych w plikach umieszczonych na oficjalnych stronach organów państwowych i służ specjalnych w Polsce i innych krajach. Wiemy, że metadane mogą zawierać informacje poufne i wrażliwe, w związku z czym należy je usuwać (różne formaty plików będą wymagały zastosowania różnych narzędzi i metod).

Wyobraźmy sobie jednak, że zależy nam na tym, żeby metadane pliku były zachowane – jest to pewnego rodzaju gwarancja autentyczności pliku. Mamy jednak pewien problem – musimy ukryć/zmienić rzeczywistą datę utworzenia pliku oraz czas pracy nad plikiem. Na przykład, nie chcemy, żeby z metadanych wynikało, że plik ten ściągnęliśmy z Internetu i wydajemy za swój. Co możemy w tej sytuacji zrobić?

Uwaga: metody z zakresu anti-forensics opisywane w naszym blogu są podawane wyłącznie w celach informacyjnych. Celem autorów nie jest szkolenie „cyberprzestępców”. W związku z tym autorzy zastrzegają sobie prawo do pewnych niedomówień i zmian umożliwiających wykrycie tego rodzaju manipulacji😊

Pliki w formacie .docx są de facto plikami-archiwami, których „rzeczywiste” rozszerzenie jest .zip. Możemy z łatwością o tym się przekonać, jeśli zmienimy rozszerzenie pliku w formacie .docx na .zip. Zobaczymy skompresowany folder zawierający podfoldery i pliki w formacie .xml (Extensible Markup Language) – rys. 1

Rys. 1. Zmieniamy rozszerzenie pliku na .zip

Rozpakowujemy archiwum i otwieramy rozpakowany folder – rys. 2

Metadane będziemy oczywiście szukali w subfolderze o nazwie docProps (od angielskiego Document Properties). Wewnątrz znajdziemy dwa pliki – app.xml oraz core.xml.

Wybieramy, oczywiście, ten drugi (przyda się znajomość języka angielskiego) i otwieramy go w przeglądarce – rys. 3. Data utworzenia naszego pliku to 13 grudnia 2012 roku.

Rys. 3. Zawartość pliku z metadanymi o nazwie core.xml

W pliku o nazwie app.xml znajdziemy natomiast czas pracy nad plikiem – rys. 4. W tym przypadku jest to 87 minut.

Aby zmienić te znaczenia, trzeba otworzyć w/w pliki w dowolnym redaktorze tekstowym – rys. 5

Jak widzimy, operacja ta jest stosunkowa prosta i nie wymaga zaawansowanej wiedzy z zakresu kryminalistyki cyfrowej. Niemniej jednak należy pamiętać o tym, że pliki .docx mają ukryte😊 metadane (czytaj nasz pierwszy wpis o metadanych), które mogą w sposób „niewytłumaczalny” pojawić się, kiedy przekażemy nasz plik via email, MS Teams czy dowolny inny komunikator internetowy.

PS: opisana metoda działa również w przypadku plików w formacie .pptx (MS PowerPoint) oraz .xlsx (MS Excel)

Sztuka steganografii, czyli ukrywamy informacje w innych plikach

Opublikowany 14 grudnia 202016 grudnia 2020 przez Denis

“It’s the oldest question of all, George. Who can spy on the spies?”
John le Carré, Tinker Tailor Soldier Spy

Dzisiejszy blog był zainspirowany przez Państwa komentarze (osobne podziękowania dla Pana Jakuba!). Bezpośrednim natomiast powodem była dość smutna wiadomość o odejściu Johna le Carré (1931-2020), którego książki (The Spy Who Came in from the Cold, Tinker Tailor Soldier Spy czy też ostatnia i niesamowita Agent Running in the Field) były i pozostaną inspiracją dla wielu pokoleń kryminalistyków.

W czasach Wojny Zimowej jednym z podstawowych problemów, z którym miały do czynienia służby bezpieczeństwa, było przekazywanie informacji (zdobytych) w taki sposób, żeby w sytuacji, kiedy wiadomość/list zostanie przechwycona/y a) nie ujawnić jej źródła, b) uniemożliwić odczyt treści wiadomości oraz c) nie dać podmienić wiadomości na inną. W sztuce szpiegowskiej stosowano w tych celach wiele rozwiązań – od prostych do dość zaawansowanych technicznie. Możemy zobaczyć, jak wyglądała ukryta wiadomość (wariant najprostszy) w filmie braci Coen Bridge of Spies opowiadającym o wymianie Rudolfa Abla na Francisa Gary Powersa – pilota amerykańskiego samolotu szpiegowskiego U-2 zestrzelonego nad terytorium Związku Radzickiego. Do zaawansowanych technicznie metod można zaliczyć tzw. microdot’y – tekst widoczny wyłącznie przy dużym powiększeniu zamaskowany pod kropkę lub zabrudzenie (Rys. 1).

Rys. 1. *Microdot* – technika przekazywania instrukcji, informacji wywiadowczych kanałami otwartymi (czasopisma o zasięgu międzynarodowym, listy, pocztówki, serwetki itd.)
Źródło: newsmax.com

Czytaj dalej

Steganografia klasyczna opiera się o zasadę „matreshki” (rys. 2)

Rys. 2. Matreshka rosyjska ilustruje podstawową zasadę steganografii – ukrywamy jeden obiekt w drugim. Tylko adresat wie o tym, ile jest poziomów/„matrioszek” w matrioszce-mamie😊

Technika cyfrowa zdecydowanie poszerza możliwości steganografii. Dostępne metody można podzielić na dwie grupy 1) te, gdzie trzeba popracować rączkami oraz 2) gotowe programy, które robią wszystko za nas (rys. 3).

Rys. 3. „Interfejs” programu steganograficznego steghide (program pracuje w wierszu poleceń Windows)

Gotowe programy mają jednak kilka istotnych wad:

kryminalistycy cyfrowi wiedzą o ich istnieniu;
każdy może je ściągnąć i wypróbować, a więc będzie wiedział, jak wygląda wynik końcowy oraz (kryminalistyk cyfrowy) jak działa dany program;
gotowe programy zostawiają ślady cyfrowe (szczególnie w środowisku Windows), na podstawie których można domyślić się, jakiego programu steganograficznego używał nasz Kowalski.

W związku z powyższym w dzisiejszym blogu opiszemy metodę nr 1. Potrzebny nam będzie redaktor liczb szesnastkowych, na przykład znany nam już HxD Maëla Hörza z uroczego Saarbrücken😊 oraz program do archiwizowania/kompresji plików, na przykład darmowy 7-Zip. Plus, zwierzątko doświadczalne – plik z rozszerzeniem .jpg lub .gif.

Mamy plik secret.docx. Kompresujemy nasz plik w 7-Zip (klikamy na plik prawy przyciskiem myszki, w menu wybieramy 7-Zip – Add to „Secret.7z” – rys. 4).

Rys. 4. Archiwizujemy plik secret.docx przy pomocy programu 7-Zip

Otwieramy nasz nowy plik secret.7z w HxD Editorze (rys.5), kopiujemy w całości (!) widoczny na ekranie kod szesnastkowy (nie zamykamy programu HxD).

Rys. 5. Plik secret.7z w HxD Editorze, otwieramy i kopiujemy kod

Przeciągamy myszką plik-obrazek na ikonkę HxD. Przewijamy kod szesnastkowy do samego końca i dodajemy kod szesnastkowy pliku secret.7z. Zachowujemy plik (Save) (nie zwracamy uwagi na pojawiające się ostrzeżenie dotyczące zmiany rozmiaru pliku, zmiana ta nie jest na tyle znacząca, żeby tym się przyjmować) – rys. 6.

Rys. 6. Dodajemy kod szesnastkowy pliku **secret.7z** do kodu szesnastkowego naszego pliku-obrazku (można też po prostu przełączać się pomiędzy okienkami, tylko nie pomylcie „mamę-matrioszkę” z „córką” 😉).

Gotowe! Mamy teraz nasz plik-obrazek, w którym schowaliśmy plik secret.docx. Jeśli zmienimy rozszerzenie pliku-obrazku na .7z będziemy mogli odtworzyć go w programie 7-Zip (Rys. 7- 8).

Rys. 7. Gotowe! Ten obrazek ma w sobie plik **secret.7z**

Rys. 8. Po zmianie rozszerzenia pliku-obrazku na .7z możemy go otworzyć w 7-Zip (prawym przyciskiem klikamy plik-obrazek ze zmienionym rozszerzeniem, wybieramy **Open archive** – 7z) i odczytać zawartość pliku **secret.docx**

Podsumowanie: zaprezentowana metoda jest prosta w użyciu, a jednocześnie nie pozostawia za wiele śladów (programy do tworzenia skompresowanych plików są dość popularne, można je znaleźć na każdym komputerze). Pozostaje tylko poinformować naszego Adresata o zastosowanej metodzie steganograficznej. Jak to zrobić – odsyłam do książek J. Le Carré 😊

Jak ukryć plik? Rozszerzenia i „podpisy cyfrowe” w plikach

Opublikowany 1 grudnia 202014 grudnia 2020 przez Denis

Zadanie: ukryć plik (.pdf, .docx, .wav lub inny) na dysku twardym, a jednocześnie uniemożliwić jego otwarcie przez osoby trzecie nie stosując szyfrowania.

Przedstawimy Państwu dwie metody z zakresu tzw. antiforensics, tj. działań podejmowanych w celu ukrycia śladów (kryminalistycznych) przed detekcją – metodę dla „laików” oraz drugą, bardziej zaawansowaną metodę antykryminalistyczną.

Antiforensics – działania kontrwykrywcze, których celem jest zatarcie, ukrycie śladów (w tym tych zaliczanych do kategorii cyfrowych) stanowią przedmiot kryminalistyki.
Materiał udostępniany w danym blogu ma służyć wyłącznie do celów edukacyjnych i informacyjnych.

Rozwiązanie 1: zmienić rozszerzenie pliku

Każdy plik ma określone rozszerzenie (ang. extention) wskazujące na jego format – .doc, .docx, .pdf, .png, .wav, .avi itd. Oficjalną, pełną listę rozszerzeń plików można znaleźć na stronie https://fileinfo.com/ (Rys. 2).

Rys. 1. *Oficjalna wyszukiwarka rozszerzeń plików w Internecie*. Każdy format jest dokładnie opisany. Po kliknięciu „View more »” zobaczymy programy (darmowe!) służące do odtwarzania tego rodzaju plików.

Rozszerzenie pliku można łatwo zmienić na dowolne (również te, które w naturze nie istnieje). Na przykład, możemy zmienić rozszerzenie .docx na .jpg. Ikonka pliku zmieni się wtedy „automatycznie” (Rys. 2).

Czytaj dalej

Rys. 2. Zmieniamy rozszerzenie pliku – „automatycznie” zmienia się ikonka pliku (pozostanie jednak białą, jeśli nie mamy na naszym komputerze odpowiedniego programu)

Dodatkowo, możemy umieścić plik ze zmienionym rozszerzeniem wśród innych plików tego samego rodzaju (steganografia). Można też zmienić nazwę naszego pliku na inną, bardziej odpowiadającą nowemu rozszerzeniu. Musimy tylko zapamiętać, jak się nazywa plik i gdzie się znajduje. Po zmianie rozszerzenia pojawi się problem z otwarciem pliku, ale po przywróceniu oryginalnego rozszerzenia wszystko będzie działać jak trzeba.

Niestety (na szczęście😊), programy kryminalistyczne do analizy śladów cyfrowych takie, jak słynny Autopsy mają funkcję (moduł) rozpoznawania plików z niepoprawnym rozszerzeniem.

Rozwiązanie 2, antykryminalistyczne: zmienić podpis cyfrowy pliku

Na poziomie binarnym każdy plik jest kombinacją jedynek i zer (=jeżyk binarny lub kod binarny – Rys. 3). Każda jedynka, każde zero to jest jeden bit. Kombinacja z ośmiu jedynek i zer tworzy jeden bajt.

Rys. 3. Plik tekstowy (.txt) w języku binarnym – literka „t” jest przedstawiana jako 01110111, literka „o” jako 01101111 itd.

W kryminalistyce cyfrowej nie stosuje się jednak kodu binarnego – jest on trudny do zapamiętania i niewygodny dla człowieka. Zamiast tego używa się kodu heksadecymalnego, szesnastkowego, gdzie ta sama informacja binarna jest kodowana przy pomocy kombinacji z liczb (od 0 do 9) i liter (A, B, C, D, E, F). Na rysunku 4 widzimy, że ten sam tekst (plik .txt) w reprezentacji szesnastkowej jest znacznie krótszy i łatwiej odbierany (Rys. 4). W tej uproszczonej formie dane (binarne) mogą być swobodnie odczytane przez człowieka (human-readable).

Rys. 4. Zapis heksadecymalny, szesnastkowy (na rysunku jest to tekst w kolorze czarnym, gdzie liczba 20 oznacza spację) jest krótszy i łatwej odbierany przez człowieka

W zapisie heksadecymalnym każdy znaczek – litera czy liczba – oznacza 4 bity. Kombinacja z literki i liczby/dwóch literek lub dwóch liczb reprezentuje więc jeden bajt (8 bit). Po prawej stronie („Decoded text”) widzimy przedstawienie naszego kodu w ASCII – tabeli, składającej z 256 symboli. Na przykład, kombinacja 74 w ASCII reprezentuje literę „t” małe (z tabelą ASCII można się zapoznać na stronie https://www.ascii-code.com/ ).

Zobaczyć zawartość pliku w języku heksadecymalnym można przy pomocy specjalnego edytora, na przykład HxD – https://mh-nexus.de/en/hxd/

Każdy plik (oprócz plików z rozszerzeniem .txt) ma podpis/sygnaturę cyfrową (w języku angielskim file signature, file header lub magic bytes). Jest on „zakodowany” w pierwszych kilkunastu bitach (Rys. 5). Na stronie https://www.filesignatures.net/ znajdziemy oficjalną bazę podpisów/sygnatur plików.

Rys. 5. Początek pliku „**praca magisterska.docx”** w reprezentacji heksadecymalnej, szesnastkowej

W naszym przypadku podpis cyfrowy pliku tworzą pierwsze 64 bity – 50 4B 03 04 14 00 06 00 (jak widzimy na Rys. 6, 32-bitowa sygnatura 50 4B 03 04 odpowiada dokumentom MS Office). W ASCII jest to zapis „PK…” – widzimy go po prawej stronie w „Decoded text”.

Rys. 6. Podpis cyfrowy plików w formacie .docx

Jeśli zmieniamy wyłącznie rozszerzenie pliku (rozwiązanie 1), to na poziomie binarnym plik będzie dalej plikiem w formacie .docx. Musimy, więc, zmienić podpis cyfrowy pliku. Na przykład, na ten odpowiadający często spotykanym plikom w formacie .png – pliki-obrazki (Rys. 7).

Rys. 7. Edytor kodu szesnastkowego pozwala nie tylko przeglądać, ale też modyfikować kod binarny.

Jak widać, nasz plik otrzymał nowy podpis cyfrowy i jest teraz plikiem w formacie .png Zostało tylko zmienić rozszerzenie pliku z .docx na .png (rozwiązanie 1), nazwę pliku oraz umieścić go wśród innych plików-obrazków.

Ważne: Opisana metoda działa również w przypadku „chmury” – możemy umieścić zmodyfikowany plik w naszym „schowku” wirtualnym. Provider usługi (Microsoft, Google) nie będzie mógł wtedy „zajrzeć” do środka. Plus, osoba nieupoważniona, która uzyska dostęp do naszego konta, nie będzie mogła odczytać, co jest w tym pliku.

Metoda 2 jest bardziej skomplikowana w porównaniu do rozwiązania pierwszego, ale jest też skuteczniejsza – nie udało nam się znaleźć żadnego programu komercyjnego, który potrafiłby rozpoznać rzeczywisty format pliku, który ma zmienioną sygnaturę binarną. Rozwiązania tego problemu istnieją tylko w teorii. To oznacza, że jeśli dysk zawierający podobny plik trafi do biegłego, temu ostatniemu będzie łatwiej uznać plik za uszkodzony i pominąć go w raporcie niż próbować odczytać jego zawartość.

Czy można zidentyfikować użytkownika serwisu VPN – wirtualnego tunelu prywatnego?

Opublikowany 23 listopada 202014 grudnia 2020 przez Denis

VPN, czyli wirtualny tunel prywatny, jest popularnym rozwiązaniem stosowanym przez osoby, które chcą zapewnić anonimowość poruszania w sieci Internat oraz bezpieczeństwo podczas korzystania z publicznych punktów dostępu do Sieci. Większość operatorów VPN podaje na swoich stronach, że nie przechowuje historię i nie rejestruje aktywności użytkowników, tj. daty, czasu logowania oraz używanego adresu (publicznego) IP. Jest to nie do końca zgodne z prawdą, gdyż w takim razie operator VPN nie jest w stanie rozróżnić osoby, które opłaciły korzystanie z serwisu, od pozostałych oraz zaspokoić ciekawość organów ścigania.

Rysunek 1. Zapewnienie, że PureVPN nie prowadzi *logów* jest niczym innym jak trik marketingowy.

W przypadku Kowalskiego, który wykorzystuje „tunelowanie” do celów legalnych, nie powinno to wywoływać żadnych obaw – dane o jego aktywności będą chronione przez operatora VPN zgodnie z umową. Co więcej, ze względu na to, że dane w „tunelu” są szyfrowane, operator VPN nie jest w stanie odczytać co dokładnie pobieramy/wysyłamy do Sieci.

Czytaj dalej

Odpowiedzi na pytania zadane podczas posiedzenia SKN Kryminalistyki

Opublikowany 18 listopada 202014 grudnia 2020 przez Ilia

Pytanie 1: Jaki jest najprostszy sposób na usunięcie oprogramowania szpiegowskiego z komputera. Czy trzeba zrobić format całego dysku?

W przypadku, kiedy tego rodzaju oprogramowanie zostało wykryte przez Państwa antywirus, należy posługiwać się wskazówkami antywirusa, tj. można wybrać opcję „skasuj zarażone pliki” lub „wylecz”. Jeśli zaś Państwa antywirus nie wykrywa obecności złośliwego oprogramowania, a są podejrzenia, że takie oprogramowanie jest w systemie, można skorzystać z takich narzędzi jak Dr.Web LiveDisk. Po uruchomieniu tego darmowego programu (z bootowalnego pendrive’a) można sprawdzić wszystkie podłączone do Państwa komputera nośniki i ewentualnie usunąć oprogramowanie złośliwe.

Formatowanie całego dysku twardego jest środkiem skrajnym. Robimy to w sytuacji, kiedy system operacyjny na naszym komputerze jest na tyle „zawirusowany”, że jego „leczenie” zajmie zbyt dużo czasu lub może skutkować uszkodzeniem jego funkcjonalności.

Niestety nie zawsze istnieje możliwość wykrycia wirusa przy pomocy programu antywirusowego. Program wirusowy może być tak zamaskowany, że antywirus nie znajdzie w nim znanych sygnatur wirusowych (tzw. obfuscation).

Pytanie 2. Na jakich zasadach działają przeglądarki typu Tor?

Kiedy używamy przeglądarki TOR, to przeglądarka taka nie zwraca się do stron internetowych bezpośrednio jak to robi każda inna, zwykła przeglądarka. Zamiast tego przeglądarka TOR łączy się z tymi stronami (serwerem, na którym umieszczono stronę) za pośrednictwem sieci TOR. Zgodnie z opisem z Wiki, „schemat połączenia wygląda w następujący sposób: Użytkownik → węzeł1 → węzeł2 → węzeł3 → Serwer docelowy”. Oznacza to, że kiedy wysyłamy z naszego komputera zapytanie do jakiegoś serwera, żeby wysłał on nam kopię konkretnej strony internetowej, to nie zwracamy się do serwera bezpośrednio. Zamiast tego oprogramowanie TOR …

Czytaj dalej

… szyfruje nasze zapytanie i wysyła go do komputera-pośrednika – uczestnika (dobrowolnego) sieci TOR. Ten komputer przekazuje nasze zapytanie do innego komputera-pośrednika (bez rozszyfrowywania jego treści). Ten z kolei zwraca się do następnego, czyli trzeciego „węzła” w tej, zbudowanej specjalnie dla nas przez oprogramowanie TOR mini sieci. Dopiero trzeci komputer-węzeł ma klucz do rozszyfrowania naszego zapytania po czym wysyła zapytanie do serwera docelowego. Po uzyskaniu odpowiedzi serwera na nasze zapytanie, szyfruje ją i wysyła nam przez wskazane wyżej węzły mini sieci. Dzięki temu mechanizmowi serwer-adresat „myśli”, że to ten ostatni w „łańcuszku” komputer (węzeł nr 3) jest jego klientem. O nas, natomiast, nie wie nic.

Rysunek 3. Tor Browser wyświetla informacje o „węzłach” naszej mini sieci

Rysunek 4. Tor Browser ma opcję utworzenia nowej „persony”

Pytanie 3. Skoro wszelkie działania na komputerze są zapisywane, to czy warto używać Virtual Private Network?

Nawet jeśli nie zmieniamy oprogramowania na naszym komputerze na takie, które nie będzie zapisywało naszej aktywności, lub nie zmieniamy ustawień naszego oprogramowania, dysk twardy (HDD/SSD) w naszym komputerze pozostaje pod naszą kontrolą fizyczną. Jesteśmy w stanie w każdej chwili ten dysk zniszczyć – rozbić talerze HDD lub połamać „kostki” pamięci w dysku SSD. Nie używając środków anonimizacji w sieci Internet, takich jak na przykład VPN, narażamy się natomiast na to, że nasza aktywność w Sieci będzie „przywiązywana” do nas jako właścicieli konkretnego komputera/smartfona. Problem polega na tym, że nie jesteśmy w stanie uzyskać fizyczny dostęp do serwerów, na których są przechowywane te dane. Plus, nie jesteśmy nawet w stanie zlokalizować te serwery fizycznie. W związku z tym, minimalizacja danych, które trafiają do tych serwerów i mogą być „przywiązane” do nas, jest dobrą strategią zapewniającą pewną kontrolę nad naszymi własnymi danymi osobowymi.

Prawo: Na uwagę zasługuję też to, że zgodnie z ustawą Prawo telekomunikacyjne z dnia 16 lipca 2004 r. (Dz.U.2019.2460 t.j.), operatorzy publicznej sieci telekomunikacyjnej oraz dostawcy publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt „zatrzymywać i przechowywać dane [niezbędne do ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego (inicjującego połączenie oraz tego, do którego kierowane jest połączenie), określenia daty i godziny połączenia oraz czasu jego trwania, rodzaju połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego] generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi.

Więc, organ ścigania może pójść „wstecz” o 12 miesięcy i odtworzyć całą naszą aktywność w sieci Internet oraz historię naszych przemieszczeń się. Problem polega też na tym, że mechanizm prawny kasowania takich danych nie jest do końca jasny – można założyć, że zgromadzone dane (wbrew pozorom nie zajmują one dużo miejsca) w zależności od operatora/dostawcy mogą być dostępne (dla organów ścigania i służ specjalnych) i po upływie 12 miesięcy. Co do śledzenia przez graczy prywatnych (korporacje internetowe, firmy handlujące naszymi danymi), to na uwagę zasługuję Unijna Dyrektywa „ciasteczkowa”.

Już wkrótce na naszym blogu opiszemy mechanizm identyfikacji użytkowników serwisów VPN przez organy ścigania. Zapisujcie się na naszego Newslettera lub polubcie nas na Facebooku!

Rysunek 4. Opcja rekonfiguracji połączenia z siecią Internet w przeglądarce Firefox (przekierowanie zapytań/odpowiedzi przez *proxy*-serwer)

Pytanie 5. Czy bezpieczniej jest korzystać z przeglądarek takich jak np. Opera niż z Google?

Jeśli chodzi o bezpieczeństwo w sensie anonimowości przy surfowaniu w Internecie, to zgodnie z informacją Electronic Frontier Fundation zajmującej się ochroną danych użytkowników sieci Internet, przeglądarka Chrome tego rodzaju bezpieczeństwa nam nie zapewnia. Jeśli zaś chodzi o wybór pomiędzy dwoma drugimi potężnymi graczami na rynku przeglądarek – Opera i Firefox – to jest to raczej sprawą gustu. Niestety, żadna z tych przeglądarek nie jest w pełni zabezpieczona przed śledzeniem „po wyjęciu z pudełka”. Konieczne będzie dokonanie zmiany pewnych ustawień. Fundacja EFF udostępnia na swojej stronie internetowej narzędzie do sprawdzenia czy Państwa przeglądarka jest „anonimowa” czy jednak posiada unikatowy „odcisk” – fingerprint umożliwiający śledzenie – panopticlick.eff.org.

Rysunek 5. Ustawienia prywatności w zakładce „Opcje” (przeglądarka Firefox)

Pytanie 5. Na jakiej zasadzie wykrywane są czyny zabronione dokonane za pomocą przeglądarek typu Tor?

Nie wiele jest wiadomo na ten temat, jeśli chodzi o środki techniczne/programowe deanonimizacji użytkowników sieci TOR na „wyposażeniu” organów ścigania, a szczególnie służb specjalnych (dlatego są skuteczne😊). Wiadomo natomiast, że taka identyfikacja jest możliwa, na przykład, przez „niezabezpieczone” aplikacje/programy, które łączą się z Siecią pomijając TOR, czy też przekierowywanie danych przez własną sieć. Jest też możliwość identyfikacji użytkownika sieci Tor na bazie indywidualnych upodobań oraz charakterystyk technicznych używanego sprzętu – język, rozmiar ekranu itd. Czasem sam użytkownik popełnia błąd, na przykład, używając pseudonimu, z którego korzysta w sieci TOR, w zwykłym Internecie – na formach, w czacie. Plusem jest to, że deweloperzy Tor Browser przez cały czas pracują nad tym, aby lepiej chronić użytkowników sieci Tor przed śledzeniem i deanonimizacją – pojawiające się „dziury” są od razu łatane (oczywiście, jeśli deweloperzy o nich wiedzą😉).

Dziękujemy za Państwa pytania!

Strona SKN Kryminalistyki UWM w Olsztynie

Skuteczna utylizacja dysków twardych metodą Red Dot [WIDEO]

Opublikowany 23 października 202014 grudnia 2020 przez Ilia

Czasem mamy potrzebę szybkiej i pewnej utylizacji nośniku zawierającego określone (wrażliwe, personalne) dane. Może to być kartka z kodem PIN do naszej karty płatniczej, koperta z danymi adresowymi, imieniem i nazwiskiem, które to warto podrzeć na małe kawałki przed wyrzuceniem do śmietnika. To pozwala uniknąć wielu problemów. Nieostrożne udostępnienie naszych danych osobowych może skutkować tym, że mogą one trafić do rąk oszustów, którzy będą je wykorzystywali w celu wyłudzenia pieniędzy, uzyskania kredytu lub wyrobieniu kopii naszej karty SIM.

Sytuacja jest jednak bardziej skomplikowana w przypadku nośników komputerowych. Nawet małej pojemności pendrive może zawierać taką ilość naszych zdjęć i dokumentów, że po wydrukowaniu nie zmieściłyby się one nawet w kilku śmietnikach. W związku z tym tego typu urządzenia wymagają szczególnej uwagi i przede wszystkim należy je poprawnie utylizować.

W tym artykule pokażemy Państwu, jak szybko i bezpowrotnie uniemożliwić dostęp do danych znajdujących się na 2,5-calowym HDD.

Czytaj dalej

Najważniejszym elementem tego typu urządzeń jest talerz, którego właściwości opisywaliśmy w poprzednim artykule. O tym świadczy chociażby to, że jedynym przeznaczeniem pozostałych komponentów dysku twardego jest zapewnienie sprawnego zapisywania i odczytywania danych użytkownika. Aby umożliwić zapis i odczyt danych, ciężko pracują zespół głowic czytujące-zapisujących, elektronika dysku, silniki, a nawet jego obudowa. To powoduje, że uszkodzić talerz jest znacznie trudniej niż głowice czy obudowę dysku. Jeśli weźmiemy młotek i uderzymy nim dysk, nie jesteśmy w stanie od razu zniszczyć talerz. Znajduje się on „pod ochroną”, po pierwsze, sztywnej obudowy metalowej, a, po drugie, umieszczonych wewnątrz osi dwóch silników – znajdującego się z boku silnika głowic (VCM – od ang. voice coil motor) oraz silnika talerzy zlokalizowanego w centrum dysku, które wzmacniają obudowę podobnie jak trzpienie żelbetowe wzmacniają konstrukcję budynków.

Oczywiście obudowa nie przeżyje mocnego uderzenia młotkiem, podobnie jak zespół głowic i elektronika dysku. Dysk przestanie się uruchamiać i będzie wyglądał jako bezużyteczny odpad elektroniczny. Niemniej jednak kilka godzin pracy specjalisty w zakresie odzyskiwania danych i talerz „odda” zapisane na nim Państwa dane nieuprawnionemu odbiorcy.

Na szczęście, talerzy w laptopowych dyskach formatu 2,5 cala są robione ze szkła, a konstrukcja niektórych modeli (dysków) ma pewne wady konstrukcyjne, które umożliwiają ich szybkie i wygodne rozbicie.

Przed tym jak opiszemy Państwu metodę utylizacji takich dysków, chcemy ostrzec Państwa, że jest to niszczenie nieodwracalne. Żadne laboratorium ani w Polsce, ani w świecie nie potrafi przywrócić talerzowi stanu początkowego i odczytać zapisane na nim dane!

Producenci dysków dążąc do zmniejszenia ich grubości stosują specyficzne rozwiązanie techniczne. Wnętrze obudowy hermetyzowane jest od dołu, czyli od strony elektroniki (PCB – od ang. printed circuit board) przy pomocy (wkręcanych) śrub. Aby zabezpieczyć dysk przed przedostaniem się do jego wnętrza kurzu czy innych zabrudzeń w momencie, kiedy śruby z jakiegoś powodu, na przykład w procesie naprawy urządzenia, zostały usunięte, otwór po stronie zewnętrznej dysku, czyli po stronie talerzy, jest zabezpieczany za pomocą okrągłego kawałku przezroczystego plastyku. Najprawdopodobniej chcąc przypomnieć technikowi wykonującemu prace naprawcze o niebezpieczeństwie (pozostawienia) tych otworów, producenci wykonują ten kawałek plastyku w kolorze czerwonym. W związku z tym, odnalezienie tzw. „czerwonej kropki” jest zadaniem stosunkowo łatwym.

Właściciel takiego dysku musi zamiast standardowej śrubki wykorzystanej przez producenta do zamocowania PCB wkręcić śrubkę większej długości. Eksperymenty pokazały, że za każdym razem szklany talerz pęka, co wyklucza możliwość odzyskiwania zapisanych na nim danych.

Ta metoda jest skuteczna w przypadku większości modeli dysków Western Digital i Samsung w formacie 2.5 cala instalowanych w popularnych laptopach czy też zewnętrznych dyskach twardych wykorzystywanych do kopiowania rezerwowego i przenoszenia dużych ilości danych. O powodzeniu operacji niszczenia talerzy świadczy charakterystyczny dźwięk pękającego szkła, po czym można z powrotem wkręcić oryginalną śrubkę.

Na zastosowanie metody „czerwonej kropki” wskazywać będzie specyficzny dźwięk przemieszczających się wewnątrz obudowy szklanych kawałków. Po otwarciu obudowy wewnątrz dysku można znaleźć oderwaną okrągłą nalepkę w kolorze czerwonym.

Demonstracja metody 🙂