Kategoria: Opisy przypadków

Nasz artykuł w Forensic Science International

Opublikowany 22 kwietnia 202122 kwietnia 2021 przez Ilia

Zapraszamy do zapoznania się z naszym artykułem o pożarze w Kuźni Społecznej w Olsztynie, który został opublikowany w renomowanym czasopiśmie międzynarodowym Forensic Science International: Reports

Denis Solodov, Ilia Solodov, Data recovery in the case of fire-damaged Hard Disk Drives and Solid-State Drives, Forensic Science International: Reports, 2020

BREAKING NEWS: Metadane w plikach na stronach organów państwowych i służb

Opublikowany 15 marca 202115 marca 2021 przez Denis

W poprzednim wpisie (o metadanych) opowiadaliśmy o tym, jakie znaczenie mają tego rodzaju informacje, jeśli chodzi o odtworzenie kolejności wydarzeń, ujawnienie związku pomiędzy pojedynczymi faktami itd. Podaliśmy również przykłady programów, które umożliwiają odczyt metadanych z plików różnego formatu. Programy te są wyjątkowo łatwe w obsłudze i dostępne dla każdego w sieci Internet. Niestety, jak się okazuje, metadane to nie jest tylko teoria. Otóż parę dni temu grupa naukowców z Uniwersytetu w Grenoble opublikowała wyniki badań nad danymi umieszczanymi na stronach służb specjalnych w kilkudziesięciu krajach zarówno Unii Europejskiej jak i państw spoza Unii. W abstrakcie artykułu widzimy następujące informacje:

„Organizacje [rządowe] coraz częściej publikują i udostępniają w formie elektronicznej dokumenty, takie jak pliki PDF. Niestety większość organów nie zdaje sobie sprawy z tego, że dokumenty te mogą zawierać informacje poufne, takie jak nazwiska autorów, szczegóły dotyczące systemów operacyjnych czy też architektury sieci komputerowych. Tego rodzaju dane mogą być wykorzystane przez hakerów, które dysponując tymi informacjami, są w stanie przeprowadzić pewnego rodzaju profilowanie i znaleźć „słabe punkty” w danej organizacji [chodzi tu o pracowników/funkcjonariuszy, którzy korzystają z przestarzałych wersji systemów operacyjnych czy wykazują niekompetentność w zakresie informatyki]. W artykule analizujemy ukryte dane znalezione w plikach PDF opublikowane przez organizację rządowe [służby specjalne]. Przebadano łącznie 39 664 plików PDF opublikowanych przez 75 służb specjalnych w 47 krajach. Udało nam się zmierzyć jakość i ilość informacji ujawnionych w tych plikach PDF. Zidentyfikowaliśmy tylko 7 agencji bezpieczeństwa, które oczyszczają kilka swoich plików PDF przed publikacją. Niestety, nadal byliśmy w stanie znaleźć poufne informacje w 65% tych oczyszczonych plików PDF. Niektóre służby używają słabe techniki sanityzacji [chodzi o techniki usuwania metadanych z umieszczanych na stronie dostępnej publicznie plików]”.

Cały artykuł w języku angielskim można znaleźć pod tym linkiem https://arxiv.org/abs/2103.02707

Spróbowaliśmy powtórzyć doświadczenia francuskich kolegów. Nie wdając się w szczegóły, udało się nam zobaczyć metadane [wrażliwe!] w przypadku większości plików dostępnych do pobrania na oficjalnych stronach internetowych wiodących służ polskich (Rysunek 1). Z ciekawości sprawdziliśmy oficjalne strony niektórych służb niemieckich, wynik jest taki sam. Podobnie tez jest w przypadku Rosji.

Rysunek 1. Przykład metadanych ze strony oficjalnej jednej ze służb.

Każdy z Państwa może powtórzyć te doświadczenia korzystając z programów, o których pisaliśmy.

Informacje o tym artykule jako pierwszy podał na swoim blogu Bruce Schneier.

Czy HDD i SSD są w stanie „przeżyć” pożar?

Opublikowany 9 grudnia 202014 grudnia 2020 przez Ilia

W niniejszym blogu analizujemy przypadek odzyskiwania danych z nośników cyfrowych uszkodzonych podczas pożaru i operacji gaśniczej. Szczegółowo opiszemy także procedury odzyskiwania danych.

Zdarzenie

Pożar wybuchł około 3 nad ranem w dwukondygnacyjnym budynku niemieszkalnym – olsztyńskiej Kuźni Społecznej. Po godzinie został zauważony i wezwano straż pożarną. W akcji gaśniczej brało udział ponad 60 strażaków. Udało im się ograniczyć rozprzestrzenianie się ognia na drugim piętrze, ale całkowite ugaszenie ognia zajęło prawie cztery godziny. Uszkodzona została trzecia część budynku, w tym drugie piętro zajmowane przez wydawnictwo. Przyczyna pożaru została później określona jako przypadkowa. Większość komputerów firmy wydawniczej, w tym komputery stacjonarne i laptopy, znajdowała się na pierwszym piętrze, przez co narażone one były nie tylko na działanie wysokich temperatur, lecz także na oddziaływanie środków gaśniczych, uderzenia i wstrząsy.

Do laboratorium UratujemyTwojeDane.pl trafiło 14 nośników. Wśród nich 3,5-calowe dyski twarde z komputerów stacjonarnych, dyski SSD oraz 2,5-calowe dyski twarde z laptopów oraz dyski twarde zewnętrzne z interfejsami USB 3.0.

Czytaj dalej

Oględziny

Inspekcja wizualna wykazała, że dyski zainstalowane w komputerach stacjonarnych mają większe uszkodzenia, niż dyski zainstalowane w laptopach. Komputery stacjonarne, a szczególnie te przeznaczone do prac graficznych zawierają zazwyczaj wiele elementów, które, aby działać prawidłowo, wymagają intensywnego chłodzenia – procesory i karty graficzne generują sporo ciepła. Aktywnego chłodzenia wymagają również niektóre modele dysków twardych, ponieważ temperatura wewnątrz HDD może osiągnąć nawet 60 C, co zwiększa ryzyko przedwczesnej degradacji warstw magnetycznych. Dlatego każda obudowa PC jest zaprojektowana tak, aby zapewnić jak najlepszą cyrkulację powietrza. Ponieważ niektóre komputery działały aż do chwili wyłączenia prądu przez strażaków, gorące powietrze mogło dostać się wewnątrz obudów powodując przegrzanie się i w konsekwencji uszkodzenie ich elementów wewnętrznych.

Dyski z laptopów były w znacznie lepszym stanie. Kompaktowe 2,5-calowe dyski instalowane w laptopach mają znacznie niższą temperaturę pracy w porównaniu do 3,5-calowych dysków przeznaczonych do komputerów stacjonarnych. Nie wymagają więc intensywnego chłodzenia. Wszystkie badane laptopy pozostawiono z zamkniętymi pokrywami górnymi (zwykle dyski znajdują się w dolnej części obudowy laptopów). Podczas akcji gaszenia pożaru dyski były dodatkowo chronione przez metalowe ramy laptopów, klawiatury i ekrany.

Plastikowe obudowy dysków zewnętrznych zostały nadpalone i miały na sobie ślady po środkach przeciwpożarowych. Wewnątrz obudów nie było widocznych uszkodzeń, co oznaczało, że dyski nie były narażone na oddziaływanie wysokich temperatur.

Temperatura

Niestety nie mieliśmy żadnych informacji o tym, jakiej temperatury doświadczyły badane nośniki. Odpowiedź na to pytanie byłaby jednak korzystna z pozycji ustalenia wytrzymałości termicznej poszczególnych modeli dysków. W przybliżeniu dało się oszacować temperaturę, która oddziaływała na dyski, na poziomie 120-300 °C. O tym, że temperatura maksymalna nie przekraczała 300 °C świadczyło to, że elementy na płytkach drukowanych sterowników dyskowych oraz dysków SSD nie przesunęły się, czego można byłoby się spodziewać w przypadku, kiedy temperatura oddziaływająca na te elementy przekracza 300 °C. Na podstawie stanu etykiet na dyskach ustaliliśmy dolną granicę tej temperatury. Każda etykieta dysku HDD czy SSD jest wykonana z winylu a tekst na niej jest nanoszony przy pomocy drukarki laserowej. Podobnie jak w każdej innej drukarce tego rodzaju, najpierw nanoszona jest cienka warstwa tonera. Następnie, wysoka temperatura w połączeniu z naciskiem powodują, że toner się topi i łączy się z podłożem. Badania pokazują, że temperatura fiksacji tonera w różnych modelach drukarek wynosi od 124 do 210 °C. Ponowne wystawienie nadruku na oddziaływanie wysokiej temperatury może spowodować odwarstwienie się tonera, co zaobserwowaliśmy na etykietach uszkodzonych dysków.

Jeszcze trochę i można drukować nowy napis 😉

Zauważyliśmy również, że toner można usunąć z etykiety przy pomocą stacji lutowniczej Hot Air oraz waciku nasyconego IPA.

Pożar a dyski SSD

Teoretycznie układy pamięci w dyskach SSD są bardziej odporne na wibracje i uderzenia w porównaniu do dysków twardych. Niemniej jednak i one mogą ulec uszkodzeniu, jeśli mamy do czynienia z ekstremalnie wysoką temperaturą.

W odniesieniu do dysków SSD, badacze podkreślają wpływ wysokich temperatur na skuteczność procedury „chip-off” polegającej na wylutowywaniu chipów pamięci NAND z płytki drukowanej (PCB) i ich bezpośrednim odczytaniu przy pomocy specjalnych adapterów. Do wylutowywania układów pamięci używa się stacji lutowniczej Hot Air. Temperatura topienia lutu wynosi co najmniej 200 °C, ale zwykle zbliża się do 300 °C. Ustalono jednak, że zaaplikowanie nawet najniższej możliwej temperatury zwiększa ilość błędów bitowych co prowadzi do uszkodzenia zapisanych danych.

Z drugiej strony dyski SSD są mniej podatne na uszkodzenia fizyczne. Dane przechowywane na dysku SSD są dobrze chronione przez wewnętrzną konstrukcję dysku, a mianowicie przez brak ruchomych części oraz sztywną obudowę scalaków pamięci.

Niemniej jednak, podobnie jak i w przypadku HDD, tu również woda może dostać się do wnętrza obudowy i uszkodzić elektronikę.

Pożar a dyski HDD

Wcześniej pisaliśmy o tym, jaki wpływ mają wysoka temperatura i wilgoć na talerzy magnetyczne w dyskach HDD. Po pierwsze, w przypadku dysków twardych intensywne ciepło może rozmagnesować cząsteczki ferromagnetyczne. W połączeniu z wilgocią temperatura może powodować korozję warstwy magnetycznej talerza zawierającej dane służbowe i użytkownika, co wymaga jednak czasu. Po drugie, podczas pożaru HDD może być narażony na silne wibracje, uderzenia czy upadki. Działający dysk twardy jest dość delikatny, ponieważ jego głowice pracują bardzo blisko obracających się z dużą prędkością talerzy magnetycznych. Zetkniecie się głowicy z powierzchnią talerza może powodować powstawanie zadrapań i uszkodzenie obu elementów. Po trzecie, środki gaśnicze również mogą uszkodzić dysk twardy. Z reguły nie jest on wodoodporny (wyjątek stanowią hermetyczne dyski twarde wypełnione helem), a jego delikatne elementy nie mówiąc o obwodach elektrycznych są pod tym względem podatne na uszkodzenie.

Woda a PCB

W przypadku uszkodzonych przez wodę płytek drukowanych (PCB) udowodniono, że im więcej czasu mija, tym większe są problemy.

„Zaśniedziała” elektronika wygląda nie przyjemnie.

Na szczęście właściciele dysków zareagowali szybko – dyski zostały przekazane do laboratorium w ciągu kilka godzin po odzyskaniu.

Warto zauważyć, że pomimo tego, że płytki PCB zostały oczyszczone, korozja dalej postępowała. Kilka dni po odzyskaniu danych ponownie zbadaliśmy uszkodzone dyski i okazało się, że część nie uruchomia się z powodu skorodowanych styków między płytkami drukowanymi a wewnętrznymi komponentami dysku, czy też skorodowanego konektora interfejsu.

To oznacza, że alkohol izopropylowy nie nadaje się do trwałego zatrzymania korozji. Prawdopodobnie odpowiednim rozwiązaniem w przypadku uszkodzonych przez wodę PCB jest zastosowanie procedury lutowania rozpływowego (ang. reflow soldering), czyli obróbka utlenionych styków topnikiem i podgrzanie PCB w specjalnym piecu.

Odzyskiwanie danych

W przypadku kilku dysków twardych nie można było usunąć roztopionego plastiku z powierzchni płytek drukowanych. Zastąpiono je więc płytkami PCB tego samego modelu. Układy ROM przeniesiono z uszkodzonych PCB na nowe. Trzeba powiedzieć, że ze względu na stosunkowo niskie temperatury jakie doświadczyły dyski twarde, układy ROM były w dobrym stanie i można było skutecznie zainicjować dyski.

Elementy elektroniczne dysków po wymontowaniu zostały oczyszczone przy użyciu 99,9% alkoholu izopropylowego. Najpierw płytki drukowane (PCB) dysków twardych i dysków SSD zostały całkowicie zanurzone w IPA, a następnie dokładnie w nim przepłukane, aby usunąć ewentualne zanieczyszczenia. Po wyschnięciu płytki drukowane zostały sprawdzone wizualnie pod kątem ewentualnych oznak zwarcia. Wszystkie dyski twarde ze śladami wody na obudowach zostały otwarte w komorze laminarnej i sprawdzone pod kątem obecności plam pozostawionych przez wodę w otworach wentylacyjnych i obok nich. Dopiero wtedy napędy zostały podłączone do zasilania i zainicjowane. W trakcie zwracano uwagę na wszelkie postronne dźwięki, takie jak klikanie głowic czy zgrzyty oraz intensywne wibracje. Pierwszym krokiem po udanej inicjalizacji napędów było kopiowanie oprogramowania dysków z pamięci ROM i talerzy magnetycznych (z tzw. Strefy Serwisowej). Jednocześnie sprawdzano czy oprogramowanie nie zawiera błędów.

Następnie sprawdzano S.M.A.R.T. nośników pod kątem występowania BAD sektorów oraz sprawdzano zużycie napędu (liczba godzin pracy HDD oraz znaczenie TBW w przypadku dysków SSD). Dopiero potem wykonywano odzyskiwanie danych.

Prowizoryczna próba walki z zapachem pożaru.

Biorąc pod uwagę fakt, że w trakcie kontroli wizualnej i oczyszczania mogliśmy nie zauważyć pewnych problemów, zrezygnowaliśmy z wykonania kopii po-sektorowych nośników, czyli zabezpieczenia całego obszaru z danymi użytkownika. Zabezpieczono więc tylko potrzebne Klientowi katalogi.

Na szczęście tylko jeden dysk twardy 3,5 cala – 2 TB firmy Seagate – wykazywał oznaki uszkodzenia termicznego. Ten model jest wyposażony w dwa talerze i cztery głowice do odczytu i zapisu. Górna powierzchnia górnego talerza osiągała prędkość odczytu tylko około 1 MB/s, podczas gdy reszta dysku pozwalała na odczyt z prędkością 30 MB/s. To świadczyło o tym, że kontroler dysku zmaga się z wieloma błędami na górnej powierzchni próbując odczytać zapisane na niej dane.

Niektóre dyski posiadały zwiększoną liczbę realokowanych sektorów. Jednak powodem było przepełnienie list realokacji uszkodzonych sektorów (parametr Reallocated Sectors Count w S.M.A.R.T. dysku) na skutek zaniedbania ze strony użytkowników i intensywnego użytkowanie tych dysków. Powodem nie były natomiast czynniki związane z pożarem i operacją gaszenia.

W opisanym przypadku mieliśmy to szczęcie, że temperatury oddziaływujące na dyski nie przekroczyły znaczeń krytycznych. Pewna rolę odegrało też to, że właścicieli dysków niezwłocznie skontaktowali się z nami i przywieźli dyski do laboratorium. Dzięki temu mogliśmy rozpocząć odzyskiwanie danych przed tym, jak elementy dysków zostały uszkodzone przez korozję.

Czy można zidentyfikować użytkownika serwisu VPN – wirtualnego tunelu prywatnego?

Opublikowany 23 listopada 202014 grudnia 2020 przez Denis

VPN, czyli wirtualny tunel prywatny, jest popularnym rozwiązaniem stosowanym przez osoby, które chcą zapewnić anonimowość poruszania w sieci Internat oraz bezpieczeństwo podczas korzystania z publicznych punktów dostępu do Sieci. Większość operatorów VPN podaje na swoich stronach, że nie przechowuje historię i nie rejestruje aktywności użytkowników, tj. daty, czasu logowania oraz używanego adresu (publicznego) IP. Jest to nie do końca zgodne z prawdą, gdyż w takim razie operator VPN nie jest w stanie rozróżnić osoby, które opłaciły korzystanie z serwisu, od pozostałych oraz zaspokoić ciekawość organów ścigania.

Rysunek 1. Zapewnienie, że PureVPN nie prowadzi *logów* jest niczym innym jak trik marketingowy.

W przypadku Kowalskiego, który wykorzystuje „tunelowanie” do celów legalnych, nie powinno to wywoływać żadnych obaw – dane o jego aktywności będą chronione przez operatora VPN zgodnie z umową. Co więcej, ze względu na to, że dane w „tunelu” są szyfrowane, operator VPN nie jest w stanie odczytać co dokładnie pobieramy/wysyłamy do Sieci.

Czytaj dalej