Category: Informatyka śledcza

Zmieniamy metadane w plikach .docx

Posted on 27 March 202127 March 2021 by Denis

Wcześniej pisaliśmy o tym, że każdy plik cyfrowy (są wyjątki – pliki tworzone w Notatniku z rozszerzeniem .txt czy pliki bibliotek dynamicznych .dll) ma dodane informacje techniczne. Zakres tych informacji w przypadku każdego rodzaju plików będzie różny. Na przykład, pliki-zdjęcia (.jpg, .png itd.) będą zawierały w metadanych informacje o modelu kamery, jej producencie, warunkach, w których było robione zdjęcie, koordynaty geograficzne. Pliki .pdf zawierające oprócz tekstu zdjęcia będą miały metadane własne oraz metadane ukryte (metadane zdjęć) – o tym pisaliśmy w naszym poprzednim blogu o metadanych w plikach umieszczonych na oficjalnych stronach organów państwowych i służ specjalnych w Polsce i innych krajach. Wiemy, że metadane mogą zawierać informacje poufne i wrażliwe, w związku z czym należy je usuwać (różne formaty plików będą wymagały zastosowania różnych narzędzi i metod).

Wyobraźmy sobie jednak, że zależy nam na tym, żeby metadane pliku były zachowane – jest to pewnego rodzaju gwarancja autentyczności pliku. Mamy jednak pewien problem – musimy ukryć/zmienić rzeczywistą datę utworzenia pliku oraz czas pracy nad plikiem. Na przykład, nie chcemy, żeby z metadanych wynikało, że plik ten ściągnęliśmy z Internetu i wydajemy za swój. Co możemy w tej sytuacji zrobić?

Uwaga: metody z zakresu anti-forensics opisywane w naszym blogu są podawane wyłącznie w celach informacyjnych. Celem autorów nie jest szkolenie „cyberprzestępców”. W związku z tym autorzy zastrzegają sobie prawo do pewnych niedomówień i zmian umożliwiających wykrycie tego rodzaju manipulacji😊

Pliki w formacie .docx są de facto plikami-archiwami, których „rzeczywiste” rozszerzenie jest .zip. Możemy z łatwością o tym się przekonać, jeśli zmienimy rozszerzenie pliku w formacie .docx na .zip. Zobaczymy skompresowany folder zawierający podfoldery i pliki w formacie .xml (Extensible Markup Language) – rys. 1

Rys. 1. Zmieniamy rozszerzenie pliku na .zip

Rozpakowujemy archiwum i otwieramy rozpakowany folder – rys. 2

Metadane będziemy oczywiście szukali w subfolderze o nazwie docProps (od angielskiego Document Properties). Wewnątrz znajdziemy dwa pliki – app.xml oraz core.xml.

Wybieramy, oczywiście, ten drugi (przyda się znajomość języka angielskiego) i otwieramy go w przeglądarce – rys. 3. Data utworzenia naszego pliku to 13 grudnia 2012 roku.

Rys. 3. Zawartość pliku z metadanymi o nazwie core.xml

W pliku o nazwie app.xml znajdziemy natomiast czas pracy nad plikiem – rys. 4. W tym przypadku jest to 87 minut.

Aby zmienić te znaczenia, trzeba otworzyć w/w pliki w dowolnym redaktorze tekstowym – rys. 5

Jak widzimy, operacja ta jest stosunkowa prosta i nie wymaga zaawansowanej wiedzy z zakresu kryminalistyki cyfrowej. Niemniej jednak należy pamiętać o tym, że pliki .docx mają ukryte😊 metadane (czytaj nasz pierwszy wpis o metadanych), które mogą w sposób „niewytłumaczalny” pojawić się, kiedy przekażemy nasz plik via email, MS Teams czy dowolny inny komunikator internetowy.

PS: opisana metoda działa również w przypadku plików w formacie .pptx (MS PowerPoint) oraz .xlsx (MS Excel)

BREAKING NEWS: Metadane w plikach na stronach organów państwowych i służb

Posted on 15 March 202115 March 2021 by Denis

W poprzednim wpisie (o metadanych) opowiadaliśmy o tym, jakie znaczenie mają tego rodzaju informacje, jeśli chodzi o odtworzenie kolejności wydarzeń, ujawnienie związku pomiędzy pojedynczymi faktami itd. Podaliśmy również przykłady programów, które umożliwiają odczyt metadanych z plików różnego formatu. Programy te są wyjątkowo łatwe w obsłudze i dostępne dla każdego w sieci Internet. Niestety, jak się okazuje, metadane to nie jest tylko teoria. Otóż parę dni temu grupa naukowców z Uniwersytetu w Grenoble opublikowała wyniki badań nad danymi umieszczanymi na stronach służb specjalnych w kilkudziesięciu krajach zarówno Unii Europejskiej jak i państw spoza Unii. W abstrakcie artykułu widzimy następujące informacje:

„Organizacje [rządowe] coraz częściej publikują i udostępniają w formie elektronicznej dokumenty, takie jak pliki PDF. Niestety większość organów nie zdaje sobie sprawy z tego, że dokumenty te mogą zawierać informacje poufne, takie jak nazwiska autorów, szczegóły dotyczące systemów operacyjnych czy też architektury sieci komputerowych. Tego rodzaju dane mogą być wykorzystane przez hakerów, które dysponując tymi informacjami, są w stanie przeprowadzić pewnego rodzaju profilowanie i znaleźć „słabe punkty” w danej organizacji [chodzi tu o pracowników/funkcjonariuszy, którzy korzystają z przestarzałych wersji systemów operacyjnych czy wykazują niekompetentność w zakresie informatyki]. W artykule analizujemy ukryte dane znalezione w plikach PDF opublikowane przez organizację rządowe [służby specjalne]. Przebadano łącznie 39 664 plików PDF opublikowanych przez 75 służb specjalnych w 47 krajach. Udało nam się zmierzyć jakość i ilość informacji ujawnionych w tych plikach PDF. Zidentyfikowaliśmy tylko 7 agencji bezpieczeństwa, które oczyszczają kilka swoich plików PDF przed publikacją. Niestety, nadal byliśmy w stanie znaleźć poufne informacje w 65% tych oczyszczonych plików PDF. Niektóre służby używają słabe techniki sanityzacji [chodzi o techniki usuwania metadanych z umieszczanych na stronie dostępnej publicznie plików]”.

Cały artykuł w języku angielskim można znaleźć pod tym linkiem https://arxiv.org/abs/2103.02707

Spróbowaliśmy powtórzyć doświadczenia francuskich kolegów. Nie wdając się w szczegóły, udało się nam zobaczyć metadane [wrażliwe!] w przypadku większości plików dostępnych do pobrania na oficjalnych stronach internetowych wiodących służ polskich (Rysunek 1). Z ciekawości sprawdziliśmy oficjalne strony niektórych służb niemieckich, wynik jest taki sam. Podobnie tez jest w przypadku Rosji.

Rysunek 1. Przykład metadanych ze strony oficjalnej jednej ze służb.

Każdy z Państwa może powtórzyć te doświadczenia korzystając z programów, o których pisaliśmy.

Informacje o tym artykule jako pierwszy podał na swoim blogu Bruce Schneier.

Budowa SSD. Część 3: TRIM a odzyskiwanie danych.

Posted on 19 February 202120 February 2021 by Ilia

Jak już wiemy z poprzedniego wpisu kontroler dysku SSD musi dysponować wolnymi komórkami pamięci NAND. Jest to konieczne, jeśli chodzi o pracę translatora FTL, bez którego nie funkcjonuje logiczna adresacja LBA, a bez LBA nie działa system operacyjny, czyli użytkownik nie może korzystać z dysku SSD, odczytywać lub zapisywać jakiekolwiek dane. W związku z tym kontroler dysku SSD nieustannie szuka bloków pamięci NAND, które można zwolnić bez uszkodzenia danych użytkownika lub danych systemowych dysku SSD. Z tą drugą kategorią danych dla kontrolera „wszystko jest jasne”, bo on sam je tworzy i wypełnia treścią. Natomiast zrozumienie, które to dane użytkownika nie są mu już potrzebne, jest dla kontrolera nieco bardziej skomplikowane.

Jak pamiętamy z poprzedniego wpisu, w przypadku, kiedy użytkownik usuwa pliki, system operacyjny nie trudni się nadpisywaniem usuniętych danych, a zmienia tylko kilka bitów w odpowiednich tabelach (tzw. flagi). To powoduje, że plik z poziomu systemu operacyjnego staje się niewidoczny. W przypadku dysków SSD takie podejście powodowałoby, że po pewnym czasie dysk zapchałby się niepotrzebnymi danymi i przestał działać. Aby zwolnić zajęte przez „niepotrzebne” pliki komórki pamięci NAND (czyli wykasować te dane na stale), kontroler dysku musi najpierw zidentyfikować pliki, które nie są już potrzebne użytkownikowi.

*Na szczęście nasze dane na zawsze pozostaną w pamięci data centrów FaceBook, Google i wielu innych graczy rynku BigData.*

Czytaj dalej

W tym celu kontroler dysku SSD może zastosować dwie metody:

— zastosować algorytm umożliwiający ciągłe analizowanie struktur kluczowych systemu plików — taki algorytm będzie inny dla każdego systemu plików, tj. NTFS, FAT16/32/64, EXT2/3/4, HFS itd. Aby to robić, kontroler SSD musi mieć dodatkową moc obliczeniową oraz zwiększoną objętość własnego RAM;

— uzyskać informacje o skasowanych plikach od systemu operacyjnego.

Z uwagi na koszty, na rynku dominują urządzenia wykorzystujące te drugie podejście. Nazywa się one TRIM. TRIM jest realizowane jako jedno z poleceń interfejsu, przy pomocy którego system operacyjny komunikuje się z nośnikiem danych, czyli protokołu ATA (ang. Advanced Technology Attachments) – jego współczesną implementacją jest SATA. Za pomocą TRIM system operacyjny może przekazać oprogramowaniu SSD adresy danych, które nie są już potrzebne użytkownikowi. Te dane kontroler SSD wpisuje na listę adresów przeznaczonych do kasowania i rozładowywania (operacja erase). Obe te operacje – kasowanie i rozładowywanie – wykonywane są w tzw. wolnej chwili (idle time) w ramach wspomnianej wcześniej operacji garbage collection.

Czasami prawidłowe działanie funkcji TRIM się zakłóca, bo TRIM wymaga sprawnego współdziałania co najmniej trzech elementów komputera: systemu operacyjnego (TRIM jest nadbudową systemu operacyjnego i musi być w nim prawidłowo zaimplementowany), interfejsu znajdującego się pomiędzy systemem operacyjnym a dyskiem – musi podtrzymywać przekazywanie poleceń TRIM, oraz samego dysku SSD. Błędy w przypadku dowolnego z tych elementów mogą powodować, że TRIM przestanie funkcjonować. Niedziałający lub działający nieprawidłowo TRIM będzie z jednej strony ułatwiał odzyskiwanie usuniętych danych, które będą pozostawały w komórkach pamięci. Z drugiej strony, po jakimś czasie kontroler wykorzystuje wolne miejsce, po czym przed każdą nową operacją zapisywania danych będzie musiał rozładowywać bloki, co istotnie obniża prędkość działania nośnika. W naszej praktyce, kiedy mieliśmy podobne sytuacje, prędkość dysku SSD spadała do około 30 mb/s. Dla porównania, w trybie normalnym jest to 300-400 mb/s.

Wadą i głównym koszmarem, dzięki któremu wiemy o istnieniu TRIM jest to, że od chwili, kiedy dysk SSD otrzymał polecenie TRIM, jego kontroler zaczyna rozładowywać odpowiednie obszary pamięci, co powoduje trwałe usunięcie danych. Kontroler będzie to robił zupełnie niezależnie, w każdej chwili, jak tylko dysk otrzyma zasilanie. Na ten fakt zwrócono uwagę jeszcze w dalekim 2010 r., kiedy to grupa badaczy z australijskiego Murdoch University opisała wpływ mechanizmów działania dysków SSD na możliwości odzyskiwania danych cyfrowych.

W ramach eksperymentu popularny model dysku SSD o pojemności 64 GB porównywano do dysku typu HDD o pojemności 80 GB. Opisano zostało zjawisko tzw. korozji (ang. self-corrosion), tj. samodzielnego, bez polecenia użytkownika czy też systemu operacyjnego, trwałego niszczenia przez kontroler zapisanych na dysku danych cyfrowych.

Badany SSD wykonywał tą operację również w sytuacji, gdy badacze stosowali standardowe metody prewencyjne, zapobiegające uszkodzeniu danych używane przez biegłych policyjnych (utworzenie obrazu dysku, blokada zapisu). Co ciekawe, dysk SSD zaczynał usuwać dane już po upływie 3 minut od momentu włączenia zasilania, a w przeciągu następnych trzech minut potrafił całkowicie usunąć te dane, które były uprzednio oznaczone przez użytkownika jako „niepotrzebne” (wykonywano szybkie formatowanie dysku). W konsekwencji nie udało się odzyskać ani jednego całego pliku. Z 25 000 plików tekstowych, którymi badacze wypełnili dysk SSD, tylko jeden dało się częściowo odzyskać (na 50% jego oryginalnej zawartości). To był najlepszy rezultat. Większość plików zostało uszkodzonych nawet w 82%. „Operację” bezpiecznie „przeżyło” zaledwie 0,03% zapisanych na dysku danych.

Należy zaznaczyć, że badaczy nie zaobserwowali żadnych zmian świadczących o tym, że wykonywany jest algorytm garbage collection – nie było wizualnych czy dźwiękowych ostrzeżeń systemowych, wibracji czy kliknięć, które można byłoby w podobnej sytuacji oczekiwać mając do czynienia z dyskiem typu HDD. Pod tym względem działający dysk SSD niczym się nie różnił od dysku SSD odłączonego od zasilania. Wniosek był taki, że korozja danych cyfrowych w przypadku dysków SSD odbywa się „bezobjawowo”.

Nie każdy jednak dysk SSD zachowuje się tak, jak opisano wyżej. Pamiętajmy, że producenci tych urządzeń, a jest ich ponad 80, mają różne koncepcje, jeśli chodzi o „idealny” SSD. To dotyczy również implementacji polecenia TRIM będącego częścią standardu ATA. Badacze raportują, że niektóre wersje oprogramowania dysków SSD posiadają błędy powodujące to, że dysk nie pozbywa się danych usuniętych przez użytkownika. Nawet jeśli takich błędów nie ma, szybkość przeprowadzenia operacji garbage collection będzie zależała od właściwości fizycznych i ustawień konkretnego SSD.

Powstaje tu także pytanie – co SSD będzie robił z danymi które trafiły do garbage collection, ale nie zostały jeszcze wykasowane przez kontroler? Czy on wciąż będzie je pokazywał pod tymi samymi adresami LBA jak to robi dysk HDD? Czy je ukryje pokazując zamiast same zera? Na szczęście, ten etap funkcjonowania dysku SSD (tzw. Read After Trim) jest także przewidziany w standardzie ATA. Niemniej jednak wybór jednego z trzech proponowanych tu rozwiązań jest indywidualny dla każdego producenta:

1. Non-deterministic TRIM, czyli nie-deterministyczny odczyt po TRIM –SSD może pokazywać dane oryginalne dopóki odpowiednie bloki nie zostaną rozładowane (erase);

2. Deterministic Read After TRIM (DRAT), czyli deterministyczny odczyt po TRIM – przy próbie odczytania sektorów zawierających skasowane dane, SSD zamiast tych danych wyświetla ustawiony przez producenta wzór lub same zera;

3. Deterministic Zeroes After TRIM (DZAT), czyli deterministyczny odczyt zer po TRIM – dane użytkownika wpisane do listy garbage collection nie są pokazywane; zamiast nich pokazywane są same zera i nic więcej.

Pierwsze rozwiązanie czasami znajdziemy w najtańszych modelach dysków SSD wyprodukowanych przez mało znanych producentów. Drugie – deterministyczny odczyt po TRIM – jest najczęściej spotykane. Ostatnie, trzecie, rozwiązanie jest charakterystyczne dla dysków SSD należących do klasy enterprise, tj. tych wykorzystywanych w macierzach RAID.

Użytkownicy systemów operacyjnych na bazie Linux mogą dowiedzieć się, które rozwiązanie jest zastosowane w przypadku ich dysku (SSD) wprowadzając w Terminale polecenie hdparm –I. Na przykład:

$ sudo hdparm -I /dev/sda | grep -i trim

DRAT i DZAT powodują, że dane skasowane przez użytkownika lub system operacyjny robią się niewidoczne z poziomu interfejsu SSD. Niemniej jednak dane te mogą pozostawać przez pewien czas w kostkach pamięci NAND – aż do ich usunięcia (erase) przez kontroler dysku. Czas ten różni się w zależności od modelu dysku. W przypadku sprawnie działającego mechanizmu garbage collection może to być 15 minut lub nawet kilka lat, jeśli z jakiegoś powodu mechanizm ten nie działa. Oczywiście, jeśli odłączyć dysk SSD od zasilania od razu po tym, jak usunięto pliki, czas ten wydłuży się do kolejnego podłączenia zasilania.

Wcześniej jedynym sposobem na odzyskanie danych po uruchomieniu funkcji TRIM był tzw. chip-off – operacja polegająca na wylutowywaniu kostek pamięci i ich późniejszym odczytaniu przy pomocy specjalnego sprzętu. Trudności jednak powstają przy próbie odwrócenia przekształceń (transformacji) danych użytkownika dokonanych przez kontroler przy zapisywaniu tych danych do NAND – to jest przy odbudowywaniu „wirtualnego kontrolera” przy pomocy specjalnego oprogramowania (np. Rusolut). Tego rodzaju modyfikacje są konieczne nie tylko ze względu na dziwną „fizykę” pamięci NAND Flash (o tym pisaliśmy w pierwszej części), ale też, aby zapewnić niezawodność dysku SSD w czasie obowiązywania gwarancji. W związku z tym, odbudowa „wirtualnego kontrolera” dysku SSD jest zadaniem niesamowicie trudnym, czasochłonnym i kosztownym.

Na szczęście, ostatnio pojawiło się inne rozwiązanie – odczyt SSD w trybie factory mode (znanym również jako safe mode). Dostępne ono jest głównie dla posiadaczy programowo-sprzętowego kompleksu odzyskiwania danych PC3000 produkcji rosyjskiej. Więcej na ten temat można dowiedzieć się na oficjalnej stronie AceLab.

Wniosek końcowy brzmi następująco: aby zachować jak najwięcej danych zapisanych na dysku SSD i zwiększyć szanse na odzyskanie danych skasowanych, należy niezwłocznie odłączyć źródło zasilania.

Metadane plików – czym są i jakie znaczenie mają dla kryminalistyki cyfrowej

Posted on 10 February 202110 February 2021 by Denis

Metadane są najczęściej definiowane jako dane o danych (a set of data about other data). Nie jest to jednak definicja prawidłowa. Tak naprawdę, ze względu na różnorodność danych, które możemy zaliczać do metadanych, nie da się wypracować definicji uniwersalnej. Łatwej jest natomiast wymienić najczęściej spotykane rodzaje metadanych. Do tej kategorii zaliczamy m. in. nagłówki emailów, dane EXIF w plikach graficznych, dane o autorach, dacie utworzenia, modyfikacji i ostatniego dostępu w przypadku plików MS Word. Metadane znajdziemy również poza światem cybernetycznym. Na przykład, nazwa, obrazek na stronie tytułowej książki to są metadane. Mapa drogowa w nawigacji samochodowej to są metadane – dzięki nim lepiej radzimy sobie z obiektem bardziej skomplikowanym (teren realny).

Metadane pełnią różne funkcje, z których główną jest identyfikacja, opis danych [podstawowych] i ułatwienie procesu korzystania z tych danych. W systemach komputerowych metadane plików dzielą się na dwie grupy – metadane aplikacji, programu oraz metadane systemowe. Mówiąc w uproszczeniu, te pierwsze są przekazywane razem z plikiem do nowej lokalizacji, na przykład, za pośrednictwem emailu lub serwisu społecznościowego. Metadane systemowe pozostają, natomiast, w pamięci komputera, na którym utworzono (modyfikowano) dany plik cyfrowy – są to m. in. zapisy w MFT, czyli Master File Table.

Czytaj dalej

W zależności od rodzaju pliku, zawartość metadanych „dodawanych” przez aplikację, program, może być różna. W przypadku plików MS Word w metadanych znajdziemy informacje o dacie utworzenia, modyfikacji i ostatniego dostępu do pliku, o autorze (autorach w przypadku, kiedy plik był modyfikowany przez różne osoby), wersji Worda, czasie pracy z danym plikiem, liczbie słów.

Rys. 2. Metadane w plikach Word można zobaczyć otwierając zakładkę „Plik” i wybierając „Info”

Tego rodzaju dane mogą okazać się pomocne na przykład w sytuacji, kiedy chcemy ustalić kto stworzył dany dokument i kiedy. Dodatkowo w plikach .docx znajdziemy dane o rodzaju systemu operacyjnego, jego wersji, dacie ostatniego drukowania dokumentu (Rys. 3).

Rys. 3. Metadane w „ciele” pliku .docx (żeby je zobaczyć, musimy zmienić rozszerzenie pliku na .zip i otworzyć folder „docProps”)

W kryminalistyce cyfrowej częściej pojawia się jednak potrzeba ustalenia autentyczności plików graficznych – .jpg .bmp itd. W sprawach karnych może to być dowód sprawstwa (w przypadku plików-zdjęć pornograficznych ukazujących osoby nieletnie, zdjęć narkotyków zrobionych przez „handlarza” narkotykami w sieci Dark Web itd.) lub dowód przemawiający na korzyść obrony (w przypadku tzw. alibi cyfrowego). W sprawach cywilnych podobnego rodzaju dowody pojawiają się, na przykład, w sprawach patentowych – ustalenie pierwszeństwa, jeśli chodzi o wynalazek, sprawach rodzinnych, spadkowych. Można znaleźć i inne zastosowanie tego rodzaju danym. Na przykład, mamy zdjęcie, którego „twórcę” znamy (zdjęcie nr 1) oraz zdjęcie, którego „twórcę” nie znamy (zdjęcie nr. 2), ale potrafimy rozpoznać miejsce, gdzie zostało zrobione. Porównując metadane obu zdjęć ustalamy, że zdjęcie nr 2 zostało wykonane najprawdopodobniej przez tą samą osobę. Zbieżność metadanych w tym przypadku pomoże nam ustalić, kto jest „autorem” zdjęcia nr 2 oraz gdzie się znajdował, w czasie, kiedy było zrobione zdjęcie nr 2 – informacje te nie były dostępne na początku, wydedukowaliśmy to analizując i porównując metadane obu zdjęć (Rys. 4).

Rys. 4. Jeśli porównamy metadane tych dwóch zdjęć, to zobaczymy, że najprawdopodobniej zrobiła je ta sama osoba przy pomocy tego samego sprzętu – a więc, wiemy, gdzie ta osoba znajdowała się, kiedy było robione zdjęcie nr 2

Metadane tego rodzaju plików można zobaczyć przy pomocy narzędzia o nazwie ExifTool od Phila Harvey’a – jest to najstarsza tego rodzaju aplikacja dostępna w Internecie.

ExifTool pozwala na przeglądanie oraz modyfikację dowolnych metadanych w plikach graficznych. Za jego pomocą można również przeglądać metadane w innych rodzajach plików – .pdf .docx itd.

Najprościej jest ściągnąć wersję Windows Executable. Rozpakowujemy archiwum i korzystamy z programy po prostu przeciągając pliki na ikonkę z wielbłądem (Rys. 6).

Rys. 6. Ściągnięty i rozpakowany program

Jakiego rodzaju metadane możemy zobaczyć? Rodzaj sprzętu, na którym wykonano zdjęcie, jego model seryjny, data utworzenia, modyfikacji i ostatniego dostępu, koordynaty geograficzne miejsca, gdzie wykonano dane zdjęcie, dane techniczne (Rys. 7).

Rys. 7. Przykład metadanych (łącznie z koordynatami geograficznymi miejsca, gdzie było robione dane zdjęcie) w programie ExifTool

Analizując metadane plików zdjęciowych należy pamiętać o tym, że mogą one być łatwo zmienione – przy pomocy na przykład ExifTool. Istnieje kilka metod weryfikacji autentyczności plików zdjęciowych:

1. Zwracamy uwagę na to, co widzimy na zdjęciu – czy to, co widzimy na zdjęciu jest zgodne z tym, co widzimy w metadanych pliku (czy zgadza się pora roku, dnia, czy widać inne szczegóły, które pomogą ustalić, gdzie, w którym miejscu oraz kiedy wykonano przedmiotowe zdjęcie – rys. 8).

Rys. 8. Na tym zdjęciu można zobaczyć szczegóły, które pomogą zweryfikować autentyczność metadanych geograficznych

2. Analizujemy zgodność wewnętrzną metadanych. Należy pamiętać o tym, że data utworzenia pliku może być „starsza” lub „młodsza” od daty jego modyfikacji – te ostanie zdarza się w sytuacji, kiedy plik jest kopiowany do innej lokalizacji, do innego folderu – system operacyjny oznacza taki plik jako „nowoutworzony”, odpowiednio zmienia się też data utworzenia pliku. Bardziej stabilną jest data modyfikacji pliku – żeby ta data się zmieniła, plik musi być podany gruntownej modyfikacji – nie wystarczy, na przykład, tylko zmienić jego nazwę, trzeba zmienić zawartość (w przypadku zdjęć, na przykład, przy pomocy Photoshopu – rys. 9).

3. Analizujemy i porównujemy metadane w plikach eksperymentalnych – plikach wykonanych przy pomocy tego samego sprzętu

4. Analizujemy metadane systemowe, ich zgodność z metadanymi aplikacji zawartymi w pliku – warunkiem jest uzyskanie dostępu do komputera, na którym dany plik był otwierany lub zmieniany.

Rys. 9. Tego rodzaju manipulacja ze zdjęciem będzie powodowała automatyczną zmianę daty jego modyfikacji

Budowa SSD. Część 2: mechanizm działania kontrolera, translator FTL.

Posted on 13 January 202119 February 2021 by Ilia

To wszystko, o czym pisaliśmy w części pierwszej powoduje, że dysk SSD musi mieć pewnego rodzaju „pośrednika” pomiędzy dwoma mechanizmami zapisu i odczytu danych – adresacją logiczną LBA (którą posługuje się system operacyjny) z jednej strony a scalakiem pamięci NAND z drugiej. Ten ostatni, jak już Państwo wiecie z poprzedniego wpisu, może wykonywać tylko trzy rodzaje operacji – read, write oraz erase. Zauważmy, że nie ma wśród nich operacji rewrite, czyli nadpisywania – wynika to z fizycznych ograniczeń tego typu pamięci. Ale tak się składa, że jest to operacja istotna dla funkcjonowania mechanizmu LBA, który bezwarunkowo umożliwia systemowi operacyjnemu zapisywanie/odczytywanie/modyfikację danych w każdym bloku logicznym (de facto sektorze z danymi), który tą adresacją jest objęty – czyli posiada wyrażony liczbą (od 0 do iluś bilionów) adres LBA.

Obraz 1: W programie DMDE widzimy, że każdy sektor z zapisanymi danymi jest oznaczony liczbą porządkową – to akurat jest LBA.

Czytaj dalej

Jak więc organizowana jest współpraca pomiędzy NAND a systemem operacyjnym, jeśli ten drugi musi mieć tą funkcję (modyfikacji/nadpisywania) i nie może bez niej funkcjonować? Niestety mechanizm adresacji LBA był stworzony w czasach, kiedy podstawowym nośnikiem danych były nośniki magnetyczne – dyski HDD oraz taśmy streamerów. W przypadku dysków HDD operacja modyfikacji danych to tylko jeden „przelot” głowicy nad odpowiednimi sektorami, na skutek czego ich zawartość (dotychczasowa) zostaje nadpisana przez nowe dane. Jeśli chodzi zaś o pamięci NAND Flash, to tego rodzaju „zabieg” wymaga szeregu manipulacji. Zajmuje się tym część oprogramowania dysku SSD nosząca nazwę translator (czyli tłumacz).

Warto zwrócić uwagę na to, że dyski typu HDD również mają mechanizm translacji adresów LBA w adresy fizyczne, o czym opowiemy w kolejnych wpisach.

W pamięciach typu NAND jest to tzw. FTL (ang. Flash Translation Layer), który uwzględnia opisaną wyżej specyfikę działania pamięci flash oraz pozwala na przedstawienie urządzenia na poziomie systemu operacyjnego jako tzw. “block device”. Działanie FTL nie jest widoczne z poziomu użytkownika i systemu operacyjnego. Jego prawidłowe funkcjonowanie to zadanie kontrolera pamięci NAND i tylko on o nim wie.

Poniższy przykład obrazuje mechanizm działania FTL w sytuacji, kiedy mamy dwa bloki pamięci NAND oznaczone X i Y.

Obraz 2: Obraz ukazuje działanie operacji “Garbage collection” – jednej z podstawowych funkcji FTL.

Przyjmijmy, że w ramach kroku pierwszego do bloku „X” użytkownik zapisał dane A, B, C oraz D. Dalej użytkownik chce zmodyfikować już zapisane dane, poczynając od A, kończąc na D oraz zapisać obok nowe dane E, F, G oraz H. Z uwagi na to, że raz zapisanych danych zmienić nie można, FTL zapisuje nowe dane A–D do obszaru wolnego bloku „X”. W rezultacie powstają dane A’–D’, a kolejno FTL oznacza wcześniejsze dane A–D jako nieaktualne (ang. invalid). „Nieaktualność” powoduje, że dane stają się niewidoczne dla systemu operacyjnego oraz trafiają do kolejki na kasowanie. Żeby pozbyć się nieaktualnych danych i zwolnić miejsce pod nowe dane, kontroler tworzy kopię danych ważnych (ang. valid) w obszarze wolnym (blok „Y”) – to negatywne dla pamięci NAND zjawisko ma nazwę write amplification, czyli amplifikacja, poszerzanie zapisu. Dopiero po zabezpieczeniu ważnych danych w bloku „Y” kontroler usuwa wszystkie dane z bloku „X” „rozładowując” (operacja erase) go. Ten ostatni etap jest nazywany „zbieranie śmieci” czyli „garbage collection” – opiszemy go w następnych wpisach. Oczywiście wszystkie opisane manipulacje z danymi są zupełnie nie widoczne z poziomu użytkownika. Stosując FTL kontroler dysku „dba” o to, aby użytkownik, tj. system operacyjny, nie widział niczego poza ładnym ciągiem adresów LBA.

Z powyższego wynika, że FTL, aby działać prawidłowo, potrzebuje wolnego miejsca na dysku. Niestety niewiedza użytkowników, którzy często wypełniają pamięć na maksa w połączeniu z write amplification powodują, że tego miejsca na dysku staje się coraz mniej. Producenci stosują różne metody umożliwiające identyfikację obszarów pamięci, które oprogramowanie dysku SSD może zwolnić bez uszkodzenia danych użytkownika. Najprostszą jest sytuacja, kiedy oprogramowanie SSD (czyli FTL) samo stwarza dane nieaktualne (jak w podanym wyżej przykładzie). Wtedy dysk na pewno „wie”, że stara kopia tych danych nie jest już potrzebna. Inaczej wygląda sytuacja, kiedy użytkownik opróżnia kosz czy w inny sposób kasuje niepotrzebne mu pliki. W dyskach typu HDD, kasowanie pliku powoduje, że zmienia się kilka bitów (tzw. flagów) w plikach służbowych, systemowych. Np. w systemie plików NTFS w przypadku skasowanego pliku zmienia się jeden bit w „głównej tabeli plików” (tzw. MFT – Master File Table) oraz kilka bitów w pliku $BitMap, który zawiera ewidencję wolnego miejsca na dysku. W rezultacie, miejsce, które dalej jest zajęte przez skasowany plik, jest oznaczane jako wolne, a system operacyjny przestaje dany plik „widzieć”. W systemie plików FAT, w przypadku usunięcia pliku pierwsza litera jego nazwy jest zastępowana przez symbol specjalny. Kiedy system operacyjny chce zapisać (na dysku) nowe dane, sprawdza wymienione wyżej „flagi”. Obszar LBA oznaczony jako wolny zostaje nadpisany. Inaczej sytuacja wygląda w dyskach SSD – kontroler dysku SSD przed tym, jak zapisać nowe dane, musi mieć do dyspozycji wolne miejsce, tj. uprzednio rozładowane bloki. Pomaga mu w tym TRIM, działanie którego opiszemy w następnej części.

Budowa SSD. Część 1: budowa fizyczna, LBA i NAND.

Posted on 30 December 202019 February 2021 by Ilia

Dyski typu SSD coraz częściej wykorzystuje się jako podstawowy nośnik danych zarówno w urządzeniach klasy konsumenckiej, jak i specjalistycznej (np. w serwerach). Zgodnie z prognozami, w 2021 r. sprzedaż dysków SSD przewyższy sprzedaż dysków twardych typu HDD. Dzisiaj istnieje ponad 80 firm, które produkują dyski SSD (warto zwrócić uwagę na to, że dyski HDD w 1985 roku, tj. na początku ich istnienia, były produkowane przez 75 firm, z których obecnie funkcjonuje tylko 3).

Niektóre producenci komponentów do dysków SSD
Źródło: kaleron.pl

Kilka lat temu dyski SSD wyprzedziły dyski typu HDD pod względem pojemności maksymalnej. Obecny „rekordzista” wśród dysków typu HDD ma pojemność 20 terabajt – znacznie mniej niż 100 terabajtowy konkurent z rodziny SSD firmy Nimbus.

Czytaj dalej

Co ciekawe, użytkownik, kiedy ma do czynienia z dyskiem półprzewodnikowym (SSD), może o tym nawet nie wiedzieć. Na poziomie użytkownika, korzystanie z dysku SSD niczym się nie różni od korzystania ze zwykłego dysku twardego. System operacyjny rozpoznaje taki dysk jako tzw. urządzenie blokowe (ang. block device) – ciąg adresów LBA (ang. Logical Block Adres) od 0 do kilku miliardów. Każdy taki block logiczny w zależności od zastosowanej w nośniku technologii zawiera od 512 bajt do 4 KB danych. Zwracając się do każdego z nich system operacyjny odczytuje/zapisuje znajdujące się pod tym adresem dane zupełnie nie przyjmując się tym, w jaki sposób (fizycznie) dane te są zapisywane/przechowywane – troszczy o to kontroler dysku. Tak samo nic się nie zmienia dla użytkownika – posługuje się on (użytkownik) środkami systemu operacyjnego, tj. tworzy, modyfikuje lub przegląda zawartość bloków logicznych (plików). Jedyna zauważalną różnicą w przypadku dysków SSD będzie znaczący wzrost prędkości zapisu/odczytu danych oraz skrócenie czasu wyszukiwania, czyli seek time. O tym, jakie to ma znaczenie pisaliśmy w blogu o budowie dysków twardych HDD.

W celu zapewnienia kompatybilności, dyski SSD są również bardzo podobne do dysków HDD, jeśli chodzi o wymiary fizyczne, wygląd zewnętrzny czy też umiejscowienie wewnątrz komputera.

W odróżnieniu od dysków twardych HDD (ang. Hard Disk Drive – napęd z dyskiem twardym), dyski SSD (ang. Solid State Drive – napęd o stanie stałym) nie mają ruchomych elementów- talerzy, głowicy i ich ramion. W przypadku dysku SSD można bez obaw zdjąć górną pokrywę i zajrzeć do wnętrza- nie spowoduje to awarii dysku czy modyfikacji/uszkodzenia danych. SSD będzie dalej funkcjonował – jest to skutek zupełnie innej zasady działania. Dane urządzenie składa się tylko z dwóch elementów: układy scalone NAND Flash oraz kontroler pamięci.

Pamięć typu NAND Flash pełni rolę nośnika danych. Pierwsza cześć tej nazwy jest wskazaniem na zasadę logiczną (tzw. bramkę logiczną), na podstawie której działa NAND – jest to zasada „NOT AND”. Druga zaś cześć (flash) w tłumaczeniu z angielskiego oznacza „błyskawicę” i zobrazuje fizyczną stronę jej działania. Warto zwrócić jednak uwagę na to, że nazwa ta nawiązuje nie do szybkości działania – jest ona tak naprawdę niewielka, jeśli chodzi o pojedyncze kostki pamięci. Stosunkowo większa szybkość operacji (odczytu-zapisu) osiąga się dzięki połączeniu tych scalaków w jedną „macierz”, co umożliwia zapisywanie/odczyt danych w kilku z nich na raz, a więc ich prędkości się sumują. Pojedyncze komórki działają natomiast stosunkowo wolno. To są tranzystory, którzy dzięki dodatkowej „bramki pływającej” (ang. „floating gate”), zachowują ładunek elektryczny po odcięciu zasilania.

W pamięciach starego typu „NAND SLC” (ang. Single Level Cell) obecność ładunku w tranzystorze interpretowana była jako 0 w kodzie binarnym, a jego brak jako 1. Powodem jest najprawdopodobniej to, że kod binarny z reguły ma więcej jedynek niż zer. Odwrócenie sposobu reprezentacji licz binarnych (obecność ładunku symbolizuje zero, a jego brak symbolizuje jedynkę) obniża zużycie się komórek. We współczesnych pamięciach typu MLC (ang. Multi Level Cell), TLC (ang. Triple Level Cell) czy QLC (ang. Quad Level Cell) liczby binarne są kodowane przy pomocy zmiany poziomu, stopnia naładowania komórek. Dzięki temu można w nich przechowywać większe ilości danych.

W celu obniżenia kosztów produkcji, pamięci Flash projektowane są w taki sposób, że z ich komórkami można wykonać tylko 3 rodzaje operacji:

Programować (ang. „program”) – czyli ładować do nich ładunek elektryczny;
Odczytywać (ang. „read”) – czyli sprawdzać, czy jest w komórce ładunek elektryczny czy nie;
Kasować (ang. „erase”) – czyli rozładowywać komórkę pozbawiając ją ładunku elektrycznego.

Kolejnym ograniczeniem jest to, że nie wszystkie te operacje można wykonać na poszczególnych tranzystorach. Programować (program) i odczytywać (read) można tylko z tzw. „stron” (ang. page) – jednostek pamięci, które w przypadku pamięci typu SLC mogą się składać nawet z 16 tysięcy pojedynczych tranzystorów! Więc aby odczytać stan naładowania poszczególnych tranzystorów (czyli „bit”) musimy odczytać całą „stronę”. “Gorzej” wygląda operacja rozładowywania (erase). Fizyczne ograniczenia przyczyniają się do tego, że skasować (erase) można tylko tzw. blok – jednostkę rozmiarową pamięci zawierającą w pamięciach SLC około 2 000 000 pojedynczych tranzystorów = bit. We współczesnych pamięciach typu TLC, rozmiar bloku wynosi od 1.5 do 3 megabajtów, co daje w sumie od 13 do 25 mln tranzystorów!

Oznacza to, że w pamięciach typu Flash nie ma możliwości zmiany zawartości pojedynczego tranzystora (indywidualnie) ze stanu naładowanego (w kodzie binarnym „0”) do stanu rozładowanego („1”).

Jednoczesne rozładowywanie takiej ilości komórek powoduje powstanie dużego przepływu prądu. Stąd i nazwa flash, czyli błyskawica. Wyzwolony ładunek po drodze uszkadza bramki pływające wraz z pozostałymi elementami, przez to operacja rozładowywania jest najbardziej szkodliwą, jeśli chodzi o żywotność pamięci. Właśnie w liczbie cykli programowania/kasowania mierzy się żywotność pamięci NAND. Jest to też najwolniejsza operacja z trzech możliwych. Dlatego wykonuje się ją z reguły w tle, kiedy mózg dysku SSD, tj. jego kontroler, ma wolną chwilę.

Z czasem wypracowane, zmęczone komórki przestają się programować lub pojawiają się problemy z ich rozładowywaniem. Podobne komórki zostają wpisane na listę „uszkodzonych”, i więcej oprogramowanie SSD z nich nie korzysta. Przy czym, im dłużej dane pozostają w tym samym miejscu fizycznym pamięci, tym trudniej jest rozładować zajęte tymi danymi komórki (operacja erase). Dane te w pewnym sensie utrwalają się na stale w komórkach pamięci podobnie do tego, jak dawno temu pozostawały na ekranach monitorów kineskopowych (CRT) obrazki statyczne – zjawisko te otrzymało nazwę „data retention”. Dlatego też potrzebne jest ciągłe przemieszczanie danych z jednego fizycznego obszaru do drugiego w ramach tzw. Równoważenia Zużycia (ang. Wear Leveling). Operacja Wear leveling służy również innym celom, ale o tym w następnych blogach 🙂

Sztuka steganografii, czyli ukrywamy informacje w innych plikach

Posted on 14 December 202016 December 2020 by Denis

“It’s the oldest question of all, George. Who can spy on the spies?”
John le Carré, Tinker Tailor Soldier Spy

Dzisiejszy blog był zainspirowany przez Państwa komentarze (osobne podziękowania dla Pana Jakuba!). Bezpośrednim natomiast powodem była dość smutna wiadomość o odejściu Johna le Carré (1931-2020), którego książki (The Spy Who Came in from the Cold, Tinker Tailor Soldier Spy czy też ostatnia i niesamowita Agent Running in the Field) były i pozostaną inspiracją dla wielu pokoleń kryminalistyków.

W czasach Wojny Zimowej jednym z podstawowych problemów, z którym miały do czynienia służby bezpieczeństwa, było przekazywanie informacji (zdobytych) w taki sposób, żeby w sytuacji, kiedy wiadomość/list zostanie przechwycona/y a) nie ujawnić jej źródła, b) uniemożliwić odczyt treści wiadomości oraz c) nie dać podmienić wiadomości na inną. W sztuce szpiegowskiej stosowano w tych celach wiele rozwiązań – od prostych do dość zaawansowanych technicznie. Możemy zobaczyć, jak wyglądała ukryta wiadomość (wariant najprostszy) w filmie braci Coen Bridge of Spies opowiadającym o wymianie Rudolfa Abla na Francisa Gary Powersa – pilota amerykańskiego samolotu szpiegowskiego U-2 zestrzelonego nad terytorium Związku Radzickiego. Do zaawansowanych technicznie metod można zaliczyć tzw. microdot’y – tekst widoczny wyłącznie przy dużym powiększeniu zamaskowany pod kropkę lub zabrudzenie (Rys. 1).

Rys. 1. *Microdot* – technika przekazywania instrukcji, informacji wywiadowczych kanałami otwartymi (czasopisma o zasięgu międzynarodowym, listy, pocztówki, serwetki itd.)
Źródło: newsmax.com

Czytaj dalej

Steganografia klasyczna opiera się o zasadę „matreshki” (rys. 2)

Rys. 2. Matreshka rosyjska ilustruje podstawową zasadę steganografii – ukrywamy jeden obiekt w drugim. Tylko adresat wie o tym, ile jest poziomów/„matrioszek” w matrioszce-mamie😊

Technika cyfrowa zdecydowanie poszerza możliwości steganografii. Dostępne metody można podzielić na dwie grupy 1) te, gdzie trzeba popracować rączkami oraz 2) gotowe programy, które robią wszystko za nas (rys. 3).

Rys. 3. „Interfejs” programu steganograficznego steghide (program pracuje w wierszu poleceń Windows)

Gotowe programy mają jednak kilka istotnych wad:

kryminalistycy cyfrowi wiedzą o ich istnieniu;
każdy może je ściągnąć i wypróbować, a więc będzie wiedział, jak wygląda wynik końcowy oraz (kryminalistyk cyfrowy) jak działa dany program;
gotowe programy zostawiają ślady cyfrowe (szczególnie w środowisku Windows), na podstawie których można domyślić się, jakiego programu steganograficznego używał nasz Kowalski.

W związku z powyższym w dzisiejszym blogu opiszemy metodę nr 1. Potrzebny nam będzie redaktor liczb szesnastkowych, na przykład znany nam już HxD Maëla Hörza z uroczego Saarbrücken😊 oraz program do archiwizowania/kompresji plików, na przykład darmowy 7-Zip. Plus, zwierzątko doświadczalne – plik z rozszerzeniem .jpg lub .gif.

Mamy plik secret.docx. Kompresujemy nasz plik w 7-Zip (klikamy na plik prawy przyciskiem myszki, w menu wybieramy 7-Zip – Add to „Secret.7z” – rys. 4).

Rys. 4. Archiwizujemy plik secret.docx przy pomocy programu 7-Zip

Otwieramy nasz nowy plik secret.7z w HxD Editorze (rys.5), kopiujemy w całości (!) widoczny na ekranie kod szesnastkowy (nie zamykamy programu HxD).

Rys. 5. Plik secret.7z w HxD Editorze, otwieramy i kopiujemy kod

Przeciągamy myszką plik-obrazek na ikonkę HxD. Przewijamy kod szesnastkowy do samego końca i dodajemy kod szesnastkowy pliku secret.7z. Zachowujemy plik (Save) (nie zwracamy uwagi na pojawiające się ostrzeżenie dotyczące zmiany rozmiaru pliku, zmiana ta nie jest na tyle znacząca, żeby tym się przyjmować) – rys. 6.

Rys. 6. Dodajemy kod szesnastkowy pliku **secret.7z** do kodu szesnastkowego naszego pliku-obrazku (można też po prostu przełączać się pomiędzy okienkami, tylko nie pomylcie „mamę-matrioszkę” z „córką” 😉).

Gotowe! Mamy teraz nasz plik-obrazek, w którym schowaliśmy plik secret.docx. Jeśli zmienimy rozszerzenie pliku-obrazku na .7z będziemy mogli odtworzyć go w programie 7-Zip (Rys. 7- 8).

Rys. 7. Gotowe! Ten obrazek ma w sobie plik **secret.7z**

Rys. 8. Po zmianie rozszerzenia pliku-obrazku na .7z możemy go otworzyć w 7-Zip (prawym przyciskiem klikamy plik-obrazek ze zmienionym rozszerzeniem, wybieramy **Open archive** – 7z) i odczytać zawartość pliku **secret.docx**

Podsumowanie: zaprezentowana metoda jest prosta w użyciu, a jednocześnie nie pozostawia za wiele śladów (programy do tworzenia skompresowanych plików są dość popularne, można je znaleźć na każdym komputerze). Pozostaje tylko poinformować naszego Adresata o zastosowanej metodzie steganograficznej. Jak to zrobić – odsyłam do książek J. Le Carré 😊

Jak ukryć plik? Rozszerzenia i „podpisy cyfrowe” w plikach

Posted on 1 December 202014 December 2020 by Denis

Zadanie: ukryć plik (.pdf, .docx, .wav lub inny) na dysku twardym, a jednocześnie uniemożliwić jego otwarcie przez osoby trzecie nie stosując szyfrowania.

Przedstawimy Państwu dwie metody z zakresu tzw. antiforensics, tj. działań podejmowanych w celu ukrycia śladów (kryminalistycznych) przed detekcją – metodę dla „laików” oraz drugą, bardziej zaawansowaną metodę antykryminalistyczną.

Antiforensics – działania kontrwykrywcze, których celem jest zatarcie, ukrycie śladów (w tym tych zaliczanych do kategorii cyfrowych) stanowią przedmiot kryminalistyki.
Materiał udostępniany w danym blogu ma służyć wyłącznie do celów edukacyjnych i informacyjnych.

Rozwiązanie 1: zmienić rozszerzenie pliku

Każdy plik ma określone rozszerzenie (ang. extention) wskazujące na jego format – .doc, .docx, .pdf, .png, .wav, .avi itd. Oficjalną, pełną listę rozszerzeń plików można znaleźć na stronie https://fileinfo.com/ (Rys. 2).

Rys. 1. *Oficjalna wyszukiwarka rozszerzeń plików w Internecie*. Każdy format jest dokładnie opisany. Po kliknięciu „View more »” zobaczymy programy (darmowe!) służące do odtwarzania tego rodzaju plików.

Rozszerzenie pliku można łatwo zmienić na dowolne (również te, które w naturze nie istnieje). Na przykład, możemy zmienić rozszerzenie .docx na .jpg. Ikonka pliku zmieni się wtedy „automatycznie” (Rys. 2).

Czytaj dalej

Rys. 2. Zmieniamy rozszerzenie pliku – „automatycznie” zmienia się ikonka pliku (pozostanie jednak białą, jeśli nie mamy na naszym komputerze odpowiedniego programu)

Dodatkowo, możemy umieścić plik ze zmienionym rozszerzeniem wśród innych plików tego samego rodzaju (steganografia). Można też zmienić nazwę naszego pliku na inną, bardziej odpowiadającą nowemu rozszerzeniu. Musimy tylko zapamiętać, jak się nazywa plik i gdzie się znajduje. Po zmianie rozszerzenia pojawi się problem z otwarciem pliku, ale po przywróceniu oryginalnego rozszerzenia wszystko będzie działać jak trzeba.

Niestety (na szczęście😊), programy kryminalistyczne do analizy śladów cyfrowych takie, jak słynny Autopsy mają funkcję (moduł) rozpoznawania plików z niepoprawnym rozszerzeniem.

Rozwiązanie 2, antykryminalistyczne: zmienić podpis cyfrowy pliku

Na poziomie binarnym każdy plik jest kombinacją jedynek i zer (=jeżyk binarny lub kod binarny – Rys. 3). Każda jedynka, każde zero to jest jeden bit. Kombinacja z ośmiu jedynek i zer tworzy jeden bajt.

Rys. 3. Plik tekstowy (.txt) w języku binarnym – literka „t” jest przedstawiana jako 01110111, literka „o” jako 01101111 itd.

W kryminalistyce cyfrowej nie stosuje się jednak kodu binarnego – jest on trudny do zapamiętania i niewygodny dla człowieka. Zamiast tego używa się kodu heksadecymalnego, szesnastkowego, gdzie ta sama informacja binarna jest kodowana przy pomocy kombinacji z liczb (od 0 do 9) i liter (A, B, C, D, E, F). Na rysunku 4 widzimy, że ten sam tekst (plik .txt) w reprezentacji szesnastkowej jest znacznie krótszy i łatwiej odbierany (Rys. 4). W tej uproszczonej formie dane (binarne) mogą być swobodnie odczytane przez człowieka (human-readable).

Rys. 4. Zapis heksadecymalny, szesnastkowy (na rysunku jest to tekst w kolorze czarnym, gdzie liczba 20 oznacza spację) jest krótszy i łatwej odbierany przez człowieka

W zapisie heksadecymalnym każdy znaczek – litera czy liczba – oznacza 4 bity. Kombinacja z literki i liczby/dwóch literek lub dwóch liczb reprezentuje więc jeden bajt (8 bit). Po prawej stronie („Decoded text”) widzimy przedstawienie naszego kodu w ASCII – tabeli, składającej z 256 symboli. Na przykład, kombinacja 74 w ASCII reprezentuje literę „t” małe (z tabelą ASCII można się zapoznać na stronie https://www.ascii-code.com/ ).

Zobaczyć zawartość pliku w języku heksadecymalnym można przy pomocy specjalnego edytora, na przykład HxD – https://mh-nexus.de/en/hxd/

Każdy plik (oprócz plików z rozszerzeniem .txt) ma podpis/sygnaturę cyfrową (w języku angielskim file signature, file header lub magic bytes). Jest on „zakodowany” w pierwszych kilkunastu bitach (Rys. 5). Na stronie https://www.filesignatures.net/ znajdziemy oficjalną bazę podpisów/sygnatur plików.

Rys. 5. Początek pliku „**praca magisterska.docx”** w reprezentacji heksadecymalnej, szesnastkowej

W naszym przypadku podpis cyfrowy pliku tworzą pierwsze 64 bity – 50 4B 03 04 14 00 06 00 (jak widzimy na Rys. 6, 32-bitowa sygnatura 50 4B 03 04 odpowiada dokumentom MS Office). W ASCII jest to zapis „PK…” – widzimy go po prawej stronie w „Decoded text”.

Rys. 6. Podpis cyfrowy plików w formacie .docx

Jeśli zmieniamy wyłącznie rozszerzenie pliku (rozwiązanie 1), to na poziomie binarnym plik będzie dalej plikiem w formacie .docx. Musimy, więc, zmienić podpis cyfrowy pliku. Na przykład, na ten odpowiadający często spotykanym plikom w formacie .png – pliki-obrazki (Rys. 7).

Rys. 7. Edytor kodu szesnastkowego pozwala nie tylko przeglądać, ale też modyfikować kod binarny.

Jak widać, nasz plik otrzymał nowy podpis cyfrowy i jest teraz plikiem w formacie .png Zostało tylko zmienić rozszerzenie pliku z .docx na .png (rozwiązanie 1), nazwę pliku oraz umieścić go wśród innych plików-obrazków.

Ważne: Opisana metoda działa również w przypadku „chmury” – możemy umieścić zmodyfikowany plik w naszym „schowku” wirtualnym. Provider usługi (Microsoft, Google) nie będzie mógł wtedy „zajrzeć” do środka. Plus, osoba nieupoważniona, która uzyska dostęp do naszego konta, nie będzie mogła odczytać, co jest w tym pliku.

Metoda 2 jest bardziej skomplikowana w porównaniu do rozwiązania pierwszego, ale jest też skuteczniejsza – nie udało nam się znaleźć żadnego programu komercyjnego, który potrafiłby rozpoznać rzeczywisty format pliku, który ma zmienioną sygnaturę binarną. Rozwiązania tego problemu istnieją tylko w teorii. To oznacza, że jeśli dysk zawierający podobny plik trafi do biegłego, temu ostatniemu będzie łatwiej uznać plik za uszkodzony i pominąć go w raporcie niż próbować odczytać jego zawartość.

Czy można zidentyfikować użytkownika serwisu VPN – wirtualnego tunelu prywatnego?

Posted on 23 November 202014 December 2020 by Denis

VPN, czyli wirtualny tunel prywatny, jest popularnym rozwiązaniem stosowanym przez osoby, które chcą zapewnić anonimowość poruszania w sieci Internat oraz bezpieczeństwo podczas korzystania z publicznych punktów dostępu do Sieci. Większość operatorów VPN podaje na swoich stronach, że nie przechowuje historię i nie rejestruje aktywności użytkowników, tj. daty, czasu logowania oraz używanego adresu (publicznego) IP. Jest to nie do końca zgodne z prawdą, gdyż w takim razie operator VPN nie jest w stanie rozróżnić osoby, które opłaciły korzystanie z serwisu, od pozostałych oraz zaspokoić ciekawość organów ścigania.

Rysunek 1. Zapewnienie, że PureVPN nie prowadzi *logów* jest niczym innym jak trik marketingowy.

W przypadku Kowalskiego, który wykorzystuje „tunelowanie” do celów legalnych, nie powinno to wywoływać żadnych obaw – dane o jego aktywności będą chronione przez operatora VPN zgodnie z umową. Co więcej, ze względu na to, że dane w „tunelu” są szyfrowane, operator VPN nie jest w stanie odczytać co dokładnie pobieramy/wysyłamy do Sieci.

Czytaj dalej

Odpowiedzi na pytania zadane podczas posiedzenia SKN Kryminalistyki

Posted on 18 November 202014 December 2020 by Ilia

Pytanie 1: Jaki jest najprostszy sposób na usunięcie oprogramowania szpiegowskiego z komputera. Czy trzeba zrobić format całego dysku?

W przypadku, kiedy tego rodzaju oprogramowanie zostało wykryte przez Państwa antywirus, należy posługiwać się wskazówkami antywirusa, tj. można wybrać opcję „skasuj zarażone pliki” lub “wylecz”. Jeśli zaś Państwa antywirus nie wykrywa obecności złośliwego oprogramowania, a są podejrzenia, że takie oprogramowanie jest w systemie, można skorzystać z takich narzędzi jak Dr.Web LiveDisk. Po uruchomieniu tego darmowego programu (z bootowalnego pendrive’a) można sprawdzić wszystkie podłączone do Państwa komputera nośniki i ewentualnie usunąć oprogramowanie złośliwe.

Formatowanie całego dysku twardego jest środkiem skrajnym. Robimy to w sytuacji, kiedy system operacyjny na naszym komputerze jest na tyle „zawirusowany”, że jego “leczenie” zajmie zbyt dużo czasu lub może skutkować uszkodzeniem jego funkcjonalności.

Niestety nie zawsze istnieje możliwość wykrycia wirusa przy pomocy programu antywirusowego. Program wirusowy może być tak zamaskowany, że antywirus nie znajdzie w nim znanych sygnatur wirusowych (tzw. obfuscation).

Pytanie 2. Na jakich zasadach działają przeglądarki typu Tor?

Kiedy używamy przeglądarki TOR, to przeglądarka taka nie zwraca się do stron internetowych bezpośrednio jak to robi każda inna, zwykła przeglądarka. Zamiast tego przeglądarka TOR łączy się z tymi stronami (serwerem, na którym umieszczono stronę) za pośrednictwem sieci TOR. Zgodnie z opisem z Wiki, “schemat połączenia wygląda w następujący sposób: Użytkownik → węzeł1 → węzeł2 → węzeł3 → Serwer docelowy”. Oznacza to, że kiedy wysyłamy z naszego komputera zapytanie do jakiegoś serwera, żeby wysłał on nam kopię konkretnej strony internetowej, to nie zwracamy się do serwera bezpośrednio. Zamiast tego oprogramowanie TOR …

Czytaj dalej

… szyfruje nasze zapytanie i wysyła go do komputera-pośrednika – uczestnika (dobrowolnego) sieci TOR. Ten komputer przekazuje nasze zapytanie do innego komputera-pośrednika (bez rozszyfrowywania jego treści). Ten z kolei zwraca się do następnego, czyli trzeciego “węzła” w tej, zbudowanej specjalnie dla nas przez oprogramowanie TOR mini sieci. Dopiero trzeci komputer-węzeł ma klucz do rozszyfrowania naszego zapytania po czym wysyła zapytanie do serwera docelowego. Po uzyskaniu odpowiedzi serwera na nasze zapytanie, szyfruje ją i wysyła nam przez wskazane wyżej węzły mini sieci. Dzięki temu mechanizmowi serwer-adresat „myśli”, że to ten ostatni w „łańcuszku” komputer (węzeł nr 3) jest jego klientem. O nas, natomiast, nie wie nic.

Rysunek 3. Tor Browser wyświetla informacje o „węzłach” naszej mini sieci

Rysunek 4. Tor Browser ma opcję utworzenia nowej „persony”

Pytanie 3. Skoro wszelkie działania na komputerze są zapisywane, to czy warto używać Virtual Private Network?

Nawet jeśli nie zmieniamy oprogramowania na naszym komputerze na takie, które nie będzie zapisywało naszej aktywności, lub nie zmieniamy ustawień naszego oprogramowania, dysk twardy (HDD/SSD) w naszym komputerze pozostaje pod naszą kontrolą fizyczną. Jesteśmy w stanie w każdej chwili ten dysk zniszczyć – rozbić talerze HDD lub połamać „kostki” pamięci w dysku SSD. Nie używając środków anonimizacji w sieci Internet, takich jak na przykład VPN, narażamy się natomiast na to, że nasza aktywność w Sieci będzie „przywiązywana” do nas jako właścicieli konkretnego komputera/smartfona. Problem polega na tym, że nie jesteśmy w stanie uzyskać fizyczny dostęp do serwerów, na których są przechowywane te dane. Plus, nie jesteśmy nawet w stanie zlokalizować te serwery fizycznie. W związku z tym, minimalizacja danych, które trafiają do tych serwerów i mogą być „przywiązane” do nas, jest dobrą strategią zapewniającą pewną kontrolę nad naszymi własnymi danymi osobowymi.

Prawo: Na uwagę zasługuję też to, że zgodnie z ustawą Prawo telekomunikacyjne z dnia 16 lipca 2004 r. (Dz.U.2019.2460 t.j.), operatorzy publicznej sieci telekomunikacyjnej oraz dostawcy publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt „zatrzymywać i przechowywać dane [niezbędne do ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego (inicjującego połączenie oraz tego, do którego kierowane jest połączenie), określenia daty i godziny połączenia oraz czasu jego trwania, rodzaju połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego] generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi.

Więc, organ ścigania może pójść „wstecz” o 12 miesięcy i odtworzyć całą naszą aktywność w sieci Internet oraz historię naszych przemieszczeń się. Problem polega też na tym, że mechanizm prawny kasowania takich danych nie jest do końca jasny – można założyć, że zgromadzone dane (wbrew pozorom nie zajmują one dużo miejsca) w zależności od operatora/dostawcy mogą być dostępne (dla organów ścigania i służ specjalnych) i po upływie 12 miesięcy. Co do śledzenia przez graczy prywatnych (korporacje internetowe, firmy handlujące naszymi danymi), to na uwagę zasługuję Unijna Dyrektywa „ciasteczkowa”.

Już wkrótce na naszym blogu opiszemy mechanizm identyfikacji użytkowników serwisów VPN przez organy ścigania. Zapisujcie się na naszego Newslettera lub polubcie nas na Facebooku!

Rysunek 4. Opcja rekonfiguracji połączenia z siecią Internet w przeglądarce Firefox (przekierowanie zapytań/odpowiedzi przez *proxy*-serwer)

Pytanie 5. Czy bezpieczniej jest korzystać z przeglądarek takich jak np. Opera niż z Google?

Jeśli chodzi o bezpieczeństwo w sensie anonimowości przy surfowaniu w Internecie, to zgodnie z informacją Electronic Frontier Fundation zajmującej się ochroną danych użytkowników sieci Internet, przeglądarka Chrome tego rodzaju bezpieczeństwa nam nie zapewnia. Jeśli zaś chodzi o wybór pomiędzy dwoma drugimi potężnymi graczami na rynku przeglądarek – Opera i Firefox – to jest to raczej sprawą gustu. Niestety, żadna z tych przeglądarek nie jest w pełni zabezpieczona przed śledzeniem „po wyjęciu z pudełka”. Konieczne będzie dokonanie zmiany pewnych ustawień. Fundacja EFF udostępnia na swojej stronie internetowej narzędzie do sprawdzenia czy Państwa przeglądarka jest „anonimowa” czy jednak posiada unikatowy „odcisk” – fingerprint umożliwiający śledzenie – panopticlick.eff.org.

Rysunek 5. Ustawienia prywatności w zakładce „Opcje” (przeglądarka Firefox)

Pytanie 5. Na jakiej zasadzie wykrywane są czyny zabronione dokonane za pomocą przeglądarek typu Tor?

Nie wiele jest wiadomo na ten temat, jeśli chodzi o środki techniczne/programowe deanonimizacji użytkowników sieci TOR na „wyposażeniu” organów ścigania, a szczególnie służb specjalnych (dlatego są skuteczne😊). Wiadomo natomiast, że taka identyfikacja jest możliwa, na przykład, przez „niezabezpieczone” aplikacje/programy, które łączą się z Siecią pomijając TOR, czy też przekierowywanie danych przez własną sieć. Jest też możliwość identyfikacji użytkownika sieci Tor na bazie indywidualnych upodobań oraz charakterystyk technicznych używanego sprzętu – język, rozmiar ekranu itd. Czasem sam użytkownik popełnia błąd, na przykład, używając pseudonimu, z którego korzysta w sieci TOR, w zwykłym Internecie – na formach, w czacie. Plusem jest to, że deweloperzy Tor Browser przez cały czas pracują nad tym, aby lepiej chronić użytkowników sieci Tor przed śledzeniem i deanonimizacją – pojawiające się „dziury” są od razu łatane (oczywiście, jeśli deweloperzy o nich wiedzą😉).

Dziękujemy za Państwa pytania!

Strona SKN Kryminalistyki UWM w Olsztynie

Mechanizm działania dysków twardych HDD. Możliwości odzyskiwania danych [ARTYKUŁ]

Posted on 28 October 202019 February 2021 by Ilia

W latach 50. w Stanach Zjednoczonych wraz ze zwiększeniem ilości danych cyfrowych pojawiła się potrzeba zapewnienia szybkiego dostępu do nich. Najbardziej popularne w tym czasie nośniki danych – karty perforowane i streamery – takiego dostępu nie zapewniali. W przypadku kart perforowanych, żeby znaleźć potrzebne informacje lub kod programu należało ręcznie przeszukać zbiór kart – kartotekę, a następnie znalezioną kartę umieścić w czytniku. To znacząco wydłużało tzw. seek time, czyli czas dostępu – charakterystyka systemów przechowywania danych cyfrowych oznaczająca prędkość odnajdywania przez system potrzebnych w tej chwili danych.

4.5 MB danych w 62,500 kartach perforowanych, USA, 1955.
Źródło: Reddit.com

Czytaj dalej