2022-08-16极速飞艇APP

大多数想要隐藏敏感数据的人都远离信息安全专业人员,因此他们用来隐藏数据的方法很幼稚。在本文中,我们将研究隐藏信息的不同方法,并讨论是否值得使用它们。

更多主题:如何隐藏机密信息

 

将数据移动到另一个文件夹

不,我们现在讨论的不是“隐藏”文件夹“sopromat 课程手册”中的一组色情图片。我们正在讨论一种简单但非常有效的方法来隐藏信息,只需将某些数据移动到磁盘上的另一个位置。

它是什么,明显的愚蠢或超然的纯真?无论这种方法看起来多么幼稚,它都可能适用于稀有和奇异的数据 - 例如跳转列表(顺便说一句,你知道它是什么吗?)或 WhatsApp Messenger 数据库。

攻击者可能根本没有时间或足够的决心来搜索整个计算机以从……搜索数据库,实际上是从什么?有数百甚至数千个即时通讯程序;去了解用户使用的是哪一个。而且,请注意,每个应用程序都有自己的文件路径、名称,甚至是自己的数据库格式。在具有数万个文件夹和数十万个文件的计算机上手动搜索它们是一项无望的任务。

如何不隐藏信息
跳转列表

显然,这种隐藏机密信息的方法只有在攻击者几乎没有时间彻底分析计算机内容的情况下才会奏效。在这种情况下,并且只有在这种情况下,这种方法——让我们称之为“难以捉摸的乔方法”——才能起作用。

使用“安全”的通信方法

安全信使并不总是足够安全。这是对 SQLite 格式的 freelist 数据库领域的研究,以及对 Messenger 制造商的官方要求(例如,微软将毫无疑问地将 Skype 对话日志提供给调查 - 毕竟它们存储在公司的服务器上),以及甚至向智能手机制造商提出要求(我记得这个故事,黑莓帮助加拿大警方找到了一伙决定在旧的黑莓操作系统平台上使用公司专有信使的毒贩团伙)。

在这方面,我想到了一个奇怪的案例。美国警方特别大规模拘捕了一名涉嫌贩毒的男子。嫌疑人具有一定的 IT 知识,并选择 Apple iMessage 作为他唯一的沟通方式。iMessage 不存储在 Apple 的服务器上,嫌疑人在每次会话后都会仔细清除对话历史记录。他的 iPhone 备份没有什么有趣的。

然而,当警察开始研究他的电脑(罪犯有一台 Mac)时,他们的喜悦是无限的:在电脑上发现了数十万条信息,而罪犯(现在肯定是罪犯)却没有完全怀疑。(当时)Apple 的新奇事物,即在同一帐户中注册的所有设备之间同步 iMessages 的 Continuity 系统,有助于将毒贩定罪。

道德?

这里没有道德:如果您不是信息安全专家,就不可能知道这样的时刻。唯一的选择是使用真正安全的通信方式,并了解信息安全方面的所有创新。

重命名文件

另一个隐藏信息的天真尝试是重命名文件。听起来很简单,例如,将某些安全信使的加密数据库重命名为 C : \ Windows \ System32 \ oobe \ en - US \ audit之类的名称mui非常有能力通过专家的审查。事实上,成千上万的文件存储在 Windows 目录中。在其中找到不寻常的东西(尤其是在尺寸不突出的情况下)是一项手工劳动无法解决的任务。

如何搜索此类文件?

一个天真的外行不知道存在专门用于搜索用户磁盘(和磁盘映像)上的此类文件的一整类专门程序是可以原谅的。

不仅使用文件名搜索;在分析已安装应用程序的跟踪(例如,在 Windows 注册表中)时使用集成方法,然后跟踪这些应用程序访问的文件的路径。

搜索重命名文件的另一种流行方法是所谓的雕刻或端到端内容搜索。完全相同的方法,也称为“签名搜索”,从一开始就被用于所有反病毒程序。使用雕刻,您可以在低级别分析磁盘上文件的内容和磁盘本身(或仅占用区域)的内容。

我应该重命名文件吗?

这是“Elusive Joe”的另一个技巧,它只能防御一个非常懒惰的攻击者。

删除文件

不确定今天尝试通过删除文件来隐藏证据是多么“天真”。事实是,从普通硬盘中删除的文件通常可以很容易地使用众所周知的签名搜索来恢复:磁盘被逐块扫描(现在我们对未被现有文件占用的碎片感兴趣,并且其他文件系统结构),每个读取块分析数据是否符合许多标准(无论是某种格式的文件的标题,文本文件的一部分,等等)。

顺便说一句,在这种扫描的帮助下,以全自动模式执行,成功(至少部分)恢复已删除文件的可能性非常高。

如何不隐藏信息
取证软件(在屏幕截图上 - Belkasoft Evidence Center)可以使用 SQLite 数据库的深度分析来恢复已删除的数据,例如 Skype 聊天

删除文件似乎是一种经典的“天真”隐藏证据的尝试。但不是从 SSD 驱动器中删除文件时。

在这里,您需要详细说明 SSD 上数据的删除(和后续读取)是如何工作的。您肯定听说过“垃圾收集器”和 TRIM 功能的存在,它们允许现代 SSD 在写入(尤其是重写)数据时保持高性能。TRIM 命令由操作系统发出;它告诉 SSD 控制器具有某些物理(实际上不是)地址的某些数据块已被释放并且不再使用。

控制器的任务现在是清除(擦除数据)指定的块,以这样一种方式准备它们,以便它们可以快速写入新信息。

但是擦除数据是一个非常缓慢的过程,它会在磁盘负载下降时在后台发生。如果在 TRIM 命令之后立即有一个写命令到达同一个“物理”块?在这种情况下,控制器只需修改转发表中的值即可立即将这样的块替换为空块。用于擦除的块接收到不同的“物理”地址,或者被放置在与保留区域不同的不可寻址池中。

如果控制器没有时间从 TRIM 块中物理擦除数据,签名搜索是否能够在 SSD 的空闲区域中找到某些内容?

在大多数情况下,当尝试从接收到 TRIM 命令的块中读取数据时,控制器将返回零或另一个与块的实际内容无关的数据序列。这是由于现代 SSD 协议的实现特性,它清楚地定义了控制器在尝试在 TRIM 命令之后读取块时的行为。

这里只有三个值:Undefined(控制器将返回块的实际内容;在现代 SSD 中几乎不会出现)、DRAT(Determined Read After Trim,或 Trim 后的固定数据;最常见于消费机型)和 DZAT(在 Trim 后确定零,或在 Trim 命令后始终返回零;通常在 RAID、NAS 和服务器场景中发现)。

因此,在绝大多数情况下,控制器将向我们返回与驱动器的实际内容无关的数据。在大多数情况下,即使在删除文件几秒钟后,也无法从 SSD 中恢复已删除的文件。

云储存

数据在云端吗?你说没有这么傻的用户了,你就错了。用户总是忘记关闭 iCloud 照片库、OneDrive 或 Google Drive 同步,甚至是更奇特的同步类型——例如,一个设置(顺便说一句,iOS 中根本没有;也许这就是他们忘记的原因?) ,这要归功于有关来自 iPhone(通过电话和通过 FaceTime)呼叫的信息立即发送到 Apple 服务器。我已经给出了“被遗忘的”连续性模式和上面的 BlackBerry messenger 的示例。

也许,我在这里没有什么要补充的,除了来自云的数据可以由攻击者通过黑客攻击或拥有身份验证数据获得,也可以通过手上的特殊服务获得。

更多主题:云存储安全

使用外部驱动器

对某些用户来说,使用加密的闪存驱动器存储信息似乎是一个绝妙的主意。似乎不需要删除任何内容 - 只需将 USB 闪存驱动器从计算机中拔出,就没有人可以访问数据(如果保护很强的话)。这正是天真的用户试图保留敏感、机密信息的方式。

为什么“天真”?

事实是,大多数普通用户几乎不知道在使用 USB 设备进行任何操作后留下的“尾巴”。因此,一旦调查了传播非法内容的案件。犯罪分子只使用外部驱动器(普通闪存驱动器);磁盘上没有存储任何内容。

犯罪分子没有同时考虑两点。第一:连接USB设的历史存储在Windows注册表中;如果它没有被移除,那么它就会在那里存储很长很长的时间。第二点:如果您使用内置的 Windows 资源管理器访问图像,则照片的缩略图(缩略图)会自动创建(并保存!)在最新版本的 Windows 中,位于 %LocalAppData%\Microsoft\Windows\Explorer\ . 在 Windows XP 中,  Thumbs.db文件. 在分析缩小的图像并将USB设备的标识符与没收的设备进行比较后,调查能够证明被告参与了涉嫌犯罪。

但是加密呢?

并不是所有的事情都是显而易见的。首先,有一些专门的应用程序允许您创建计算机 RAM 的转储并从中提取用于访问加密卷的加密密钥(特别是 BitLocker To Go,它在天真的用户中很流行)。

此类程序的一个示例是Elcomsoft Forensic Disk Decryptor,您可以使用它以全自动模式分析转储。您可以使用免费的Belkasoft RAM Capturer实用程序创建 RAM 映像

如何不隐藏信息
Belkasoft RAM 捕获器

其次,许多加密容器自动将加密密钥存放在云中,这对任何人来说都不是什么秘密。如果 Apple 在激活 FileVault 2 时多次通知用户可以通过 iCloud 恢复对分区的访问,那么 Microsoft 在使用 BitLocker 设备保护加密卷时,只需在用户的 Microsoft 帐户中静默创建一个存放的密钥。这些密钥可直接在用户帐户页面上使用

如何访问帐户?

如果计算机配置为使用 Microsoft 帐户(而不是本地 Windows 帐户)登录,那么离线暴力攻击可以恢复密码,这是一个惊喜!- 将匹配在线帐户 Microsoft 帐户中的密码。

对于任何感兴趣的人,这里有一篇关于BitLocker hack的文章。

具有硬件密钥的嵌套加密容器

这似乎是一种无懈可击的防御。先锋 Vasya 可以咯咯笑着揉搓双手,确信现在他的数据是完全安全的。

理论上,是的。实际上......实际上 - 法律计划有一些微妙之处。这是一个典型的例子。

他被指控下载和存储非法内容,已在美国监狱服刑两年多。官方指控是嫌疑人拒绝提供加密外部存储 (NAS) 的密码,根据法院的说法,NAS 存储了被禁止的内容。

它是否存储在那里是未知的;在被告人身上未发现相关内容。但指控很严重,在这里可以牺牲无罪推定和不作证自己的权利等琐事。因此,被告坐下并将坐下,直到他透露密码或因年老或其他原因去世。

不久前,维权人士提出上诉,称根据本条法律(拒绝配合调查),最高刑期为18个月。尽管法官承认律师的论点“有趣且多才多艺”,但上诉被法院驳回。指控更为严重——法官将对任何事情视而不见,包括成文法。

结论

如果您对信息安全不是特别感兴趣,那么黑客或情报机构迟早会找到您。您可以使用我们的网站了解最新的信息安全信息。在社交网络中订阅我们的公众是免费的!