CyberYozh.com Курс по анонимности и безопасности в сети EN
Физический доступ и компьютерная криминалистика

Физический доступ и компьютерная криминалистика

 

Мы вынесли физический доступ и криминалистический анализ в одну главу, так как эти угрозы используют схожую методологию, и методы борьбы с ними тоже будут во многом схожими. 

 

 Физический доступ

Данная угроза предполагает получение физического доступа к устройству для кражи информации или совершения каких-либо действий, способных причинить вред владельцу. 

Самыми распространенными атаками являются: прямая кража информации, установка вредоносного программного обеспечения и подключение внешних носителей.

 Приведу пример атаки с использованием физического доступа. Злоумышленник подсмотрел ваш пароль, лично или поставив миниатюрную камеру неподалеку от вашего компьютера. Затем он дожидается, когда вы отойдете, и устанавливает программу для шпионажа за компьютером. Программа работает незаметно для вас, собирая всю информацию и отправляя ее злоумышленнику. Шпионская программа руками добавляется в белые списки антивирусов, потому на них рассчитывать не стоит.

 Программы для слежки можно приобрести абсолютно легально, и предназначены они в основном для контроля за детьми. От вредоносного программного обеспечения эти программы отличает необходимость наличия физического доступа к компьютеру. «Ратники» − вредоносные программы для удаленного доступа, устанавливаемые без наличия физического доступа к устройству и пароля администратора. 

 Обычный функционал такого программного обеспечения включает запись происходящего на экране, запись всех нажимаемых клавиш, контроль периметра при помощи веб-камеры и микрофона, формирование удобных отчетов об активности пользователя. Некоторые программы умеют помимо незаметного сбора информации еще и цензурировать работу пользователя, блокируя доступ к некоторым сайтам. 

 Как защищаться от подобной угрозы? Первым делом нужно добавить в пароль ложные символы: это защитит вас от любителей подсмотреть пароль. Добавлять в пароль ложные символы мы научим вас в главе, посвященной паролям. Второе: поставить и настроить Panic Button − программу, которая защищает от несанкционированного доступа к компьютеру. Можно и на этом не останавливаться: сегодня в свободной продаже имеются и замки, и сейфы, и сигнализации для ноутбуков. Мы подробно расскажем обо всем в рамках курса, задача этой главы лишь познакомить вас с угрозой. 

 

Download widget: Panic Button
 

 Другой довольно распространенный вид атаки − подключение внешних устройств. Например, к вашему компьютеру незаметно подключается USB-флешка. При загрузке системы с этой USB-флешки вам загружается вредоносное программное обеспечение.

 На черном рынке можно найти предложения уже настроенных флешек, злоумышленнику останется просто вставить флешку и надеяться, что жертва не читала этот курс. При этом далеко не всегда флешка с вирусом устанавливается злоумышленником, иногда вирус сам записывается на флешку, а ее владелец является такой же жертвой.

 Вредоносное программное обеспечение, попав на компьютер, нередко записывает себя на все внешние носители, которые затем будут заражать новые и новые устройства. Так распространялись и распространяются многие троянцы, включая легендарные Sality, Zeus Citadel и Zeus Gameover. Пик популярности подобного пути распространения пришелся на середину двухтысячных, сегодня он сходит на нет, так как файлы все чаще передают по сети. 

 Разумеется, и от этой проблемы мы научим вас защищаться, в том числе создавать списки доверенных устройств и блокировать недоверенные, использовать утилиту USBKill, открывать файлы в песочнице. Разберем работу встроенных механизмов защиты, таких как Secure Boot. В рамках тестирования безопасности устройств мы с вами будем настраивать аналогичную USB-флешку для проверки защиты ваших устройств.  

 На самом деле вариантов атак при получении физического доступа значительно больше: например, на ваш компьютер может быть установлено устройство, содержащее шпионский имплант. Это может быть простой кабель, соединяющий монитор с системным блоком. Внешне он будет не отличим от оригинала, но в нем будет содержаться имплант, передающий злоумышленнику изображение с вашего экрана.

 

RAGEMASTER

 

Кстати, знакомьтесь, это RAGEMASTER − VGA-кабель с имплантом для шпионажа. Используется АНБ с 2008 года. Имея солидный бюджет, на черном рынке можно заказать подобное решение под любые модели мониторов.

 Шпионские импланты − более высокий уровень, требующий высокотехнологичных решений, обычно применяется для корпоративного и государственного шпионажа.  

 

Криминалистический анализ

Криминалистический анализ − это набор технических решений и методик для извлечения ценной информации с цифровых устройств. Криминалистический анализ применяется, как правило, правоохранительными органами для поиска интересной для следствия информации на устройствах подозреваемых. Но ввиду того что техники и программное обеспечение находятся в открытом доступе, этот инструмент может получить любой злоумышленник.

 Криминалистический анализ можно проводить на десктопных компьютерах, ноутбуках, планшетах и смартфонах. Криминалисты прекрасно умеют работать со всеми популярными операционными системами: Windows, macOS, операционными системами на основе Linux, Android, BlackBerry и iOS.

 Отличием криминалистического анализа от простого физического доступа являются применяемые технологии. Криминалистический анализ большое внимание уделяет оперативной памяти устройства, где могут храниться ценные артефакты, например ключи шифрования. В некоторых случаях применяется атака DMA − получение прямого доступа к оперативной памяти, пришедшая на смену известной cold boot attack. 

 Если кто не знает, cold boot attack − та самая атака, когда жидким азотом замораживается оперативная память, извлекается из устройства, и затем с нее считывается информация. Современная оперативная память четвертого поколения (DDR4) и старше уже не подвержена этой уязвимости. 

 Если cold boot attack сегодня уже больше история, то файлы подкачки и гибернации − области на жестком диске, куда сохраняется информация из оперативной памяти, − не утратили свою актуальность и по-прежнему могут многое рассказать о владельце устройства.

 Компьютерными криминалистами довольно часто применяется восстановление данных на носителях, производимое в специальных лабораториях. Даже удаление файла не защитит его от угрозы извлечения при криминалистическом анализе. Современные методики позволяют достаточно эффективно восстанавливать удаленные файлы.

 Программные решения для проведения криминалистического анализа умело находят и извлекают изображения, видео, документы, переписки в мессенджерах, информацию об используемых программах, резервные копии устройств, сохраненные в облачные хранилища, историю посещения сайтов − и это плохая новость. 

 Хорошая новость в том, что мы научим вас эффективно противостоять криминалистическому анализу. Мы будем шифровать носители, настраивать политику безопасности, надежно удалять файлы, настроим Panic Button − программу, предназначенную для защиты от криминалистического анализа, поработаем с файлами гибернации и подкачки, проверим устройство на наличие уязвимостей к DMA-атакам. 

 

P.S. Вы можете узнать больше о возможностях криминастического программного обеспечения на сайтах производителей, например, тут или тут.

Присоединяйтесь к анонимному сообществу белых хакеров и
любителей анонимной и безопасной работы в сети.

Присоедениться

© 2017. WebGears Services Ltd. All rights reserved