В рамках данного раздела мы будем рассматривать меры противодействия криминалистическому анализу, а конкретно эта глава будет обзорной, где мы пройдёмся по задачам и решениям. 

Есть три основных метода противодействия криминалистическому анализу:

• Защита (шифрование)
• Сокрытие (стеганография)
• Уничтожение

Шифрование и стеганографию мы рассматриваем в отдельных главах и до начала изучения приемов контр-форензики у вас уже должен быть зашифрован жесткий диск, вы должны уметь создать криптоконтейнеры, знать методы их взлома и конечно быть знакомы с методами маскировки криптоконтейнеров. Ещё было бы не плохо познакомиться с методами создания безопасных паролей, где речь идёт о рекомендациях касающих защиты от криминалистического анализа.  

Шифрование в целом надежный метод, при условии, что вы шифруете систему, внутри нее создаете криптоконтейнеры и выполняете эти рекомендации, но иногда само использование криптоконтейнеров может привести к проблемам с законом. Мы рассказывали об этих случаях тут и тут, и вот буквально недавно произошел еще один инцедент, связанный с отказом выдать пароль от телефона.

Житель штатов Уильям Монтанес как-то был остановлен дорожной полицией за нарушение правил дорожного движения. Мало какой водитель сегодня не нарушает правила, но Уильям не только пренебрег требованиями дорожной безопасности, он вез с собой два пистолета, 4,5 г марихуаны и гашишное масло – так, по крайней мере, писали СМИ.

Полицейские, оружие и наркотики, безусловно, очень интересная тема, но нас интересуют не два пистолета, а два iPhone, найденные в машине Уильяма. На одном из них на глазах полицейского выскочило сообщение: «О боже, они повязали его», и вечер перестал быть томным. Полицейские потребовали выдать пароль, но, как и многие из нас в такой ситуации, Уильям внезапно его забыл.

Безусловно, в этой ситуации Уильям с точки зрения безопасности данных действовал абсолютно верно, а вот с точки зрения суда нет. Суд потребовал выдать пароли, а после отказа по причине амнезии назначил Монтанесу полгода тюремного заключения. Причина: попытка сокрыть улики, которые могли бы доказать причастность Уильяма к торговле наркотиками. А могли бы и не доказать...

Многим после таких историй начинает казаться, что криминалистический анализ грозит только наркоторговцам и преступникам. Те, кто так и думают, вероятно, забыли, что ноутбуки и телефоны часто досматривают при въезде в различные страны, и отказ выдать пароль может привести к реальным проблемам.

Но это еще цветочки, дальше всех пошел Китай, где ввели криминалистический анализ мобильных телефонов прямо на улице. Вы гуляете по улице, вас могут остановить и провести криминалистический анализ вашего телефона.

Наверное, у вас возник вопрос: как они взломают пароль? Вы его сами отдадите (это же Китай – конечно, отдадите). Далее телефон подключается к ноутбуку все его содержимое выкачивается и анализируется криминалистическим софтом. Особенно полицейских интересуют переписки, видео и фотографии, активность в социальных сетях, история звонков и СМС, установленные приложения. Потому угроза криминалистического анализа гораздо ближе, чем вы можете себе представить.

Но вернемся к истории Уильяма Монтанеса, из которой стоит сделать один вывод: без стеганографии и уничтожения обойтись сложно. Давайте поговорим о стеганографии: в разрезе антикриминалистики нас интересуют главным образом скрытые операционные системы и двойное дно.

Скрытая операционная система – вторая система, прямо доказать наличие которой невозможно: если вводите один пароль, запускается одна система, другой – другая. Двойное дно у криптоконтейнера – скрытая часть криптоконтейнера, доказать наличие которой невозможно: если вводите один пароль, появляется обычный криптоконтейнер, другой – скрытая часть. Создавать скрытые операционные системы и криптоконтейнеры с двойным дном позволяют рассмотренные в нашем курсе TrueCrypt и VeraCrypt.

Конечно, всевозможные способы маскировки файлов и криптоконтейнеров интересны: например, можно спрятать документ в картинку или создать скрытую папку, но это больше поможет от любопытной жены, так как современный криминалистический софт без проблем найдет подобные файлы и папки. Особенно тщательно будут искать, если обнаружат у вас программное обеспечение для стеганографии.

Одна из задач антикриминалистики – не допустить криминалистического анализа устройства с последующим извлечением ценных артефактов. Даже если ваше устройство зашифровано, у криминалистов есть пути получить доступ, например атаки типа DMA. Если в руках у эксперта в области компьютерной криминалистики оказывается включенное, но заблокированное устройство, есть вероятность, что у него получится извлечь ключи для дешифрования из оперативной памяти. В дальнейшем они помогут ему расшифровать информацию на зашифрованном жестком диске.

Ключи для шифрования и дешифрования хранятся в оперативной памяти устройства с момента  введения пароля при включении и, как правило, до выключения устройства. Это позволяет вам налету шифровать и дешифровать данные, даже забывая, что работаете с зашифрованным диском. Мы подробнее расскажем об этом в рамках раздела, предложив эффективные методы защиты.

Аналогичным образом в оперативной памяти хранятся ключи для дешифрования данных в момент, когда криптоконтейнеры смонтированы. Специалисты в области криминалистики, вероятно, поправили бы, что там хранятся не ключи в чистом виде, и это было бы верным замечанием, но сути это не меняет, потому я немного упрощаю для простого читателя, не заинтересованного в глубинном устройстве шифрования.

Особенно опасны тут старые компьютеры, где возможны атаки прямого доступа к оперативной памяти (DMA), например атака через порт FireWire, и так называемые атаки по сторонним каналам, например cold boot attack. Cold boot attack – та самая атака, когда оперативная память замораживается жидким азотом и извлекается из корпуса, это поистине легендарная технология, но атака через FireWire куда опаснее. Здесь не надо ничего вынимать, извлекать, замораживать – достаточно просто подключить кабель и получить прямой доступ к содержимому оперативной памяти.

В рамках этой главы мы научим вас проверять устойчивость ваших устройств к атакам через порт FireWire и cold boot attack, а также к другим атакам с прямым доступом к оперативной памяти и по сторонним каналам.

Об экстренном уничтожении данных мы говорим в различных частях курса, например, в этой главе мы рассказываем о техниках экстренного уничтожения криптоконтейнеров. Но в данном разделе мы обобщим все практики и кроме Panic Button рассмотрим различные системы экстренного уничтожения: от «флешки-убийцы» USB Kill до систем ультразвукового уничтожения жестких дисков. 

Значительная часть раздела будет посвящена проведению криминалистического анализа: например, расскажем, где сохраняются миниатюры всех просмотренных вами изображений, где находится информация об открытых документах и запущенных программах. Завершая раздел, мы рассмотрим криминалистический софт и устройства – это не только интересно, но и важно: вы должны понимать, какие возможности и решения есть в руках специалистов в области компьютерной криминалистики.