Криминалистический анализ активности в социальных сетях
Угроза криминалистического анализа активности в социальных сетях
Как-то у меня с одной подругой состоялся очень интересный разговор о социальных сетях. Начался он с нечаянно брошенной ею фразы, что просматриваемые в социальной сети видео не загружаются на ее ноутбук. Меня это убеждение весьма позабавило. Это очень распространенный миф, с которого я хотел бы начать данную главу.
Криминалистический анализ активности в социальных сетях − часть криминалистического анализа браузера, но вынесу я это отдельно, так как не всем пользователям интересен комплексный криминалистический анализ браузеров.
В этой главе я расскажу, какую информацию о вашей активности в социальных сетях могут извлечь недоброжелатели, если они получат физический доступ к вашему компьютеру. Это может быть как легальный визит правоохранительных органов с обыском и изъятием техники, так и нелегальное получение доступа к вашему устройству.
Миф
Вся активность в социальной сети: просмотр видео, фотографий, прослушивание музыки, общение, голосовые сообщения − не загружается на компьютер пользователя и не хранится на нем.
Реальность
Вся активность в социальной сети: просмотр видео, фотографий, прослушивание музыки, общение, голосовые сообщения − загружается на компьютер пользователя и хранится на нем (хотя и не всегда длительное время).
Откуда берется этот миф, понятно: вы авторизуетесь на сайте социальной сети и получаете доступ к информации − перепискам, видео, музыке. Без интернета у вас ничего не загрузится, а значит, на вашем компьютере ничего не хранится, кроме истории посещенных страниц. Логично?
Следуя этой логике, при случайном обрыве интернета в процессе использования социальной сети у вас из браузера должна пропасть вся информация, но она ведь не пропадает? А это может означать только одно: информация все-таки хранится на вашем компьютере.
Давайте в деталях разберем, какая информация, где и зачем хранится, а уже затем перейдем к процессу ее извлечения и анализа.
Первым делом вспомним, как устроено взаимодействие вашего браузера с веб-сайтом. От сервера, на котором размещен сайт, браузер получает набор кода. Затем браузер преобразует этот код в визуальный сайт – то, что вы видите на своем экране. Видео и музыку преобразуют графический и музыкальный обработчики в браузере.
Надеюсь, вы знаете, что на вашем компьютере есть оперативная (=очень быстрая) память, в которой временно хранятся используемые на текущий момент данные, и жесткий диск − место постоянного хранения информации. За редким исключением вся полученная браузером информация сохраняется первоначально в области оперативной памяти, выделенной браузеру, и очищается при закрытии браузера. Но это происходит не всегда.
Конфиденциальная информация из браузера может быть сохранена на жесткий диск в файл гибернации и затем извлечена оттуда. В главе, посвященной криминалистическому анализу оперативной памяти, мы рассказываем про режим гибернации (известен пользователям как «спящий режим» или «режим сна», хотя это и не совсем синонимы), при котором вся информация из оперативной памяти переносится на жесткий диск в так называемый файл гибернации.
Если кратко: при режиме гибернации компьютер отключает питание оперативной памяти для экономии энергии. Оперативная память является энергозависимой и не может хранить информацию без питания. Информация из оперативной памяти переносится на жесткий диск, а при выходе из спящего режима снова подгружается в оперативную память.
И, конечно, криминалисты непременно первым делом проверят ваш файл гибернации. Если ваш компьютер перейдет в режим гибернации с открытыми в браузере социальными сетями, ваша переписка и содержание страницы сохранятся на жесткий диск. Мы настоятельно рекомендуем вам отключить файл гибернации.
Как было сказано выше, при открытии веб-страницы браузер получает код и обрабатывает его. Например, вы каждый день открываете Вконтакте или Facebook, скажите: часто ли меняется структура сайта? Логотип? Основные кнопки?
А ведь загрузка и обработка кода занимают время. Если вы уже один раз загрузили код сайта, зачем загружать его второй раз при повторном открытии страницы? Согласитесь, проще сохранить код и только обновлять его при необходимости.
Описанное выше сохранение сайта называется кэшированием. Сайт один раз загружается и сохраняется на жесткий диск, а при повторном открытии загружается уже с вашего жесткого диска. Это дает возможность заметно сократить время загрузки веб-сайта при повторном открытии и снижает общую нагрузку на сеть Интернет.
Мы подробно рассказываем о кэшировании веб-сайтов в отдельной главе. Здесь хочу лишь подчеркнуть факт сохранения информации у вас на жестком диске. Согласитесь, не очень правдоподобно звучат слова «Я не пользуюсь Facebook» при наличии на жестком диске недавно закэшированной версии сайта, которая может быть показана только после авторизации. Из этих данных можно извлечь информацию, когда вы пользовались сайтом и что вы точно авторизовались в социальной сети, даже если никакой другой информации и не сохранилось.
Разумеется, ценные данные можно извлечь и напрямую из оперативной памяти − эту тему мы вдоль и поперек разбираем в главе, посвященной криминалистическому анализу оперативной памяти. Подобная ситуация опасна, когда недоброжелатели получили доступ ко включенному, но заблокированному устройству.
Многие пользователи сегодня никогда не выключают свои устройства, например, просто закрывают свой ноутбук. Устройства или переносят данные из оперативной памяти на жесткий диск, или поставляют оперативной памяти питание в режиме энергосбережения и хранят данные там (параллельно делая копии на жесткий диск для безопасности). Последнее принято называть гибридным спящим режимом: так работают многие современные ноутбуки, и это используют в своей работе криминалисты.
В процессе своей активности современный браузер со стандартными настройками сохраняет немало технической информации, в основном эта информация призвана сделать работу пользователя более комфортной. К техническим данным относятся история посещенных сайтов, пароли, сессии, кукисы.
Попадание этой информации в третьи руки крайне нежелательно. Например, сохраненные пароли и сессии позволят получить доступ к вашему аккаунту. История посещенных сайтов, сами понимаете, расскажет о просматриваемых вами страницах.
И еще: возможно, вы полагаете, что для профессионального криминалиста ваш пароль к компьютеру станет проблемой? К сожалению, нет. Для защиты своих данных наличия пароля недостаточно. Даже если пароль надежный. Подробнее об этом мы расскажем в рамках нашего курса, а пока посмотрите видео о практическом применении криминалистического анализа активности в социальной сети.
Защита от криминалистического анализа активности в социальных сетях
Отключить файл гибернации можно с помощью приложения Panic Button. Для этого вам достаточно установить пробную бесплатную версию и на этапе проверки системы сканером безопасности выбрать отключение гибернации, запустить повторную проверку и убедиться, что файл удален.
Совет
Отключите на вашем компьютере использование файла гибернации.
Сканер безопасности Panic Button проверит вашу систему на наличие уязвимости, позволяющей получить прямой доступ к оперативной памяти, включая Cold boot attack − ту самую легендарную атаку, когда оперативная память замораживается жидким азотом, извлекается и подгружается на новом устройстве (где криминалисты изучают ее содержимое). К счастью, с каждым годом уязвимых к данной атаке устройств становится все меньше.
Совет
Проверьте систему на наличие уязвимостей, способных привести к получению прямого доступа к оперативной памяти.
Разумеется, вам надо полностью зашифровать систему − это исключит прямое получение данных жесткого диска в обход систем безопасности операционной системы. О комплексном шифровании операционной системы мы рассказываем в этой главе.
Совет
Зашифруйте операционную систему.
Экстренно очистить оперативную память, сохраненные пароли, запущенные сессии, кукисы, историю браузера вам поможет установленная ранее программа Panic Button. При этом она может быть запущена как самостоятельно, так и в режиме логической бомбы.
В режиме логической бомбы она сработает автоматически, надежно удалив ценные данные, когда недоброжелатели зайдут в вашу систему. Есть и альтернативные методы очистки, с которыми мы познакомим вас в главе, посвященной безопасности браузера. Там же мы расскажем и о возможности отключения сохранения браузерами данных о вашей активности, это повысит безопасность данных, но негативно скажется на удобстве.
