Мы вынесли физический доступ и криминалистический анализ в одну главу, так как эти угрозы используют схожую методологию, и методы борьбы с ними тоже будут во многом схожими.
Физический доступ
Данная угроза предполагает получение физического доступа к устройству для кражи информации или совершения каких-либо действий, способных причинить вред владельцу.
Приведу пример атаки с использованием физического доступа. Злоумышленник подсмотрел ваш пароль, лично или поставив миниатюрную камеру неподалеку от вашего компьютера, затем он дожидается, когда вы отойдете, и устанавливает программу для шпионажа за компьютером. Программа работает незаметно для вас, собирая всю информацию и отправляя ее злоумышленнику. Шпионская программа руками добавляется в белые списки антивирусов, потому на них рассчитывать не стоит.
Программы для слежки можно приобрести абсолютно легально, и предназначены они в основном для контроля за детьми. От вредоносного программного обеспечения эти программы отличает необходимость наличия физического доступа к компьютеру.
Обычный функционал такого программного обеспечения включает запись происходящего на экране, запись всех нажимаемых клавиш, контроль периметра при помощи веб-камеры и микрофона, формирование удобных отчетов об активности пользователя. Некоторые программы умеют помимо незаметного сбора информации еще и цензурировать работу пользователя, блокируя доступ к некоторым сайтам.
Как защищаться от подобной угрозы? Первым делом нужно добавить в пароль ложные символы: это защитит вас от любителей подсмотреть пароль. Добавлять в пароль ложные символы мы научим вас в главе, посвященной паролям. Второе: поставить и настроить Panic Button (проект закрыт в 2021 году) − программу, которая защищает от несанкционированного доступа к компьютеру. Можно и на этом не останавливаться: сегодня в свободной продаже имеются и замки, и сейфы, и сигнализации для ноутбуков. Мы подробно расскажем обо всем в рамках курса, задача этой главы лишь познакомить вас с угрозой.
Другой довольно распространенный вид атаки − подключение внешних устройств, например, к вашему компьютеру незаметно подключается USB-флешка. При загрузке системы с этой USB-флешки вам загружается вредоносное программное обеспечение.
На черном рынке можно найти предложения уже настроенных флешек, злоумышленнику останется просто вставить флешку и надеяться, что жертва не читала этот курс. При этом далеко не всегда флешка с вирусом устанавливается злоумышленником, иногда вирус сам записывается на флешку, а ее владелец является такой же жертвой.
Вредоносное программное обеспечение, попав на компьютер, нередко записывает себя на все внешние носители, которые затем будут заражать новые и новые устройства. Так распространялись и распространяются многие троянцы, включая легендарные Sality, Zeus Citadel и Zeus Gameover. Пик популярности подобного пути распространения пришелся на середину двухтысячных, сегодня он сходит на нет, так как файлы все чаще передают по сети.
Разумеется, и от этой проблемы мы научим вас защищаться, в том числе создавать списки доверенных устройств и блокировать недоверенные, использовать утилиту USBKill, открывать файлы в песочнице. Разберем работу встроенных механизмов защиты, таких как Secure Boot. В рамках тестирования безопасности устройств мы с вами будем настраивать аналогичную USB-флешку для проверки защиты ваших устройств.
На самом деле вариантов атак при получении физического доступа значительно больше: например, на ваш компьютер может быть установлено устройство, содержащее шпионский имплант. Это может быть простой кабель, соединяющий монитор с системным блоком, внешне он будет не отличим от оригинала, но в нем будет содержаться имплант, передающий злоумышленнику изображение с вашего экрана.
Кстати, знакомьтесь, это RAGEMASTER − VGA-кабель с имплантом для шпионажа. Используется АНБ с 2008 года. Имея солидный бюджет, на черном рынке можно заказать подобное решение под любые модели мониторов.
Шпионские импланты − более высокий уровень, требующий высокотехнологичных решений, обычно применяется для корпоративного и государственного шпионажа.
Криминалистический анализ
Криминалистический анализ − это набор технических решений и методик для извлечения ценной информации с цифровых устройств. Криминалистический анализ применяется, как правило, правоохранительными органами для поиска интересной для следствия информации на устройствах подозреваемых. Но ввиду того что техника и программное обеспечение находятся в открытом доступе, этот инструмент может получить любой злоумышленник.
Криминалистический анализ можно проводить на десктопных компьютерах, ноутбуках, планшетах и смартфонах. Криминалисты прекрасно умеют работать со всеми популярными операционными системами: Windows, macOS, операционными системами на основе Linux, Android, BlackBerry и iOS.
Отличием криминалистического анализа от простого физического доступа являются применяемые технологии. Криминалистический анализ большое внимание уделяет оперативной памяти устройства, где могут храниться ценные артефакты, например ключи шифрования, в некоторых случаях применяется атака DMA − получение прямого доступа к оперативной памяти, пришедшая на смену известной cold boot attack.
Если кто не знает, cold boot attack − та самая атака, когда жидким азотом замораживается оперативная память, извлекается из устройства, и затем с нее считывается информация. Современная оперативная память четвертого поколения (DDR4) и новее уже не подвержена этой уязвимости.
Если cold boot attack сегодня уже больше история, то файлы подкачки и гибернации − области на жестком диске, куда сохраняется информация из оперативной памяти, − не утратили свою актуальность и по-прежнему могут многое рассказать о владельце устройства.
Компьютерными криминалистами довольно часто применяется восстановление данных на носителях, производимое в специальных лабораториях. Даже удаление файла не защитит его от угрозы извлечения при криминалистическом анализе. Современные методики позволяют достаточно эффективно восстанавливать удаленные файлы.
Программные решения для проведения криминалистического анализа умело находят и извлекают изображения, видео, документы, переписки в мессенджерах, социальных сетях, информацию об используемых программах, резервные копии устройств, сохраненные в облачные хранилища, историю посещения сайтов − и это плохая новость.
Хорошая новость в том, что мы научим вас эффективно противостоять криминалистическому анализу. Мы будем шифровать носители, настраивать политику безопасности, надежно удалять файлы, настроим Panic Button (проект закрыт в 2021 году) − программу, предназначенную для защиты от криминалистического анализа, поработаем с файлами гибернации и подкачки, проверим устройство на наличие уязвимостей к DMA-атакам.
P.S. Вы можете узнать больше о возможностях криминалистического программного обеспечения на сайтах производителей, например, тут или тут.
Последствия физического доступа
Последствия физического доступа могут быть самыми разными, они зависят от задач, преследуемых недоброжелателем. Это может быть отец, желающий установить на компьютер сына программу для кибершпионажа (так называемое скрытое ПО для контроля за детьми), в результате успеха подобной атаки отец узнает, какое порно предпочитает его сын и какую ересь он пишет девочкам вместо любовных писем.
Для начальника, чья секретарша задумала похитить корпоративную информацию в интересах конкурента или, купившись на предложения хакеров из Даркнета, решила занести в корпоративную сеть вредоносный софт, все закончится еще печальнее, как и для его компании.
Владельцу онлайн-магазина наркотиков, к которому пожаловали через форточку представители правоохранительных органов, физический доступ к его компьютеру обернется заслуженными годами за решеткой, как создателю Silk Road Россу Ульбрихту, отбывающему пожизненное заключение в американской тюрьме.
Но есть еще несколько последствий физического доступа, которыми я, возможно, смогу вас удивить. Во-первых, вам могут подбросить цифровые доказательства: запрещенную литературу, экстремистские материалы, детскую порнографию или что-то другое. На самом деле это не такая и мифическая угроза, в рамках курса мы рассказываем несколько подобных историй.
Во-вторых, у вас могут похитить криптовалюту, и это может быть главной целью визита к вам недоброжелателей. В один из дней представители Службы безопасности Украины с двумя понятыми пришли к основателю русскоязычного криптовалютного журнала ForkLog Анатолию Каплану и, предъявив судебный ордер, изъяли у него всю технику. Обыск проводился в рамках уголовного дела, к которому проект ForkLog имел косвенное отношение, так как с помощью него подозреваемые якобы меняли криптовалюту. В целом основатель ForkLog мог быть просто вызван как свидетель, и визит с арестом техники явно лишний шаг. Что побудило на него органы? У Анатолия имелась криптовалюта...
По словам адвоката, уже в процессе обыска сотрудники СБУ предпринимали попытки перевести себе биткоины, а на следующий день хранимые на изъятых у Анатолия кошельках Ethereum средства были переведены на неизвестный кошелек.
В-третьих, вашу технику могут уничтожить. Сейчас я вам расскажу одну интересную историю. Мы часто слышим, что пользователи в России и ряде других стран получают штрафы и даже реальные или условные сроки за лайки, комментарии и репосты в социальных сетях. Но немногие из вас знают, что штраф иногда не самое страшное в подобных историях, когда суд признает компьютер орудием совершения преступления с последующим его уничтожением.
Так, в Свердловской области слушалось дело об экстремизме. Обвиняемый Владимир скачал и выложил в публичный доступ ролики, которые были признаны экстремистскими. Обычная история, коими нынче не удивить, однако интересен приговор, в рамках которого, кроме штрафа, суд постановил уничтожить компьютер Владимира. На дворе был 2011 год, и после этого аналогичные меры в отношении компьютеров и ноутбуков принимались еще не раз.
Самый громкий подобный случай в России произошел с матерью-одиночкой Екатериной Вологжениновой, которая за репосты на свою страничку картинок в поддержку Украины была приговорена к 320 часам исправительных работ, а ее компьютер и мышку суд постановил уничтожить как орудие совершения преступления. Честно говоря, познакомившись с содержанием картинок, я так и не смог понять, где там этот самый экстремизм, но Суду виднее.
Хороший компьютер или ноутбук стоит более $2000, на нем может храниться ценная информация, резервных копий которой не сделано, потому, даже совершив ошибку с лайком или репостом, желательно не допустить кого-либо к своему компьютеру. Ведь чтобы доказать, что конкретный компьютер использовался для публикации сообщений, нужно получить доступ и провести криминалистический анализ активности в социальных сетях.
