Кэш браузера или Как была доказана твоя вина Введение Наверное, ты не раз слышал рассказы о том, как сотрудники правоохранительных органов, ворвавшись в квартиру очередного не сложившегося хакера, проводят задержание, приглашают понятых, составляют протокол, опечатывают и забирают рабочую станцию хакера с собой на экспертизу. Многие даже подсмеиваются над компетентностью наших сотрудников управления «К», приводя как доказательство только тот факт, что зачастую вместе с системным блоком сотрудники милиции забирают и клавиатуру и монитор. На это можно ответить тем, что изымают технику рядовые сотрудники милиции, зачастую имеющие далёкое представление о компьютерах, и, как правило, помимо того, что бы доставить компьютер хакера в отделение, для проведения экспертизы, у них ещё есть куча нераскрытых дел – так что церемониться с какой то железкой им просто без надобности. Работает русский менталитет: «Мы возьмём всё – а там разберутся». Про весь этот процесс наслышаны все, а вот что происходит далее на той самой экспертизе, тем самым «некомпетентным» специалистом известно далеко не всем. В данной статье будет рассмотрен один из аспектов работы эксперта по добычи нужной информации, которая позже может быть приобщена к уголовному делу, и быть использована против хакера в суде. Ситуация 5 августа 2005 года, в 8.25 утра сотрудник конструкторского отдела крупнейшей волгоградской строительной компании «Волго-Строй» Краснокутский М.Ю. только что закончил свой проект нового девяти этажного дома в центре Волгограда и решил загрузить все данные на информационный сервер компании, предоставленной фирмой «Волго-Хост». Но не смог – сообщение об ошибке гласило: «Достигнут лимит свободного места. Пожалуйста, свяжитесь с вашим системным администратором» Что Краснокутский и сделал, немедленно позвонив Иванову Д.И., работавшему системным администратором в компании «Волго-Строй». Но к удивлению Краснокутского, их системного администратора не оказалось на месте – автоответчик в его офисе пропищал: «Уехал в Турцию в отпуск. Буду через 2 недели.» После того как был послан запрос к «Волго-Хост» по поводу не хватки свободного места и позже получен ответ – директор компании с ужасом узнал, что на их сервере в папке их системного администратора обнаружено более 300 GB музыки, недавно выпущенных фильмов и программ, а также детской порнографии. Компании было предъявлено обвинение в незаконном хранении пиратской продукции и возбуждено уголовное дело. Расследование было передано в одно из отделений управления «N». Расследование Любое расследование начинается со «знакомства» с подозреваемыми. В нашем случае главным подозреваемым является системный администратор «Волго-Строй» Иванов. Эксперту придется установить его круг общения, род занятий и интересов. Зачастую начальной точкой в расследовании служит та среда, где подозреваемый проводит большую часть своего времени, а для нас же – это непосредственно Интернет. Исследуя интернет активность подозреваемого, эксперт в первую очередь изучает историю и кэш браузеров. На машине Иванова были установлены Internet Explorer (IE) и Mozilla FireFox (FF). Эксперт решил начать расследование с IE. Microsoft's Internet Explorer (IE) Данный браузер установлен по умолчанию во все windows системах. IE по умолчанию кэширует (сохраняет содержимое веб-страниц, просмотренных вами на жёсткий диск, во избежание их повторной загрузки.)Храниться кэш для каждого пользователя в отдельном профайле по адресу: С:\Documents and Settings\ivanov\Local Settings\Temporary Internet Files\Content.IE5\ Внутри директории \Content.IE5 содержаться дополнительные папки со «случайно» сгенерированными именами, в которых храниться информация о посещение того или иного веб ресурса. Помимо кэша существует ещё два дополнительных хранилища информации об активности пользователя. Это History, где храниться URL и дата его посещения. History храниться по адресу: C:\Documents and Settings\ivanov\Local Settings\History\History.IE5\ Также браузер сохраняет полученные пользователем Cookies, содержащие дополнительную информацию. C:\Documents and Settings\ivanov\Cookies\ Эксперт, проводящий анализ проверит все три директории, но зачастую более ценной информацией обладает именно хранилище кэша. Внутри директории \Content.IE5 содержится файл index.dat, в котором и содержится интересующая нас информация. После его расшифровки у нас будет возможность просматривать те же страницы, что и Иванов. И следуя из этого уже можно будет составить первое представление о подозреваемом. Файл index.dat зашифрован по специальному алгоритму, разработанному Microsoft. Mozilla FireFox (FF) Вторым браузером, установленным в системе Иванова был Mozilla FireFox. Он также как IE сохраняет информацию об интернет активности пользователя. Стоит сказать, что FF использует особый алгоритм кэширования страниц. Директория, в которой непосредственно храниться интересующая нас информация: C:\Documents and Settings\<пользователь>\Application Data\Mozilla\FireFox\Profiles\<случайный текст>\Cache Для обоих типов браузеров процесс реконструкции закэшированных файлов и есть главная задача эксперта. Для этой цели существует ряд программ анализирующих файлы index.dat и history.dat и извлекающие оттуда всю максимально полезную информацию. После завершения реконструкции веб-страниц эксперт начнёт проводить анализ добытых им сведений. Реконструкция и последующий анализ Для реконструкции закэшированных файлов можно воспользоваться утилитой Web Historian либо FTK. Главной особенностью данных программ является то, что они поддерживают следующие браузеры: Internet Explorer, Mozilla FireFox, Netscape, Opera и позволяют предоставлять отчет, как в виде текстового файла, так и в html. После того как будет получен окончательный отчёт и начинается всё самое интересное. Перед экспертом теперь стоит нелёгкая задача из всей кучи страниц отфильтровать и рассмотреть те, которые непосредственно связанны с данным делом. Анализ данных, полученных при реконструкции кэша в IE Среди сотни страниц, сохранённых браузером, следователю удалось выявить следующие, довольно интересные моменты: 1) Системный администратор Иванов, пользовался бесплатной почтой hotmail и имел аккаунт [email protected]. Открыв страницу из кэша – следователь увидел папку inbox его почтового ящика – никаких «интересных» для следствия писем обнаружено не было. 2) Иванов бывал в онлайн магазине ozone.ru причём делал запросы на литературу подходящую в разряд «Hacking». 3) Имел аккаунты на различных форумах security тематики. Но был не очень активен. По количеству постов, можно было сказать, что он предпочитал читать посты других и не участвовать в дискуссиях. По просматриваемым темам он больше всего интересовался сетевыми аспектами. 4) Были найдены кэши страниц сайтов по поиску крэков. В основном Иванов делал запросы на редкий софт, скорее всего, поэтому на его запросы не было результатов. 5) По просмотру страниц яндекса, Иванов, в последнее время, искал информацию о Турции: достопримечательности, отели, отдых. 6) Он имел аккаунт на платном порно сервере. Помимо данной информации следователь также располагал точной датой посещения той или иной страницы. Первый этап исследования кэша был завершён, но информации все ещё было не достаточно, для того чтобы сделать хоть какие-нибудь выводы по поводу личности Иванова. Анализ данных, полученных при реконструкции кэша в FF При работе с кэшем FF использовалась программа Cache View. Размер закэшированных файлов был намного меньше, чем в случае с IE, видимо Иванов предпочитал его FF. Сравнительно не большой объём страниц позволил следователю более подробно ознакомиться с доступной информацией. Вследствие чего было выявлено два ключевых момента: 1) Была обнаружена страница форума одного из врезных порталов. Причём просматривалась ветка для администрации. 2) Также была обнаружена ещё одна страница с hotmail, но только залогиненный пользователь был не ivanov1975. Некто Дмитрий, имевший аккаунт [email protected] получил письмо от человека [email protected]. Изучение содержимого письма, сохранившегося в кэше расставило все точки над i. Waad переслал Дмитрию логин и пароль системного администратора Иванова и реквизиты аккаунта, который требовалось создать. Использование полученной информации при дальнейшем расследовании На следующий день в офисе компании «Волго-Строй» были опрошены все сотрудники и по результатам их ответов установили, что: Дмитрий был студентом, устроившимся на работу в компанию не задолго до отпуска Иванова. Было установлено место проживания Дмитрия. Составляя своё заключение, следователь учёл всё добытую информацию с компьютера Иванова. Анализ же жёсткого диска Дмитрия и тщательное изучение кэша, истории браузеров, логов его ICQ, удалённых файлов, и дополнительной информации подтвердил причастность Дмитрия к совершённому преступлению, а также дополнительно установил его причастность к группе madwarez.com, которая использовала сервер компании «Волго-Строй» как хранилище запрещённой информации. Для получения доступа, к которому хакерам необходимо было знать не только логин и пароль администратора, но и иметь физический доступ к компьютеру Иванова, так как для авторизации на сервере был необходим специальный файл-ключ, с распределёнными привилегиями, находившийся только на жёстком диске администратора. Вся добытая информация с обоих компьютеров была приобщена к делу. После чего Дмитрию зачитали приговор. В заключении Все события, изложенные в данной статье являются вымышленным. Любое совпадение имен и названий компаний является неумышленным. Единственной задачей стоявшей передо мной, при написании данного текста, было показать вам, что, казалось бы, такие незначительные вещи как кэш могут дать опору следователям для дальнейших действий. В настоящее время, особенно в Российском сегменте существует поверие, что такая информация не может быть использована в качестве улики или вообще оглашена при судебном разбирательстве. Может вы и правы, и пока соответствующий закон ещё не был подписан, но я больше чем уверен, что и его время стремительно приближается. Живя в Соединённых Штатах, мне довелось пообщаться со специалистом по расследованиям преступлений в IT сфере. Именно она и поведала мне о некоторых методах выявления интересующей следствие информации. На мой удивлённый вопрос: «И что всё это является уликами и может быть рассмотрено в суде?» Кейт улыбнулась и спокойно ответила: «А разве у вас в стране по-другому?». Единственный и необходимый вывод из всего выше изложенного – это то, что нужно намного серьёзнее относиться к той информации, которая создается без вашего ведома, к тем вещам, к которым все так привыкли, и никто не ставит вопрос об их надёжности. Примечания Данная статья основана на моём диалоге с Kate Jones, а также некоторой информации, которой она со мной поделилась. Программы, упоминавшиеся в статье Web Historian - http://software-files.download.com/...53&siteId=4&edId=3&pid=10373158&psid=10373157 FTK – http://www.accessdata.com/Product04_Download.htm?ProductNum=04 Cache View – http://www.progsoc.uts.edu.au/~timj/cv/dl/cview260.zip MorpheuS
Ну кэш можно почистить, но другой вопрос, что любые файлы на винте можно восстановить. Значит остаётся два винта использовать?
Да кстати есть проги которые обнуляют стираемые данные. Например Kremlin! тока чистить каждый раз всю эту лабуду заеш-ся =) Надо прогу сделать в стиле http://www.antichat.ru/txt/old/dhgroup/antiOMON.shtml
==>Хм, а не проблема ли encrypted диск сделать Не проблема. Но и не 100% гарантия. А если такая ситуация: Комп ведь не может забрать обычный мент по своему желанию. Нужна санкция (типа ордера на обыск). А если кто-то приходит с ордером на обыск и хочет обыскать закрытую кладовку. Откройте кладовку! - А я ключ потерял! Что тогда сделают с дверью? Это конечно теоретически, но если чем-то серьёзным занимаешься, лучше подобную инфу вообще дома не держать. ИМХО.
Дверь выбьют, применив грубую силу (Brute Force). А вот PGP ключ не так то просто "выбить" - так как брут этого самого ключа, ой какое "занимательное" занятие.
nerezus, а какже закон об обязанности говорить клю4 расшифровки диска спеЦслужбам (недавлняя нашумевшая новость)?
имхо брут PGP де-факто намного проЩе того, как его себе многие представляют.... не буду говорить про продвинутые атаки криптоанализа, а хотябы можно применить анализ выбора паролей с то4ки зрения психологии или особенности генерации псевдослу4айных последовательностей при выборе клю4ей...
А я читал похожую статью на секлабе, только в главным героем там был если не ошибаюсь "Джон Чмо" )))))))
если бы УК там быстро реагировал на все "новинки" в ИТ-сфере то мы жили бы в идеальном государстве а инфа эта где-то недельки 1,5 назад на секлабе проскакивала...
Одним им известно чем и как они вскрывают Pgp и другию лажу. Разговоры простых людей о том как ФСБ это все сделают - это смешно слушать. Не надо филосовствовать на тему "Как спецслубы" проверят кеш мозилы, ИЕ, логи и т д Они это читают и ржут - я уверен. Как им это смешно читать - люди, предполагают что ФСБ позырит кеш мозилы... Я видел немало статей про то как обезопасить себя от облавы, стирая modem.log в C:\WINDOWS. Нам не известны их способы и никогда (ну почти) не будут известны. То что пишут - бред и догадки. Ты конечно молодец что постарался написать статью, но всетаки лутшее решение - испепелить жесткий диск - размагнитить полностью, разбить молотком, сжечь и расплавить и закопать поглубже. Может тогда они ничего не найдут, хотя я не уверен
Вроде бы обязан сообщить ключ расшифровки толи по первому требованию, то ли по решению суда. Один хрен - надежным может быть только доп. жесткий диск в сейфе с системой самоуничтожения. Можно еще помудрить на тему защиты от "неожиданного обыска", скажем выбивают дверь - через 5 секунд в сейфе пепел и замок заплавлен
"О, чорт, я его правда забыл" Насчет кэша - они могут это узнать и по логам прова, правда там не будет тех соединений, которые выполнены через Vpn, к примеру =)
http://www.securitylab.ru/analytics/216398.php http://www.securitylab.ru/analytics/240252.php давно это было... эти статейки мне больше понравились
А я свои данные на криптодисках держу после того как ко мне в гости злые дядьки приходили. Юзаю TrueCrypt - на мой взгляд самый крутой софт для защиты инфы на дисках. Прога бесплатна и не требует инсталяции, можно запускать даже с флешки.(конец рекламы )
4xks, кеш мля будет жить вне зависимости от того что ты юзаешь TrueCrypt))) вот DriveCrypt - другое дело: DriveCrypt Plus Pack – это пакет программ для кодирования целого диска, который может кодировать как целую операционную систему, так и вторичные диски, предоставляя возможность использовать предзагрузочную аутентификацию (пользователь должен ввести пароль для того, чтобы компьютер загрузил операционную систему). DriveCrypt Plus Pack поддерживает 256-битное кодирование данных в реальном времени. Для этого используется FDE (full disk encryption – кодирование целого диска) в отличие от VDE (virtual disk encryption – кодирование виртуального диска). DriveCrypt Plus Pack обеспечивает безопасность данных с помощью мощного проверенного алгоритма шифрования (AES 256) на уровне секторов, обеспечивая доступ только аутентифицированным пользователям.
