Άρθρο του George Aravidis/ Ερευνητής Ασφάλειας Πληροφοριών
Τις τελευταίες εβδομάδες επικρατεί ένας τεχνολογικός αλλά και πολιτικός πυρετός αναφορικά για την περίφημη λίστα Lagarde, η οποία ( όπως λέγεται απο τα ΜΜΕ ) περιέχει πιθανά ονόματα ανθρώπων οι οποίοι είναι υπο εξέταση αν έχουν υποπέση σε φοροδιαφύγη ή όχι , καθότι κατέθεσαν τα χρήματα τους σε τράπεζες του εξωτερικού.
Ακούγονται επίσης καθημερινά διάφορα ονόματα, τα οποία φημολογείται ότι εμπλέκονται σε πιθανή αλλοίωση της λίστας, με διαγραφή κάποιων ονομάτων καταθετών απο την αρχική πρωτότυπη λίστα.
Ωστόσο, το παρόν άρθρο δεν έχει σκοπό να αναλύσει τα πολιτικά γεγονότα ούτε και να αναφερθεί σε πρόσωπα τα οποία έχουν κάνει κάποιες αξιόποινες πράξεις ( εφόσον φυσικά αποδειχθεί κάτι τέτοιο ).
Ο κάθε ενδιαφέρομενος μπορεί να παρακολουθεί τις ειδήσεις, αν ενδιαφέρεται για πολιτικά
γεγονότα και πρόσωπα.
Ο σκοπός του άρθρου αυτού έχει μια περισσότερο τεχνολογική χροιά.
Πιο συγκεκριμένα θα δούμε και θα παρουσιάσουμε κάποια πράγματα, έτσι όπως θα τα έβλεπε ένας Computer Forensic Examiner δηλαδή ένας εμπειρογνώμονας σε μια σκηνή ηλεκτρονικού εγκλήματος εφόσον είχε κληθεί να μελετήσει τα ίχνη και την συμπεριφορά ψηφιακών αρχείων ηλεκτρονικών υπολογιστών καθώς και την ακριβή ροή των γεγονότων τα οποία οδήγησαν στην τέλεση μιας αλλοίωσης.
Παράλληλα θα δούμε , πώς θα μπορούσε κάποιος κακόβουλος να «προσθέσει θόρυβο» σε ένα μέσο αποθήκευσης με αποτέλεσμα να είναι εξαιρετικά δύσκολο για κάποιο εξειδικευμένο προσωπικό να δει την πραγματική ροή των γεγονότων, αλλά κυρίως την πραγματική εικόνα του ηλεκτρονικού εγκλήματος ή αλλιώς την πραγματική ψηφιακή εικόνα μιας πράξης.
Αν κάποιος θέλει να αλλοιώσει ένα ψηφιακό αρχείο προερχόμενο απο ένα CD τότε προφανώς θα έπρεπε να το τοποθετήσει σε ένα μέσο όπως ένα USB.
Είναι πολύ σημαντικό αυτό το σημείο ! Θα διαπιστώσουμε στο τέλος του άρθρου, ότι όλα όσα θα αναλυθούν μπορούν να γίνουν μονάχα σε ένα μέσο το οποίο επιτρέπει το γράψιμο και το σβήσιμο δεδομένων όπως λέμε. Κάτι το οποίο δεν μπορεί να γίνει δηλαδή σε ένα CD, παρα μονάχα σε μια δισκέτα, σε ένα USB stick , σε μια SDcard.
Και αυτό γιατί ένα CD εφόσον δημιουργηθεί ( εφόσον γραφτούν αρχεία στην επιφάνεια του ) , δεν μπορεί πλέον να τροποποιηθεί με κανένα τρόπο. Λόγος γίνεται για τα CDR ή τα DVD-R.
Άρα οποιοσδήποτε άνθρωπος ο οποίος έχει λόγο να αλλοιώσει ένα ψηφιακό αρχείο ΗΥ, σίγουρα θα πρέπει να το γράψει σε ένα μέσο όπως π.χ ένα USB stick , και έπειτα να εφαρμόσει μεθόδους καταστροφής των ιδιοτήτων που έχει κάθε αρχείο ενός ΗΥ !
Ο κάθε ακροατής – αναγνώστης είναι ελεύθερος να πάρει όποιο μέρος επιθυμεί. Μπορεί είτε να πιστέψει ότι δεν έγινε αλλοίωση , είτε ότι έγινε ! Μπορεί να πιστέψει επίσης ότι θέλει αναφορικά για το ποιά πρόσωπα φέρουν ευθύνη ή ποιά πρόσωπα δεν φέρουν ευθύνη.
Υπενθυμίζω ότι το άρθρο αυτό έχει καθαρά τεχνολογικό χαρακτήρα, επι ευκαιρίας των ημερών.
Σύμφωνα πάντα με τα γεγονότα που παρουσιάζονται στα ΜΜΕ , η λίστα αρχικά προυπήρχε σε CD και μετά γράφτηκε σε ένα στικάκι USB. Αυτό απο μια άλλη οπτική γωνία , όπως δηλαδή θα την έβλεπε ένας Computer Forensic Examiner , δεν είναι καθόλου τυχαίο. Σε ένα μέσο αποθήκευσης όπως ένα π.χ USB stick , είναι δυνατή η αλλαγή των ιδιοτήτων ενός αρχείου.
Πρώτα απ’όλα ένα αρχείο απο την στιγμή που θα δημιουργηθεί, σημαίνει ότι έχει ήδη καθήσει πάνω στον πίνακα κατανομής του μέσου δηλαδή του USB Stick στο παράδειγμα μας. Το κάθε μέσο διαμορφώνεται ανάλογα με τις ανάγκες του χρήστη σε ένα απο τα πρότυπα : NTFS,FAT32,extFS κλπ.
Για ένα USB Stick , επικρατεί συνήθως το πρότυπο FAT32.
Ένα οποιδήποτε αρχείο ( ας πάρουμε για παράδειγμα ένα αρχείο κειμένου .doc ) έχει τα εξής χαρακτηριστικά πάνω στον πίνακα κατανομής ( Allocation Table ).
(*) Ημερομηνία Δημιουργίας ( Creation Date )
(*) Ημερομηνία Προσπέλασης ( Access Date )
(*) Ημερομηνία Τροποποίησης. ( Modification Time )
(*) Μέγεθος Αρχείου ( File Size )
(*) Timestamp Αρχείου ( Ψηφιακό κωδικό αποτύπωμα Ώρας και Ημερομηνίας )
(*) ID ( Αναγνωριστικό – ακέραιος αριθμός ).
(*) Extension ( που δηλώνει τον τύπο του αρχείου ).
(*) Attribute ( που δηλώνει αν είναι κρυφό αρχείο, αν είναι αρχείο συστήματος κλπ.)
(*) Owner ( Λέξη η οποία δηλώνει τον δημιουργό του αρχείου)
Οι υπογραμμισμένες προτάσεις με κόκκινο , μας ενδιαφέρουν στα σενάρια α και β , που θα δούμε παρακάτω.
Κάθε χαρακτηριστικό λοιπόν έχει μια τιμή , και για την ευκολία του λειτουργικού συστήματος
( εσωτερικές ανάγκες ) αλλά και για την ευκολία του χρήστη.
Το σενάριο που έχουμε λοιπόν να εξετάσουμε , είναι αν απο τα παραπάνω στοιχεία – χαρακτηριστικά μπορεί κάποιος να βγάλει άκρη για μια οποιαδήποτε υπόθεση ηλεκτρονικού εγκλήματος.
Αν θέλουμε να βάλουμε μέσα στο σενάριο, τον κακόβουλο τρίτο, ο οποίος είχε ώφελος απο μια αλλοίωση ενός αρχείου , η απάντηση είναι ΟΧΙ ( με κεφαλαία ).
Θα μπορούσε να υπάρξει μια αρκετά πραγματική εικόνα της κατάστασης , αν το προς εξέταση μέσο ήταν το ίδιο αρχικό μέσο αποθήκευσης δηλαδή τα αρχικά αρχεία.
Στην περίπτωση ενός μέσου όπως το USB Stick , κανείς δεν μπορεί να είναι σίγουρος αν η ψηφιακή εικόνα της κατάστασης, είναι η σωστή και αυτό διότι σε ένα μέσο το οποίο επιτρέπει την εγγραφή και την ανάγνωση δεδομένων, είναι πολύ εύκολο να γίνει επέμβαση στον πίνακα κατανομής του μέσου και να αλλάξουν πρωτοτύπος οι ιδιότητες που έχει εν την γενέσει του ένα ψηφιακό αρχείο.
Το αποτέλεσμα επομένως δεν θα έχει καμμιά σχέση με την πρωτότυπη εικόνα σε επίπεδο MD5
( Ο Αλγόριθμος MD5 είναι ένας τρόπος ψηφιακής ταυτοποίησης ).
Ας παρουσιάσουμε τώρα τρόπους, οι οποίοι θα έκαναν εξαιρετικά δύκολο το έργο των εμπειρογνωμώνων ώστε να διαπιστώσουν την ακριβή ροή των γεγονότων:
Σενάριο α)
1. Το USB – stick είναι τελείως κενό. Δεν περιέχει καμμιά πληροφορία. Κανένα αρχείο.
2. Το διαμορφώνουμε ( format ) κατα πρότυπο FAT32
3. Μηδενίζουμε όλους τους sectors με τυχαίες τιμές ( Wiping )
4. Αντιγράφουμε τα αρχεία απο ένα οποιοδήποτε CD σε ένα στικάκι.
5. Διαγράφουμε ( Wipe ) όλα τα metadata που ενδεχομένως να υπάρχουν στο κείμενο word – excel.
6. Τρέχουμε ένα πρόγραμμα όπως το SKtimeStamp και αλλάζουμε καρφωτά τις ημερομηνίες
Δημιουργίας – Τροποποίησης – Πρόσβασης του εν λόγο αρχείου που βρίσκεται στο USB stick.
7. Διαγράφουμε όλο το FileSlack απο το μέσο (Wipe FileSlack ).
Στο σημείο αυτό, πλέον έχει χαθεί η αρχική πληροφορία των ημερομηνιών. Ακόμα και αν γίνει έρευνα στον πίνακα κατανομής , αυτός θα μας παρουσιάσει την διορθωμένη ημερομηνία. Η τροποποίηση δηλαδή έγινε σε πρωτογενές επίπεδο.
Επίσης , πλέον είναι αδύνατη η παρακολούθηση των βημάτων επέμβασης στο αρχείο κατα ημερομηνία και ώρα, καθότι αφαιρέθηκαν τα meta-data του κειμένου.
Σενάριο β)
1. Το USB – stick είναι τελείως κενό. Δεν περιέχει καμμιά πληροφορία. Κανένα αρχείο.
2. Το διαμορφώνουμε ( format ) κατα πρότυπο FAT32
3. Μηδενίζουμε όλους τους sectors με τυχαίες τιμές ( Wiping )
4. Ανοίγουμε ένα – ένα , τα αρχεία απο το CD , και κάνουμε «Αποθήκευσης ως» με προορισμό το USB Stick !
5. Το USB – stick περιέχει πλέον , όλα τα αρχεία του CD.
6. Διαγράφουμε ( Wipe ) όλα τα metadata που ενδεχομένως να υπάρχουν στο κείμενο word.
7. Διαγράφουμε όλο το FileSlack απο το μέσο (Wipe FileSlack ).
Βέβαια είναι φανερό ότι το βήμα 4 είχε τεράστιο κόστος σε χρόνο.
Στο σημείο αυτό, πλέον στον πίνακα κατανομής , υπάρχει μονάχα η πληροφορία της ημερομηνίας που αποθηκεύτηκε το αρχείο.
Επίσης , πλέον είναι αδύνατη η παρακολούθηση των βημάτων επέμβασης στο αρχείο κατα ημερομηνία και ώρα, καθότι αφαιρέθηκαν τα meta-data του κειμένου.
Όπως δηλαδή υπάρχει η επιστήμη των Computer Forensics έτσι υπάρχει αντιστοίχως η επιστήμη των Anti-Forensics , που έχει σαν στόχο να διαγράψει κάθε ψηφιακό ίχνος απο μια προς εξέταση σκηνή ψηφιακού εγκλήματος.
Το λογισμικό που βρίσκεται στην παρακάτω διεύθυνση
http://www.isdpodcast.com/resources/training/anti-forensics/
μπορεί να κάνει ακριβώς αυτό. Να δημιουργήσει μια ημερομηνία ( timestamp ) κατα παραγγελεία για ένα ψηφιακό αρχείο που δεν είναι η πραγματική !
Βέβαια, το παραπάνω λογισμικό δεν χρησιμοποιείται για κακό σκοπό εξ ορισμού. Μπορεί δηλαδή να πρέπει να διορθωθεί μια ημερομηνία σε ένα αρχείο για οποιοδήποτε λόγο, όπως για παράδειγμα σε περίπτωση που υπάρχει πρόβλημα με την μπαταρία σε έναν ΗΥ όπου πάντα σε μια τέτοια περίπτωση ο ΗΥ δείχνει την ημερομηνία 01-01-1970.
George Aravidis / Ερευνητής Ασφάλειας Πληροφοριών
Email : aravidis@yahoo.com
