Tråden om Anti-forensik

Hej!

Jag har skrivit ett par trådar om hur IT-forensiker kan arbeta med att få fram data ur datorer och mobiler. Trådarna är:

(FB) Introduktion till IT-forensik
(FB) Intruduktion till nätverksforensik
(FB) Intruduktion till Malwareanalys
(FB) Introduktion till minnesforensik
(FB) Minnesforensik - Linux och Android
(FB) Beskrivning av attackmetoder mot FDE

Dessa trådar tar upp hur man kan ta fram och analysera data för att bedöma om vilka handlingar som utförts. I denna tråd så ska vi diskutera motsatsen, nämligen att försvåra framtagningen av data. Tack vare kunskaperna om vad som är möjligt att ta fram samt hur man tar fram data så kan vi arbeta åt motsatt håll. Detta är ingen introduktionstråd då jag har tänkt att skriva så mycket jag kan om ämnet samt så innehåller mina andra trådar bra information om ämnet.

För att ens kunna bedöma vad som ska tas bort så behöver vi svara på dessa frågor:

• Vilken data är av värde?
• Hur tas datan fram?
• Hur kan datan användas emot dig?
• Vart finns datan?
• Hur tar man bort datan?

Nyckelord inom anti-forensik: kryptering, obfuskering och borttagning.


Det absolut vanligaste är att ha en fulldiskkryptering, och det är viktigt att lösenordet håller en god lösenordpolicy. Countermail har skrivit en bra guide om hur du skapar bra lösenord, men notera att lösenordet borde vara längre än 25 tecken om det ska skydda hela din hårddisk. Viktigt att du aldrig skriver ner lösenordet någonstans utan ta dig 20-30 minuter för att verkligen lära in lösenordet i huvudet. Ingen kommer tvinga dig att säga ditt lösenord, utan säg att du glömt det om någon frågar.

Att spara lösenord på USB-minnen eller liknande är en väldigt dålig idé då polisen har rätten att beslagta medium av detta slag. Har du externa medium så kryptera även dessa med olika lösenord. Använd Truecrypt då det är enklast och stödjer Linux, Mac och Windows. För hjälp med Truecrypt, vänligen konsultera tråden (FB) Den officiella tråden om TrueCrypt

Att använda webbläsare så som Tor Browser Bundle är bra om du vill vara anonym på nätet men kanske inte allas favorit. Att istället använda Firefox eller Chromes inkognito-mode passar de flesta bättre. I inkognito-mode så sparas inga cookies, historik, cache eller liknande utan allt stannar för sessionen. Om du ska logga in på en sida endast en gång så rekommenderas inkognito-mode.

För bästa effektivitet så avaktivera JavaScript och Java. Använd en User Agent Spoofer, Adblock och Ghostery. Jag tror dock inte jag behöver nämna att du behöver använda en pålitlig VPN-tjänst, det är absolut det viktigaste. Proxies och SOCKS ska du inte använda.

CCLeaner+CCEnhancer är två superbra verktyg som tro det eller ej försvårar rätt mycket för en forensiker. Ha som en bra vana att rensa hela datorn med CCLeaner minst 2 gånger varje dag, eller hellre en gång för mycket än för lite. När du väl ska rensa så välj ALLT förrutom "Wipe free space" då det alternativet tar några timmar. Stäng av alla program innan du börjar skanna med CCLeaner. Absolut ska du även rensa registret också. Ladda ner CCEnhancer som utökar CCLeaners rensning markant här.

CCLeaner kan ta bort rätt mycket, t.ex återställningspunkter. Om du känner att du inte behöver dessa så ta bort dem! Du hittar detta alternativet i Tools > System Restore och sedan väljer du de punkter du vill ta bort och trycker på "Remove".

Något som CCLeaner inte tar bort är de sk "Shellbags" som Windows har. Shellbags är superviktiga ur ett forensiskt perspektiv då de kan få fram en tidigare aktivitet i en dator även efter filer och mappar har tagits bort. Programmet Shellbag Analyzer & Cleaner analyserar vilka shellbags du har och möjlighet att ta bort dem. Du kommer bli rätt överraskad när du ser resultatet...


En av de viktigaste sakerna ur ett anti-forensiskt perspektiv är borttagning av data. Och detta ska ske till på ett säkert sätt, med en sk wipe. Om du raderar en fil så försvinner den inte direkt ifrån din hårddisk utan den måste först skrivas över. En wipe är en metod som skriver en "0":a(sic) över det utrymme som visas som ledigt. Det betyder att den bilden du raderade inte längre går att ta fram, även cache försvinner helt ifrån din dator. Programmet CCLeaner har denna funktion och du hittar den i Tools > Drive Wipe och Simple Overwrite(1 pass) räcker, något annat är bara väldigt mycket onödigt och tar inte bort mer data om du inte har en supergammal hårddisk(vilket du antagligen inte har).

Skulle ni bara vilja radera en fil eller ett folder så finns alternativ för det, t.ex: http://www.pendriveapps.com/freerase...file-shredder/ som är busenkelt att använda! Men ha i åtanke att en komplett wipe alltid är bättre.


Nu till något annat, nämligen timestamps. När en forensiker letar efter spår så är det viktigt att kolla efter när filer senast ändrades, rördes och skapades. Om du t.ex laddar ner en film så kan man se när denna lades in på din hårddisk för första gången vilket kan länkas till när brottet skedde. Detta vill vi alltså ändra på.

Låt mig introducera TimeStop. Ett enkelt program till Windows som låter dig ändra tiden på filer och folders via NTFS-attribut. Ladda ner Timestop.exe ifrån http://www.jonrajewski.com/resources/ och starta via Kommandotolken(CMD). Det finns även ett GUI här, men ni behöver Timestop.exe för GUI't så ladda ner båda två!

Om ni vill så ändra hela er hemkatalog, det kommer inte påverka era filers funktion. Se till att inte ändra till ett obskyrt datum som man fattar att det är falskt utan ta några dagar eller veckor innan ni skaffade filen. IT-forensikerna kommer sedan inte kunna skapa en sk. "tidslinje" för när något hände, t.ex att du först ladda ner en film, sedan VLC och sedan googlade på något annat.

Sist men inte minst så ska jag tala om Dead Man's Switch. Ni som spelat CoD vet ungefär vad detta innebär och det är sista försöket att utföra en handling innan man dör. Det finns ett riktigt bra program skapat av Björn Ringmann som heter Truepanic. Detta är ett verktyg för att utföra en sk. Killswitch. Vad man kan ställa in programmet på är att avmontera dina Truecrypt-enheter och stänga av datorn vid olika handlingar, musrörelser och ett crafted nätverkspaket vilket innebär att du kan trigga switchen ifrån din mobil! Om du är på väg ut så kan du starta programmet och om musen vidrörs så stängs datorn av vilket gör det omöjligt att utföra en diskkopia t.ex. Detta program är egentligen menat att användas med Truecrypt, men fungerar lika bra utan.

Läs mer på hans blogg(samt nerladdning): http://ensconce.me/?p=7
Se videon: https://www.youtube.com/watch?v=u6cszJrI53c
--

Nu kan vi gå tillbaka svara på frågorna jag ställde innan.

Vilken data är av värde?
Data som tyder på att aktivitet har skett. Registernycklar, timestamps, raderade filer och klartext är av värde.

Hur tas datan fram?
Genom att analysera hårddiskens innehåll och kanske kolla efter IP-adresser.

Hur kan datan användas emot dig?
T.ex om de vet att ett intrång skett mot en hemsida så kan de använda data som bevisar att du besökt hemsidan vid ett visst klockslag samt vad du gjorde på sidan.

Hur tar man bort datan?
Genom att använda ovanstående program korrekt. Man behöver inte ta bort data, utan man kan obfuskera eller kryptera den.

Detta var inte allt! Jag kommer lite senare skriva om:

• Fysisk säkerhet och hårdvarukryptering
• Mobilsäkerhet
• Avancerad obfuskering
• Manuell verifiering utav wipe
• Dina rättsliga rättigheter
• Avancerad datatampering
• Linux - timestamps, datastreams m.m
• Datakamouflage och steganografi
• Live-OS och säkerhet
• Anti-ackvisitiontekniker
• Teori

Diskussionsunderlag: diskussioner om vilken data som är av värde, hur man säkert tar bort data, hur bevisföring kan användas mot dig, vilka metoder som är säkrast för utförande av en viss uppgift, anti-forensik, anti-anti-forensik ÄR INTE tillåtet utan ta det i en annan tråd.

Har ni något program eller en metod för att förhindra att IT-forensiker eller tjuvar ska ta åt sig data som inte de ska få tillgång till? Har du synpunkter eller frågor på det jag skrivit så tveka inte att skriva ett inlägg i tråden!

Remember: Anti-forensics is not a confession of illegal activities.

/Chloë

Tack för ännu en intressant tråd!
Hur ligger det till med lånedatorer, bibliotek och andra "offentliga" datorer? Finns det risk att folk kan snoka runt i hårddisken efter lösenord och dokument?

Tack på förhand!

Absolut! Dessa datorer är oftast igång hela tiden så RAM rensas aldrig vilket gör det möjligt att plocka på sig värdefull klartext.

Om du menar att man ska utföra brott på offentliga datorer så är det en väldigt dålig idé. Du har inte kontroll över datorn så du kan inte utföra anti-forensiska metoder. Ofta har man ett konto som är kopplat till dig, men det kan även finnas videokameror och ögonvittnen som fångade dig och dessa jämförs med tider.

Annars så finns det en risk att data extraheras från hårddisken om den slängs. Du kanske har sett dokumentären om ligorna i Afrika som letade efter hårddiskar och sedan grävde de fram värdefulla dokument med mera? Just detta är ett enormt problem då företag, organisationer och privatpersoner har en dålig vana att inte rensa hårddisken innan den slängs. Att slå i sönder den anses som en anti-forensisk metod men det finns ingen anledning att vara aggressiv när ett musklick gör ett bättre jobb.

Skoldatorer brukar bara formateras om. En vän till mig bekräftade detta när han precis hade fått sin skoldator så kunde han ta fram gamla dokument, cookies och lösenord. Jag var nog den enda på min skola som körde DBAN innan jag lämnade in och ångrar mig verkligen inte!

Så länge man kör med fulldiskkryptering och håller sitt lösenord hemligt så borde det väl vara rätt overkill att köra med CCLeaner etc 2 ggr om dagen?

Ja kanske, eftersom en fulldiskkryptering skyddar hela din hårddisk. Men det finns alltid en risk att du blir utsatt för en cold boot-attack eller att ditt lösenord forceras fram.

Ingen kan svara på hur stor risken är att din fulldiskkryptering blir meningslös så därför är det bättre att vara på den säkra sidan. Man ska inte anse att en fulldiskkryptering kan skydda dig till 100%, utan kryptering är en del av hela säkerhetsaspekten.

Jag brukar alltid säga att medan Truecrypt skyddar din data så ska du skydda Truecrypt.

Återigen en grym tråd Chloe, imponerande!
Ser fram emot "Dina rättsliga rättigheter"

Har du möjligtvis någon erfarenhet angående hur effektiv den svenska polisen är?
Låt oss säga att man tunnlar sin VPN genom TOR.
Allt känsligt i en TrueCrypt fil med ett unikt och starkt lösenord, samtidigt som man eliminerat forensiska guldgruvor så att säga.

Det känns som om deras chanser för att "sätta dit" en person som tagit dessa åtgärder är lika med noll, men vad vet jag? Dom opererar oftast i de tysta och i de fall där dom tagit fast någon är det enligt mig på grund utav enorma misstag ifrån förövaren.

Fortsätt med det du gör!

Tack! Jag är som sagt relativt dålig på juridik så jag kommer konsultera med personer som besitter kunskapen och hoppas att jag skriver ett bra inlägg!

Svenska polisens IT-forensiker arbetar med ungefär samma verktyg och metoder som en vanlig IT-forensiker(ja, man behöver inte jobba hos polisen för att vara forensiker). Så baserat på de verktyg som finns tillgängliga så kan vi på ett ungefär säga hur pass effektiv den svenska polisen är.

Vi vet att de kan utföra cold-boots så man behöver ha en bra vana att stänga av sin dator när man inte använder den(kommer mer info om detta sen). Forcera lösenord sker även mot Truecrypt-volymer så starka lösenord krävs! Att begära loggar ifrån VPN-leverantörer görs inte(eftersom de inte finns) så har de inga IP-loggar eller klartext så behöver de gå på konkreta bevis, t.ex om du beställt något så kan de utföra fysisk forensik på platsen där paketet skickades till.

De kan sätta span på dig, avlyssna din telefon och höra med anhöriga så lite mer får de göra. De får beslagta allt som de anser kan vara bevisföring, t.ex spelkonsoler, mobiltelefoner, DVD-skivor och diverse medium.

Om de inte får tillgång till en hårddisk så går de till nästa så det är viktigt att om man ska utföra olagliga aktiviteter så måste man göra det på ett ställe. En del har en tendens att chatta med polare på Facebook eller IRC och då spricker det, eller kolla sina mail på mobilen. Superviktigt att minimera dina spår vilket du gör lättast genom att använda en skyddad dator.

Bra och nyttig tråd .Chloe, speciellt delen om shellbags som jag inte hade en aning om.

Såhär ser min setup ut från början till slut:

Det hela är väldigt overkill men det beror också på vad man sysslar med. Men ändå, vad har du att säga om detta?

Vad är det som gör IRC osäkert om man avaktiverat loggning? Påstår inte att det är säkert utan undrar bara då jag använder det en hel del I och för sig kan den man snackar med vara dum nog att ha loggning på.

Jag vill att det ska vara "overkill", jag ser det som positivt då den paranoide alltid överlever.

Din wipe och Truecrypt-volym ser bra ut. Vet dock inte varför du gömmer dina gamla RAM-minnen då data endast finns i dessa någon minut efter strömmen bryts.

Jag tycker du ska sätta ett lösen på din BIOS och välja att man INTE får boota ifrån USB, floppy eller CD, endast hårddisk. Om du har Firewire så plocka bort(limma igen) den då den är en DMA-källa så man kan alltså utföra en minnesdump ifrån. Du kan även limma fast dina RAM-minnen med eproxylim eftersom det är elektriskt isolerande, kostar typ 40kr.

Kan faktiskt vara bra att rensa page-filen varje gång du stänger av datorn också, finns beskrivning om hur man gör det här: https://support.microsoft.com/kb/314834

Har du viktiga filer så skapa en Truecrypt-container för dessa.

Att servern kan logga. Läs gärna FUP:en som involverade Anakata, där fick polisen ut chattloggar ifrån IRC-kanalen.

http://wlstorage.net/file/anakata/3_...SH_ENGLISH.pdf