反计算机取证
反电脑鉴识,又称反鉴识,指的是对鉴识分析的反制。
定义
[编辑]反鉴识是一门于较后期才得到合法承认的研究领域,其有着各种不同的定义,当中又以普渡大学的马克·罗杰斯(Marc Rogers)所下的定义最为人接受。罗杰斯的定义如下:“[任何]企图对犯罪证据的有没、数量、质量产生不利影响,或使证据难以/无法分析[的行动]”[1]。《飞客杂志》于2002年详细介绍了反鉴识的技巧,当中定义反鉴识为“移除或藏匿证据,以图减低鉴识侦查的效力”[2]。
斯科特·贝里纳托(Scott Berinato)在文章《反鉴识的崛起》中给出了一个更为简略的定义:“反鉴识不仅仅只是一门技术,其还是一门应对黑客犯罪的手段。这点基本可总结为:在让他们难以找到你之馀,又让他们不可能证明找对人”[3]。
子分类
[编辑]反鉴识方法一般分成几个大类。马库斯·罗杰斯所创立的分类是当中较为人接受的一个,他把反鉴识方法分成四类:数据隐藏(data hiding)、资料抹除(artifact wiping)、踪迹混淆(trail obfuscation)、攻击电脑鉴识过程和工具[1]。直接攻击鉴识工具的手段可称为反鉴证[4]。
宗旨与目标
[编辑]在数位鉴识领域当中,反鉴证手段的宗旨与目标有著很大争议。不少人[谁?]认为反鉴证工具百害而无一利。而另一些人则认为,应该以这些工具去说明数位鉴识的不足。在2005年的黑帽安全技术大会上,反鉴证工具的创作者詹姆斯·福斯特(James Foster)和维尼·刘(Vinnie Liu)便表达了这种观点[5]。他们表示,透过找出这些问题,鉴证人员将不得不更加努力地证明所收集到的证据是准确可靠的。故此他们相信这能提升鉴识教育和工具的水平。此外反鉴证对于防范间谍活动也有著正面意义,因为他们的手法可能跟鉴证人员类似。
数据隐藏
[编辑]数据隐藏是指让数据难以找到之馀,又维持其可获得性的过程。“数据模糊化和加密让对抗者可以限制调查人员所识别和收集到的证据,同时令自身能够接触和使用之。” [6]
加密和隐写术等等建基于软硬件的技术常用于进行数据隐藏,它们使得鉴证人员难以检验数据。若对抗者混合采用各种不同的数据隐藏方法,那么鉴证调查将难以有效执行。
加密
[编辑]数据加密是对抗电脑鉴识的常见手段。电脑安全部副部长保罗·亨利(Paul Henry)表示,加密是“鉴识专家的梦魔”[7]。
加密技术透过运算等方式,使得资讯化为密文,让获得密文的第三方,在没有金钥的情况下,较难得知资讯的意义[8]:3-4、27。
隐写术
[编辑]隐写术指的是将资讯或档案隐藏在另一个档案之下的技术,这能让它不被鉴证人员察觉。“隐写术所产生的黑暗数据,通常埋藏于明面数据之下。(好比如埋藏在数码照片当中的浮水印)”[9]。一些专家认为会用到隐写术的人十分稀少,故不值得花费精力去对付。但大多专家都会同意,若果使用得当,隐写术本身也能够破坏鉴证过程[3]。
杰弗里·卡尔(Jeffrey Carr)称,2007年版的恐怖主义双月刊《技术圣战者》(Technical Mujahid)讲述了使用隐写术程式“圣战者的秘密”(Secrets of the Mujahideen)的重要性。支持者认为该一款程式能够透过隐写术和文件压缩,来反制隐写分析程式[10]。
其他方法
[编辑]对抗者亦可透过工具和技术来把数据隐藏于电脑系统的各个位置。比如“记忆体、碎片化空间、隐藏路径、坏区块、备用数据流、隐藏分割区”[1]。
Slacker是一款能够实现数据隐藏的著名工具[11]。它会把目标档案分割,然后再把它们插入到其他档案的碎片化空间,使之不能被鉴证工具检出[9]。除此之外,对抗者也可透过把特定的轨道设定为“坏轨”,来使之不被鉴证工具侦测[9]。
资料抹除
[编辑]资料抹除是指任何永久清除特定文件或整个文件系统的方法[1]。系统的删除功能一般只是把被删除的档案标记为可以覆写,并没有把它从储存装置中删除。故此对抗者会以抹除手段使之从储存装置中彻底删除[8]:3-28。这点可以透过各种方法来实现,比如硬碟抹除工具、文件抹除工具、硬碟消磁/破坏[1]。
硬碟抹除工具
[编辑]硬碟抹除工具以各种方法来覆写硬碟中的有效数据。一些专家认为它们不是很有效。因为根据美国国防部的政策,唯一可以接受的硬碟抹除方法就只有消磁。部分程式也因会留下文件系统已被抹除的痕迹,而受到了批评。硬碟抹除工具的例子有Darik's Boot and NukeDBAN、srm、BCWipe Total WipeOut、KillDisk、PC Inspector、CyberScrubs cyberCide。此外磁性记录研究中心的安全擦除方案也是较为有效的手段。它已得到美国国家标准技术研究所和国家安全局承认。
档案抹除工具
[编辑]档案抹除工具能把系统内的独立档案删除。与硬碟抹除相比,档案抹除所花的时间明显较少,而且只会产生小量的痕迹。其有两个主要缺点,第一就是它需要用户发起,第二就是该些程式可能没有完全删除档案的元信息[12][13]。档案抹除工具的例子有BCWipe、R-Wipe & Clean、Eraser、Aevita Wipe & Delete、CyberScrubs PrivacySuite。像shred和srm般的GNU/Linux工具亦能抹除单个文件[14][15]。固态硬盘相对较难抹除,因为固件会把数据写入其他单元,使其最终能够恢复。在这种情况下,则可用到像hdparm的工具,籍其运行ATA Secure Erase指令来抹除档案[16]。
硬碟消磁/破坏
[编辑]硬碟消磁指的是往数码媒体装置施加磁场的过程。这能使得此前储存于装置内的全部数据皆被清除。由于消磁机需花费当事人一定费用才能得到,故这种反鉴证方法相对较少应用。
与上述方法相比,较多人会选择去破坏硬碟本身。国家标准技术研究所表示:“可用到各种方法来进行实体破坏,包括拆解、焚毁、弄碎、撕碎、熔掉”[17]。
踪迹混淆
[编辑]踪迹混淆的目的在于蒙骗和迷惑鉴证人员/工具,或转移其焦点。能够达至踪迹混淆效果的工具和技巧有“记录消除器、欺骗、错误资讯、骨干跳跃、僵尸帐号、木马指令”[1]。
Timestomp为一款著名的踪迹混淆工具[11],它能够修改跟存取、建立、修改时间有关的档案元数据[3]。
Transmogrify是另一款较常应用的踪迹混淆软件[11]。大多文件的表头包含了识别资讯,比方说.jpg即表示档案为jpg档,.doc则表示档案为doc档。Transmogrify使得用户能够修改档案的表头资讯,比如可由.jpg表头修改成.doc表头,令锁定图像格式的鉴证工具不把它视为图像,继而跳过之[3]。
攻击电脑鉴证过程和工具
[编辑]过去的反鉴证工具大多侧重于破坏数据、隐藏数据、改变数据元信息这几个范畴。不过后来的反鉴证工具和技术重点则转移到攻击鉴证工具本身。有好几个因素导致这种趋势的出现:鉴证程序开始为人熟知、广为人知的鉴证工具漏洞、电脑鉴证人员对工具的依赖[1]。
鉴证人员在典型的取证过程中会建立映像副本,以避免鉴证工具影响原电脑(证据)本身。为了确定映像的完整性,鉴证检验软件一般会产生密码杂凑函数。于是程式设计者便制作了使证据本身受到质疑的反鉴证工具,它们会修改映像的密码杂凑函数[1]。
物理
[编辑]以下方法可阻止他人实体性地接触数据:
- 像USBGuard和USBKill般的软件会采用USB认证策略。一旦连接的USB设备不符合条件,它便会开始执行特定操作[18]。在丝路的管理员罗斯·乌布利希被捕后,开发者们便针对他的被捕情况,开发出一些反鉴证工具。它们能够检测电脑是否被夺走。若是,便会自动关机。因此若电脑经过全盘加密,鉴证人员便难以取得储存于内的数据[19][20]。
- 不少装置皆设有肯辛顿锁孔,可以以其阻止他人抢走装置。
- 也可利用电脑机箱的入侵探测功能或传感器(比如光感测器)来进行反鉴证——使之一旦符合特定的物理条件,便会点燃预先装上的炸药,炸毁整台电脑。在部分司法区域,此一方法为法律不容,因为它可能伤害未经授权的用户,并破坏了证据本身[21]。
- 可拆下手提电脑的电池,使之只能在连接到电源时运作。一旦切断电源,其便会关机,造成数据丢失。
鉴证人员可能会实施冷启动攻击,以检索关机后在随机存取记忆体中保留几秒钟到几分钟的可读内容[22][23][24]。对随机存取记忆体进行低温冻结可进一步使保留时间延长[25]。在关机前覆写记忆体可以对抗这种鉴证手段;一些反鉴证工具甚至会检测RAM的温度,当温度低于某个阈值时,就会关掉电脑[26][27]。
开发者已尝试制造出能够防止他人篡改的台式电脑。不过安全研究员兼Qubes OS开发者乔安娜·鲁特克丝卡则对这种方法表示质疑[28]。
参见
[编辑]参考资料
[编辑]- ^ 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.7 Rogers, D. M. Anti-Forensic Presentation given to Lockheed Martin. 2005.
- ^ (2002). The Grugq. Defeating Forensic Analysis on Unix.. Phrack Magazine. 2002 [2019-09-06]. (原始内容存档于2019-09-11).
- ^ 3.0 3.1 3.2 3.3 Berinato, S. The Rise of Anti Forensics. CSO Online. 2007 [2008-04-19]. (原始内容存档于2008-06-23).
- ^ Hartley, W. Matthew. Current and Future Threats to Digital Forensics (PDF). 2007 [2010-06-02]. (原始内容 (PDF)存档于2011-07-22).
- ^ Black Hat USA 2005 – Catch Me If You Can – 27July2005. Foster, J. C., & Liu, V. (2005). [2016-01-11]. (原始内容存档于2016-01-19).
- ^ Peron,, C.S.J. Digital anti-forensics: Emerging trends in data transformation techniques. (PDF). [2020-09-05]. (原始内容 (PDF)存档于2008-08-19).
- ^ Henry, P. A. Secure Computing with Anti-Forensic. 2006 [2020-09-05]. (原始内容存档于2016-05-26).
- ^ 8.0 8.1 王旭正; 林祝兴; 左瑞麟. 科技犯罪安全之數位鑑識-證據力與行動智慧應用, EU31309. 博硕文化股份有限公司. 2013. ISBN 9789862017609.
- ^ 9.0 9.1 9.2 Berghel, H. Hiding Data, Forensics, and Anti-Forensics. Communications of the ACM. 2007, 50 (4): 15-20.
- ^ Carr, J. Anti-Forensic Methods Used by Jihadist Web Sites. 2007 [2008-04-21]. (原始内容存档于2012-07-30).
- ^ 11.0 11.1 11.2 Metasploit Anti-Forensics Project (MAFIA) - Bishop Fox. Vincent Liu. [2016-01-11]. (原始内容存档于2016-01-19).
- ^ Oliver Powell. Myths about Disk Wiping and Solid State Drives. steller. 2020-03-26 [2020-09-05]. (原始内容存档于2016-03-19).
- ^ WHAT IS DATA DESTRUCTION, THE BEST WAYS TO ERASE YOUR DATA SECURELY. Allgreen. [2020-09-05]. (原始内容存档于2022-03-30).
- ^ shred(1) - Linux man page. die.net. [2020-09-05]. (原始内容存档于2020-05-10).
- ^ Ubuntu Manpage: srm - secure remove (secure_deletion toolkit). Ubuntu manuals. [2020-09-05]. (原始内容存档于2017-08-29).
- ^ Secure Erase and wipe your SSD, will it work?. Dr Bob Tech Blog. 2017-03-22 [2020-09-05]. (原始内容存档于2017-10-23).
- ^ Kissel, R.; Scholl, M.; Skolochenko, S.; Li, X. Guidelines for Media Sanitization. Gaithersburg: Computer Security Division. National Institute of Standards and Technology. 2006.
- ^ usbguard. github. [2020-09-05]. (原始内容存档于2020-08-26).
- ^ usbkill. github. [2020-09-05]. (原始内容存档于2020-09-09).
- ^ silk-guardian. github. [2020-09-05]. (原始内容存档于2020-08-10).
- ^ Destruction of Evidence Law and Legal Definition. uslegal. [2020-09-05]. (原始内容存档于2017-07-06).
- ^ Halderman, J.A; et al. Lest We Remember: Cold Boot Attacks on Encryption Keys (PDF). 17th USENIX Security Symposium. [2020-09-05]. (原始内容存档 (PDF)于2020-07-18).
- ^ Carbone, R.; Bean, C.; Salois, M. An in-depth analysis of the cold boot attack Can it be used for sound forensic memory acquisition? (PDF). Defence R&D Canada – Valcartier. 2011 [2020-09-05]. (原始内容 (PDF)存档于2020-07-22).
- ^ Yitbarek, Salessawi Ferede; Aga, Misiker Tadesse; Das, Reetuparna; Austin, Todd. Cold Boot Attacks are Still Hot:Security Analysis of Memory Scramblers in Modern Processors (PDF). 2017 IEEE International Symposium on High Performance Computer Architecture. 2017: 313–324 [2020-09-05]. doi:10.1109/HPCA.2017.10. (原始内容 (PDF)存档于2020-09-18).
- ^ Mike Szczys. FREEZING ANDROID TO CRACK THE ENCRYPTION. hackaday. 2013-02-20 [2020-09-05]. (原始内容存档于2017-11-05).
- ^ Protect Linux from cold boot attacks with TRESOR. Linuxaria. 2012-04-05 [2020-09-05]. (原始内容存档于2016-08-26).
- ^ Protection against cold boot attacks. Tails. [2020-09-05]. (原始内容存档于2020-06-14).
- ^ Thoughts on the "physically secure" ORWL computer. 2016-09-03 [2020-09-05]. (原始内容存档于2019-10-08).
外部链接
[编辑]- Evaluating Commercial Counter-Forensic Tools
- Counter-Forensic Tools: Analysis and Data Recovery(页面存档备份,存于互联网档案馆)
- http://www.informatik.uni-trier.de/~ley/db/conf/dfrws/dfrws2005.html(页面存档备份,存于互联网档案馆)
- http://www.dfrws.org/2006/proceedings/6-Harris.pdf(页面存档备份,存于互联网档案馆)
- Anti-Forensics Class(页面存档备份,存于互联网档案馆) Little over 3hr of video on the subject of anti-forensic techniques