🍗 Фізичний доступ і комп’ютерна криміналістика

Ця загроза передбачає отримання фізичного доступу до пристрою для крадіжки інформації або вчинення будь-яких дій, здатних завдати шкоди власнику.

Найпоширенішими атаками є: пряма крадіжка інформації, встановлення шкідливого програмного забезпечення та підключення зовнішніх носіїв.

Наведу приклад атаки з використанням фізичного доступу. Зловмисник підглянув ваш пароль, особисто або поставивши мініатюрну камеру неподалік від вашого комп’ютера, потім він чекає, коли ви відійдете, і встановлює програму для шпигунства за комп’ютером. Програма працює непомітно для вас, збираючи всю інформацію та надсилаючи її зловмиснику. Шпигунська програма руками додається в білі списки антивірусів, тому на них розраховувати не варто.

Програми для стеження можна придбати абсолютно легально, і призначені вони переважно для контролю за дітьми. Від шкідливого програмного забезпечення ці програми відрізняє необхідність наявності фізичного доступу до комп’ютера.

Звичайний функціонал такого програмного забезпечення охоплює запис того, що відбувається на екрані, запис усіх клавіш, що натискаються, контроль периметра за допомогою веб-камери і мікрофона, формування зручних звітів про активність користувача. Деякі програми вміють крім непомітного збору інформації ще й цензурувати роботу користувача, блокуючи доступ до деяких сайтів.

Як захищатися від такої загрози?

Насамперед потрібно додати в пароль помилкові символи: це захистить вас від любителів підглянути пароль.

Друге: поставити і налаштувати Panic Button – програму, яка захищає від несанкціонованого доступу до комп’ютера. Можна і на цьому не зупинятися: сьогодні у вільному продажу є і замки, і сейфи, і сигналізації для ноутбуків.

Інший досить поширений вид атаки – під’єднання зовнішніх пристроїв, наприклад, до вашого комп’ютера непомітно під’єднується USB-флешка. Під час завантаження системи з цієї USB-флешки вам завантажується шкідливе програмне забезпечення. На чорному ринку можна знайти пропозиції вже налаштованих флешок, зловмиснику залишиться просто вставити флешку. При цьому далеко не завжди флешка з вірусом встановлюється зловмисником, іноді вірус сам записується на флешку, а її власник є такою ж жертвою.

Шкідливе програмне забезпечення, потрапивши на комп’ютер, нерідко записує себе на всі зовнішні носії, які потім заражатимуть нові й нові пристрої. Так поширювалися і поширюються багато троянців, зокрема легендарні Sality, Zeus Citadel і Zeus Gameover. Пік популярності такого шляху поширення припав на середину двохтисячних, сьогодні він сходить нанівець, оскільки файли все частіше передають мережею.

Насправді варіантів атак при отриманні фізичного доступу значно більше: наприклад, на ваш комп’ютер може бути встановлений пристрій, що містить шпигунський імплант. Це може бути простий кабель, що з’єднує монітор із системним блоком, зовні він не відрізнятиметься від оригіналу, але в ньому міститиметься імплант, що передає зловмиснику зображення з вашого екрана.

Шпигунські імпланти – вищий рівень, що вимагає високотехнологічних рішень, зазвичай застосовується для корпоративного і державного шпигунства.

Криміналістичний аналіз

Криміналістичний аналіз – це набір технічних рішень і методик для вилучення цінної інформації з цифрових пристроїв. Криміналістичний аналіз застосовується, як правило, правоохоронними органами для пошуку цікавої для слідства інформації на пристроях підозрюваних.

Але з огляду на те що техніка і програмне забезпечення перебувають у відкритому доступі, цей інструмент може отримати будь-який зловмисник. Криміналістичний аналіз можна проводити на десктопних комп’ютерах, ноутбуках, планшетах і смартфонах. Криміналісти прекрасно вміють працювати з усіма популярними операційними системами: Windows, macOS, операційними системами на основі Linux, Android, BlackBerry та iOS. Відмінністю криміналістичного аналізу від простого фізичного доступу є застосовувані технології.

Криміналістичний аналіз велику увагу приділяє оперативній пам’яті пристрою, де можуть зберігатися цінні артефакти, наприклад, ключі шифрування, у деяких випадках застосовується атака DMA – отримання прямого доступу до оперативної пам’яті, що прийшла на зміну відомій cold boot attack.

Якщо хто не знає, cold boot attack – та сама атака, коли рідким азотом заморожують оперативну пам’ять, її витягують із пристрою, а потім з неї зчитують інформацію. Сучасна оперативна пам’ять четвертого покоління (DDR4) і старше вже не схильна до цієї вразливості. Якщо cold boot attack сьогодні вже більше історія, то файли підкачки і гібернації – області на жорсткому диску, куди зберігається інформація з оперативної пам’яті, – не втратили свою актуальність і, як і раніше, можуть багато чого розповісти про власника пристрою.

Комп’ютерні криміналісти досить часто застосовують відновлення даних на носіях, яке проводять у спеціальних лабораторіях. Навіть видалення файлу не захистить його від загрози вилучення під час криміналістичного аналізу.

Сучасні методики дають змогу досить ефективно відновлювати видалені файли. Програмні рішення для проведення криміналістичного аналізу вміло знаходять і вилучають зображення, відео, документи, листування в месенджерах, соціальних мережах, інформацію про використовувані програми, резервні копії пристроїв, збережені в хмарні сховища, історію відвідування сайтів – і це погана новина.

Наслідки фізичного доступу

Наслідки фізичного доступу можуть бути найрізноманітнішими, вони залежать від завдань, які переслідує недоброзичливець. Це може бути батько, який бажає встановити на комп’ютер сина програму для кібершпигунства (так зване приховане ПЗ для контролю за дітьми), унаслідок успіху такої атаки батько дізнається, якому порно віддає перевагу його син і яку єресь він пише дівчаткам замість любовних листів. Для начальника, чия секретарка задумала викрасти корпоративну інформацію в інтересах конкурента або, купившись на пропозиції хакерів з Даркнету, вирішила занести в корпоративну мережу шкідливий софт, все закінчиться ще сумніше, як і для його компанії.

Власнику онлайн-магазину наркотиків, до якого завітали через кватирку представники правоохоронних органів, фізичний доступ до його комп’ютера обернеться заслуженими роками за ґратами, як творцеві Silk Road Россу Ульбріхту, який відбуває довічне ув’язнення в американській в’язниці.

Але є ще кілька наслідків фізичного доступу, якими я, можливо, зможу вас здивувати. По-перше, вам можуть підкинути цифрові докази: заборонену літературу, екстремістські матеріали, дитячу порнографію або щось інше.

Насправді це не така й міфічна загроза. По-друге, у вас можуть викрасти криптовалюту, і це може бути головною метою візиту до вас недоброзичливців.

В один із днів представники Служби безпеки України з двома понятими прийшли до засновника російськомовного криптовалютного журналу ForkLog Анатолія Каплана і, пред’явивши судовий ордер, вилучили у нього всю техніку.

Обшук проводили в рамках кримінальної справи, до якої проєкт ForkLog мав непрямий стосунок, оскільки за допомогою нього підозрювані нібито міняли криптовалюту.

Загалом засновник ForkLog міг бути просто викликаний як свідок, і візит з арештом техніки явно зайвий крок. Що спонукало на нього органи? В Анатолія була криптовалюта… За словами адвоката, вже під час обшуку співробітники СБУ робили спроби перевести собі біткоїни, а наступного дня кошти, що зберігалися на вилучених в Анатолія гаманцях Ethereum, були переведені на невідомий гаманець.

По-третє, вашу техніку можуть знищити. Зараз я вам розповім одну цікаву історію. Ми часто чуємо, що користувачі в Росії та низці інших країн отримують штрафи і навіть реальні або умовні терміни за лайки, коментарі та репости в соціальних мережах. Але мало хто з вас знає, що штраф іноді не найстрашніше в подібних історіях, коли суд визнає комп’ютер знаряддям вчинення злочину з подальшим його знищенням.

Так, у Свердловській області слухалася справа про екстремізм. Обвинувачений Володимир скачав і виклав у публічний доступ ролики, які були визнані екстремістськими. Звичайна історія, якими нині не здивувати, проте цікавим є вирок, у рамках якого, крім штрафу, суд постановив знищити комп’ютер Володимира. На дворі був 2011 рік, і після цього аналогічні заходи щодо комп’ютерів і ноутбуків вживали ще не раз.

Найгучніший подібний випадок у Росії стався з матір’ю-одиначкою Катериною Вологженіновою, яку за репости на свою сторінку картинок на підтримку України було засуджено до 320 годин виправних робіт, а її комп’ютер і мишку суд ухвалив знищити як знаряддя скоєння злочину.

Чесно кажучи, познайомившись зі змістом картинок, я так і не зміг зрозуміти, де там цей самий екстремізм, але Суду “видніше”.

Хороший комп’ютер або ноутбук коштує понад $2000, на ньому може зберігатися цінна інформація, резервних копій якої не зроблено, тому, навіть припустившись помилки з лайком або репостом, бажано не допустити кого-небудь до свого комп’ютера. Адже щоб довести, що конкретний комп’ютер використовувався для публікації повідомлень, потрібно отримати доступ і провести криміналістичний аналіз активності в соціальних мережах.

Додати коментар