Τεχνολογίες παρεμπόδισης ψηφιακών πειστηρίων (Anti-forensic tools/tecniques)

Εισαγωγή

επεξεργασία

Η αντί-εγκληματολογία είναι ένας γενικός όρος που αφορά τις τεχνικές που λαμβάνονται σε ένα ψηφιακό έγκλημα προκειμένου οι κακόβουλοι χρήστες να εμποδίσουν αποτελεσματικά τις διερευνητικές διαδικασίες των αρμόδιων. Οι μεθοδολογίες που χρησιμοποιούνται κατά των διαδικασιών ηλεκτρονικής εγκληματολογίας ονομάζονται συλλογικά Anti-Forensics. Συχνά χωρίζονται σε διάφορες κατηγορίες και υποκατηγορίες με σκοπό να κάνουν την ταξινόμηση των εργαλείων απλούστερη. Οι κατηγορίες στις οποίες χωρίζονται είναι η Απόκρυψη δεδομένων η οποία εμπεριέχει την κρυπτογράφηση, την στενογραφία και άλλες μορφές απόκρυψης δεδομένων. Το Σκούπισμα των αντικειμένων που περιέχει βοηθητικά προγράμματα καθαρισμού δίσκου, καθαρισμού αρχείων και τεχνικές απενεργοποίησης ή καταστροφής του δίσκου. Η Συρρίκνωση του μονοπατιού και η Επίθεση κατά της εγκληματολογίας των υπολογιστών. Το πρόγραμμα με το οποίο θα ασχοληθούμε χρησιμοποιεί κυρίως την πρώτη τεχνική με απόκρυψη δεδομένων και ονομάζεται InvisiMole.

Λειτουργία

επεξεργασία

Η λειτουργία του InvisiMole φαίνεται να γίνεται αντιληπτή τουλάχιστον από το 2013 χωρίς όμως κανένας να αποκλείει το γεγονός να υπήρχε πιο πριν και να έγινε αντιληπτή τα επόμενα χρόνια. Πιο συγκεκριμένα, η πρώτη φορά που εντοπίστηκε κακόβουλο λογισμικό της InvisiMole ήταν το έτος 2018 και μέσω ερευνών ανακαλύφθηκε ότι υπάρχει από παλαιότερα. Οι δυνατότητες που περιέχει το ταξινομούν ως σύνθετο λογισμικό υποκλοπής με απροσδιόριστη προέλευση που μπορεί να φέρει σε λειτουργία διάφορες ενέργειες προκειμένου να αποσπάσουν πληροφορίες των χρηστών που έχουν θέση ως στόχο επίθεσης. Οι λειτουργίες αυτές αφορούν την παρακολούθηση της γεωγραφικής θέσης των θυμάτων, την κατασκοπεία μέσω κάμερας ή μικροφώνου και την εισβολή σε έγγραφα με σκοπό να κλέψουν ότι τους ενδιαφέρει. Ακόμα η ομάδα του InvisiMole ανανέωσε το λογισμικό του χρησιμοποιώντας πρωτόκολλα μεταφοράς (MTP) προκειμένου να μπορούν να κλέβουν δεδομένα από κινητά τηλέφωνα που είναι συνδεδεμένα με τον μολυσμένο υπολογιστή. Προκειμένου να μην γίνει αντιληπτεί η λειτουργία του κακόβουλου αυτού λογισμικού χρησιμοποίησε νόμιμα εργαλεία πάνω στα windows όπως είναι η νόμιμη βιβλιοθήκη mpr.dll και τοποθετώντας το φάκελο αυτό στον ίδιο φάκελο με το explorer.exe κατά την εκκίνηση περιήγηση των Windows αντί να φορτώσει η νόμιμη βιβλιοθήκη φορτώνεται το κακόβουλο λογισμικό. Ωστόσο, το InvisiMole για να εκτελεί τις δραστηριότητες του βασίζεται σε δύο backdoors (RC2CL και RC2FM) τα οποία αποτελούνται από πλούσια χαρακτηριστικά δίνοντας τον έλεγχο του μολυσμένο υπολογιστή στον κακόβουλο χρήστη με σκοπό να μπορεί να το κατασκοπεύσει ανά πάσα ώρα και στιγμή.

Επιθέσεις

επεξεργασία

Όσον αφορά τις επιθέσεις οι ερευνητές της κυβερνοασφάλειας ανακάλυψαν μετά από πέντε χρόνια μια αόρατη ομάδα που δραστηριοποιείται με στοχευμένες επιχειρήσεις κατασκοπείας στον κυβερνοχώρο της Ανατολική Ευρώπη και πιο συγκεκριμένα στην Ουκρανία και στην Ρωσία. Η ομάδα των ερευνητών ESET βρήκε αποδεικτικά στοιχεία που αποκαλύπτουν τις τεχνικές με τις οποίες το InvisiMole εκμεταλλεύτηκε τις νόμιμες εφαρμογές με σκοπό να πραγματοποιεί κρυφά τις κακόβουλες επιχειρήσεις. Ωστόσο, η σημαντική ανακάλυψη ήρθε όταν εντοπίστηκε δεύτερη ομάδα κακόβουλου λογισμικού που άνοιγε το δρόμο στην InvisiMole προκειμένου να διατηρείται αόρατη. Η ομάδα αυτή ονομάζεται Gamaredon και σύμφωνα με στοιχεία των ερευνητών έχει μακρά ιστορία στο χώρο των κυβερνοεπιθέσεων εναντίον ουκρανικών ιδρυμάτων. Ο ρόλος του Gamaredon είναι να μολύνει το θύμα και η τεχνική που χρησιμοποιεί είναι το ονομαζόμενο spear phishing. Αυτή η τεχνική για να αναπτυχθεί θα πρέπει οι εισβολείς να αποκτήσουν δικαιώματα διαχειριστή και αφού γίνει αυτό αναλαμβάνει δράση η ομάδα του InvisiMole. Σύμφωνα με τους ερευνητές ανακαλύφθηκαν τα ονόματα των κακόβουλων αυτών ομάδων αλλά όχι τα μέλη από τα οποία απαρτίζονται οι ομάδες, έτσι οι έρευνες συνεχίζονται μέχρι να πετύχουν το επιθυμητό αποτέλεσμα.

https://www.welivesecurity.com/2020/06/18/digging-up-invisimole-hidden-arsenal/

https://www.infosecurity-magazine.com/news/eset-insights-cyber-espionage/

https://www.izoologic.com/2020/07/05/the-resurgence-of-the-invisimole-malware/

Evidence Eliminator

επεξεργασία

Εισαγωγή

επεξεργασία

Το Evidence Eliminator (ΕΕ) ήταν πρόγραμμα αποκλειστικά για windows και είχε γραφτεί από την Robin Hood Software, σκοπός του προγράμματος η διαγραφή αρχείων και εκκαθάριση ιχνών από διαγραμμένα αρχεία στον δίσκο ενός υπολογιστή, το πρόγραμμα κυκλοφόρησε τον Μάρτιο του 2010 και το 2012 η εταιρία κατηγορήθηκε για το πρόγραμμα λόγο κάποιον παραβιάσεων καθώς η ενέργειες και οι μέθοδοι του προγράμματος θεωρούνται παράνομες και Anti-Forensic για λογισμικά ανάλυσης δεδομένων από κατασκόπους, ερευνητές και επίσης από την επιβολή του νόμου. Το ΕΕ είχε δοκιμαστική άδεια χρήσης 30 ημερών και το κόστος ήταν 149.95 αμερικάνικων δολαρίων, έγινε γνωστό από διαφημίσεις σε διάφορες ιστοσελίδες με pop-up και δημοσιεύσεις από διάφορα reviews από περιοδικά που σχετίζονταν με υπολογιστές, το πρόγραμμα ήταν πολύ διάσημο επίσης γιατί κυρίως καθάριζε άχρηστα αρχεία για πολλούς όπως χρησιμοποιείται σήμερα το ccleaner.

Μέθοδοι και Λειτουργίες

επεξεργασία

Το EE είχε σχεδιαστεί για να καθαρίζει ευαίσθητο περιεχόμενο έτσι ώστε να μην μπορεί πότε να υπάρξει κάποια απόδειξη ή κάποιο ίχνος, ότι έχουν υπάρξει ποτέ ακόμα και αν έχουν γίνει ποτέ ενέργειες που θα μπορούσαν να εκθέσουν το χρήστη για κάποια παράνομη ενέργεια ή ανήθικη πράξη στον υπολογιστή. Η εφαρμογή με την εκκαθάριση κάνει τα εξής :

  1. Διαγράφει οριστικά από τα Windows αρχεία SWAP, καταγραφές εφαρμογών, προσωρινά αρχεία των windows, κάδο ανακύκλωσης, αντίγραφα ασφαλείας μητρώου και δεδομένα από τα πρόχειρα αντίγραφα.
  2. Από το μενού έναρξης διαγράφει όλο το ιστορικό αναζήτησης και οποιοδήποτε πρόσφατο αρχείο και κάθε είδους εύρεσης αρχείων και ενεργειών που έχει αποθηκευτεί από τον χρήστη.
  3. Από τον internet explorer καθαρίζει ιστορικό, καταγραφές, λίστες με αγαπημένα sites, cookies, κωδικούς πρόσβασης και λίστες με αρχεία λήψης.
  4. Από windows media player διαγράφει ιστορικό και λίστες αναπαραγωγής από τη βιβλιοθήκη.
  5. Από το Netscape Navigator cookies,ιστορικό, από Netscape mail απεσταλμένα, διαγραμμένα και κρυφά αρχεία.

Γενικά το πρόγραμμα μπορεί να καθαρίσει και επιλεγμένα αρχεία κρυφά αρχεία και καταγραφές τοποθεσίας χωρίς να αφήσει ίχνη στον δίσκο από τίποτα και γενικά η χρήση του ήταν και για προστασία από διάφορα που θα θεωρούσαμε πως γίνονται με κακόβουλη χρήση για τον υπολογιστή, για παράδειγμα η διαγραφή ενός κακόβουλου αρχείου από τον δίσκο άλλα και αρχεία δίσκου που κάνουν καταγραφή. Όπως είναι γνωστό ότι και να γραφτεί πάνω στον δίσκο μένει εκεί ακόμα και αν εμείς δεν μπορούμε να το δούμε η να το εντοπίσουμε.

Νομικά και Άδεια Χρήσης

επεξεργασία

Η άδεια χρήσης του προγράμματος είναι όπως μια τυπική που απαγορεύει την αντιγραφή την μεταπώληση, προστατεύει τα πνευματικά δικαιώματα της εφαρμογής και είναι νόμιμη στη χρήση. Αλλά όχι και τόσο καθώς οι μέθοδοι που χρησιμοποιεί η εφαρμογή το καθιστούν παράνομο στην χρήση του ακόμα και ο τρόπος περιγραφής του παρουσιάζεται για την αποφυγή των ειδικών και τον digital forensics ώστε να βγουν λανθασμένες και χωρίς στοιχεία ιατροδικαστικές έρευνες. Έτσι αυτό είχε ως αποτέλεσμα να απασχολήσει τις αρχές στην Αμερική και η εφαρμογή να έχει κερδίσει στους πωλητές έως και 25 εκατομμύρια δολάρια από τις πωλήσεις σε χρήστες, αν και απαγορευμένο στο διαδίκτυο υπάρχουν ακόμα πηγές που μπορεί ένας χρήστης να κατεβάσει το .exe αρχείο του προγράμματος άλλα μη αξιόπιστα και πάντα με τις προειδοποιήσεις ότι αυτό το πρόγραμμα είναι anti-forensics με τις μεθόδους που χρησιμοποιεί και όταν το κατεβάζεις το κάνεις με δική σου ευθύνη.

Το BleachBit είναι ένας καθαριστής δίσκου, διαχειριστής της ιδιωτικότητας του χρήστη, όπως επίσης και βελτιστοποιητής απόδοσης του συστήματος του υπολογιστή. Είναι ανοιχτού κώδικα υπό την άδεια χρήσης του GNU General Purpose Public License, συνεπώς καλύπτεται από τις 4 ελευθερίες το OSI. Το BleachBit είναι γραμμένο στην γλώσσα προγραμματισμού Python και υποστηρίζεται από τα 3 κύρια λειτουργικά συστήματα Linux, Windows και Mac OS. Έχει μεταφραστεί σε 64 γλώσσες και χρησιμοποιεί το PyGTK για την γραφική διεπαφή με τον χρήστη. Το PyGTK είναι ένα σύνολο από Python wrappers για τη βιβλιοθήκη γραφικών διεπαφής χρήστη GTK. Το PyGTK είναι ανήκει στην οικογένεια του ελεύθερου λογισμικού αφού υπάγεται στην LGPL άδεια χρήσης. Ο αρχικός εκδότης του λογισμικού είναι ένας προγραμματιστής του GNOME PROJECT με όνομα James Henstridge. Το PyGTK θα μπορούσε να θεωρηθεί ανάλογο με to PyQT.

Το BleachBit κυκλοφόρησε για πρώτη φορά το 2008 σε μία έκδοση για το λειτουργικό σύστημα Linux, η όποια δημιούργησε μία διαμάχη στην κοινότητα για το αν είναι απαραίτητος ένας log cleaner στο Linux. Το 2009 μαζί με την έκδοση 0.4.0 παρουσιάστηκε ένα από το κύρια χαρακτηριστικά της εφαρμογής με το οποίο ο χρήστης μπορεί να γράψει τους δικούς του log cleaners με χρήση της γλώσσας XML. Το έτος 2009 και με την έλευση της έκδοσης 0.5.0 της εφαρμογής, κατέστη δυνατή η εγκατάσταση σε Windows περιβάλλοντα αφού η πλέον τα λειτουργικά συστήματα Windows XP, Windows Vista και Windows 7 εισήλθαν στον κόσμο του BleachBit. Τον ίδιο χρόνο με την ανακοίνωση της έκδοσης 0.6.4 η εφαρμογή μπορούσε να χρησιμοποιηθεί και μέσω γραμμής εντολών. Η εγκατάσταση του BleachBit στις διανομές Linux είναι απλή υπόθεση αφού το μόνο που χρειάζεται είναι ο χρήστης να το κατεβάσει και εγκαταστήσει από το επίσημο αποθετήριο της διανομής του. Στα Windows είναι επίσης απλή υπόθεση αφού υπάρχει αρχείο προς εγκατάσταση στην ιστοσελίδα του προγράμματος.

Κατά την διάρκεια της θητείας της ως Γραμματέας της Κυβέρνησης των ΗΠΑ την περίοδο 2009-2013 και πρόεδρο τον Barack Obama, η Hillary Clinton χρησιμοποιούσε έναν ιδιωτικό εξυπηρετητή email για την επίσημη δημόσια επικοινωνία της σε αντί των επισήμων ομοσπονδιακών εξυπηρετητών. Αυτό δημιούργησε μία διαμάχη και το FBI κατέληξε να αναλύει τον ιδιωτικό εξυπηρετητή με πολλά υποσχόμενο περιεχόμενο. Πιο συγκεκριμένα η ανάλυση του FBI έδειξε ότι υπήρχαν πάνω από 100 email με απόρρητα δεδομένα από τα οποία τα 65 θεωρούνταν «secret» και τα 22 «Top Secret». Συμπληρωματικά σε 2,093 αποδόθηκε ο τίτλος απόρρητα από το FBI. Το 2014 και μερικούς μήνες πριν γνωστοποιήθει η ύπαρξη του ιδιωτικού εξυπηρετητή, ο επικεφαλής προσωπικού της Hillary Clinton, Cheryl Mills συνοδευόμενος από δύο δικηγόρους προσπάθησαν αναγνωρίσουν και διαφυλάξουν τα email που σχετιζόταν με την εργασία, με σκοπό την παράδοσή τους στο FBI. O Mills λίγο καιρό πριν το την γνωστοποίηση εξυπηρετητή, ήρθε σε επικοινωνία με την Platte River Networks (PRN), τεχνική εταιρεία που είχε αναλάβει την συντήρηση του εξυπηρετητή, και ζήτησε να αλλάξει η συχνότητα που τα emails διαγράφονται σε 60 ημέρες, επιτρέποντας έτσι την μαζική διαγραφή 31,830 παλαιότερων emails να μην δούνε το φως της δημοσιότητας. Μετά την γνωστοποίηση της ύπαρξης του εξυπηρετητή, ο Mills έστειλε ένα email στην PNR για την διαγραφή των email μίας και ο τεχνικός που είχε αναλάβει την διαγραφή τους δεν προέβη ποτέ σε κάποια κίνηση διεκπεραίωσης του αιτήματος. Σε μία αγχωτική κατάσταση και γνωρίζοντας ότι ο χρόνος είναι λιγοστός, ο τεχνικός στο FBI ανέφερε ότι χρησιμοποίησε το BleachBit για την διεκπεραίωση του αιτήματος διαγραφής των emails. Το 2016 το FBI δήλωσε ότι το προσωπικό της Hillary Clinton είχε χρησιμοποιήσει το BleachBit για την διαγραφή των emails. Το BleachBit από εκείνη την ημέρα δήλωσε ότι η κίνηση στο δίκτυο της αυξήθηκε αρκετά.

Εισαγωγή

επεξεργασία

H ενασχόληση με ευαίσθητες πληροφορίες απαιτεί μεθόδους ασφαλής διατήρησής τους. Ένα επίπεδο ασφάλειας που μπορεί να εφαρμοστεί για το σκοπό αυτό είναι η εφαρμογή κρυπτογράφησης σε αρχεία και email. Το CryptoMite είναι ένα γρήγορο και πολύ εύκολο στη χρήση πρόγραμμα που μπορεί να κλειδώσει και να αποκλείσει την πρόσβαση σε αρχεία κάθε τύπου ακόμη και σε ολόκληρες δομές καταλόγου. Για αυτό χρησιμοποιεί ισχυρή κρυπτογράφηση, η κρυπτογράφηση αναγνωρίζεται παγκοσμίως ως άθραυστη.

To CryptoMite είναι λογισμικό κρυπτογράφησης που χρησιμοποιείται για αρχεία και email με απλή διαδικασία εφαρμόσιμη από κάθε χρήστη έμπειρο η μη. Το συγκεκριμένο λογισμικό ενσωματώνεται τέλεια με τα Windows και έχει διάφορα επίπεδα επιλογών.

Πρόκειται για λογισμικό της εταιρείας Πληροφορικής «BAxBEx Software» που εδρεύει στη Γερμανία Η τιμολόγηση του CryptoMite ξεκινά από 29,95 $ ως εφάπαξ πληρωμή, ανά χρήστη, δεν προσφέρεται ως δωρεάν έκδοση μόνο για δωρεάν δοκιμή.

Περιγραφή

επεξεργασία

Το CryptoMite είναι ένα εργαλείο ασφαλείας για χρήστες των Windows που καθιστά ασφαλές το αρχείο ή το φάκελο από μη εξουσιοδοτημένη πρόσβαση. Κρυπτογραφεί κάθε είδος αρχείου προσφέροντας υψηλά επίπεδα ασφάλειας στους χρήστες. Μπορεί να ισχύει για ένα μόνο αρχείο ή κατάλογο ή για όλους τους υποκαταλόγους. Είναι πολύ εύκολο στη χρήση και ενσωματώνεται εύκολα με το μενού δεξιού κλικ. Αυτό το λογισμικό χρησιμοποιεί εξαιρετικά ασφαλή μέθοδο κρυπτογράφησης που το καθιστά ιδιαίτερα αξιόπιστο και αποτελεσματικό. Ενσωματώνεται αυτόματα με το Microsoft Outlook, έτσι ώστε ο χρήστης να μπορεί να στείλει εύκολα κρυπτογραφημένα δεδομένα μέσω του μενού που παρέχεται από αυτό το λογισμικό. Ο χρήστης μπορεί επίσης να επιλέξει τον αλγόριθμο από τις καρτέλες αλγορίθμου που πρόκειται να χρησιμοποιήσει για την ανακατασκευή του. Χρησιμοποιεί 7 αλγόριθμους για κρυπτογράφηση που είναι AES, Twofish, Mars, Cast 256, Blowfish, gost και SCOP. Έχει πολύ φιλική προς το χρήστη διεπαφή, αλλά υποστηρίζει επίσης ρυθμίσεις ασφαλείας αρχείων και φακέλων μέσω γραμμής εντολών.

Η κύρια διεπαφή CryptoMite επιτρέπει τον προσδιορισμό των επιλογών κρυπτογράφησης που εκτελούνται από το μενού περιβάλλοντος, δίνει πρόσβαση σε επιλογές email καθώς και τη δυνατότητα απόκρυψης μονάδων δίσκου και καταλόγου και ορισμού κωδικών πρόσβασης για αρχεία .EXE. Σε κάθε περίπτωση απαιτείται το λογισμικό CryptoMite εγκατεστημένο στον υπολογιστή που πρόκειται να χρησιμοποιηθεί για την κρυπτογράφηση των αρχείων και φακέλων.

Σημαντικό χαρακτηριστικό του CryptoMite είναι οι επιλογές που παρέχει για τη διαγραφή των πληροφοριών των αρχείων ή φακέλων μετά την κρυπτογράφηση και τον καθορισμό κωδικών πρόσβασης για τα κρυπτογραφημένα αρχεία. Διαθέτει επίσης έναν ολοκληρωμένο οδηγό email για την αποστολή κρυπτογραφημένων μηνυμάτων και συνημμένων.

Τα χαρακτηριστικά του εργαλείου ενισχύονται από τη δυνατότητα αυτόματης συμπίεσης δεδομένων ZIP και τη μεταμφίεση ονομάτων αρχείων. Επιπρόσθετα, πρόκειται για ένα πρόγραμμα ελαφρύ σε πόρους, εύκολο στη χρήση και πλήρως ενσωματωμένο στα Windows.

CryptoMite Files

επεξεργασία

Αναμφίβολα μία από τις πιο διαδεδομένες λειτουργίες του CryptoMite είναι η δημιουργία αυτοκρυπτογραφημένων exe-αρχείων Αυτή η δυνατότητα επιτρέπει στο χρήστη να μοιράζεται ευαίσθητα δεδομένα εύκολα και με ασφάλεια μόνο με τα σωστά άτομα. Η κρυπτογράφηση του αρχείου γίνεται από χρήστη που έχει εγκατεστημένο το λογισμικό. Ο χρήστης που λαμβάνει ένα τέτοιο αρχείο εκκινεί το αρχείο exe, εισάγει τον κωδικό πρόσβασης και τα αποκρυπτογραφημένα δεδομένα εγγράφονται στο δίσκο σε ένα φλας. Το CryptoMite δεν χρειάζεται να εγκατασταθεί στο σύστημα του δέκτη. Τα exe-αρχεία που δημιουργήθηκαν από το CryptoMite είναι εντελώς αυτόνομα. Η μηχανή αποκρυπτογράφησης και αποσυμπίεσης είναι ενσωματωμένη στο αρχείο. Μετά τη διαγραφή αρχείων με CryptoMite τα δεδομένα θα χαθούν για πάντα και δεν μπορούν να αποκατασταθούν ακόμη και με τα λεγόμενα "Undelete Utilities". Τέλος, παρέχεται η δυνατότητα δημιουργίας κρυπτογραφημένων αρχείων exe σε πολλές γλώσσες (Γερμανικά, Ισπανία, Ιταλικά, Πορτογαλικά, Γαλλικά, Σουηδικά).

Εισαγωγή

επεξεργασία

Ο όρος anti-forensics ή αλλιώς και counter forensics, χρησιμοποιείται για να περιγράψει τις μεθόδους που χρησιμοποιούνται για να αποτραπεί η χρησιμότητα των digital forensics. Digital forensics είναι ένας κλάδος της εγκληματολογικής επιστήμης, που ειδικεύεται στην ανάκτηση και την διερεύνηση πειστηρίων από ηλεκτρονικές συσκευές που σχετίζονται με κάποιο έγκλημα. Οι τεχνικές anti forensics από 4 τεχνικές, την καταστροφή των αποδεικτικών στοιχείων, την απόκρυψη στοιχείων, την εξάλειψη των πηγών αποδεικτικών στοιχείων και την παραβίαση στοιχείων. Στην καταστροφή των αποδεικτικών στοιχείων, υπάρχει η φυσική καταστροφή των συσκευών και η λογική καταστροφή των αρχείων. Η απόκρυψη στοιχείων περιλαμβάνει την δημιουργία κρυφών καναλιών ώστε να κρυφθούν τα αρχεία κάνοντας τα δύσκολα προσβάσιμα. Η εξάλειψη των πηγών των αποδεικτικών στοιχείων περιλαμβάνει είναι η αρχική απενεργοποίησης των αρχείων καταγραφής του συστήματος. Τελευταία τεχνική είναι παραβίαση των στοιχείων, η οποία είναι μια κουραστική μέθοδο για τον ερευνητή αφού κάνει το έργο του πιο δύσκολο, βασίζεται στην επίθεση του ερευνητή από παραβιασμένα συστήματα Botnets.

Το BitLocker είναι ένα ιδιόκτητο πρόγραμμα κρυπτογράφησης της Microsoft για τα Windows, το οποίο έχει τη δυνατότητα να κρυπτογραφεί ολόκληρη τη μονάδα του χρήστη. Το BitLocker δημιουργήθηκε το 2004 ως μέρος της αρχιτεκτονικής του Secure Computing Base. Κύριος λόγος της δημιουργίας του ήταν η ανάγκη των χρηστών για ασφάλεια των αρχείων τους σε περίπτωση κλοπής της συσκευής. Η κυκλοφορία του όμως έγινε το 2008 στα Windows Vista, όπου η μόνη του ιδιότητα ήταν η κρυπτογράφηση του λειτουργικού συστήματος. Μια νέα έκδοση του, έδινε την δυνατότητα στο χρήστη για την κρυπτογράφηση των αφαιρούμενων δίσκων, ενώ το 2012 ήρθε και η σημαντικότερη αναβάθμιση του BitLocker όπου προστέθηκαν οι προδιαγραφές του Microsoft Encrypted Hard Drive. Η προσθήκη του κρυπτογράφησης του σκληρού δίσκου είχε ως αποτέλεσμα την βελτίωση της ασφάλειας και της διαχείρισης των δεδομένων, αφού οι κρυπτογραφημένοι σκληροί δίσκοι αυξάνουν την απόδοση του BitLocker, μειώνοντας παράλληλα τη χρήση του επεξεργαστή και την κατανάλωσης ενέργειας. Η κρυπτογράφηση του σκληρού δίσκου συμβάλει στην καλύτερη απόδοσή του, αφού δίνεται η δυνατότητα στη μονάδα να λειτουργεί με πλήρη ταχύτητα δεδομένων χωρίς υποβάθμιση της απόδοσης.

Λειτουργία

επεξεργασία

Το BitLocker κάνει τη χρήση του αλγόριθμου κρυπτογράφησης AES με αλυσιδωτή κρυπτογράφηση CBC (Cipher Block Chaining) ή XTS με κλειδί 128 ή 256 bit. Το XTS μπορεί να χρησιμοποιηθεί σε ολόκληρο το δίσκο, αντίθετα με το CBC που περιορίζεται σε κάθε μεμονωμένο τομέα. Οι βασικές εκδόσεις των Windows περιλαμβάνουν το BitLocker για την ενεργοποίηση του οποίου απαιτείται η σύνδεση του χρήστη σε λογαριασμό της Microsoft. Μετά την ενεργοποίηση του, το πρόγραμμα ουσιαστικά κάνει τις απαραίτητες διαδικασίες μόνο του εφόσον η συσκευή πληροί τις προϋποθέσεις ( επεξεργαστή 1 gigaherz, 1Gb μνήμης RAM, 16Gb ελεύθερου χώρου στο σκληρό δίσκο). Για την εφαρμογή του BitLocker χρησιμοποιούνται 3 μηχανισμοί ελέγχου ταυτότητας, ο διαφανής τρόπος λειτουργίας, η λειτουργία ελέγχου ταυτότητας του χρήστη και η λειτουργία κλειδιού USB. Ο διαφανής τρόπος λειτουργίας κάνει χρήση των δυνατοτήτων ενός υλικού TPM το οποίο μεταφέρεται στον CPU μόνο κατά της διάρκεια μιας επιτυχούς εκκίνησής του. Η λειτουργία ελέγχου ταυτότητας απαιτεί τη χρήση ενός κωδικού πριν από την εκκίνηση, ενώ η λειτουργία κλειδιού USB απαιτεί την ύπαρξη του κλειδιού αποθηκευμένο σε μια συσκευή USB καθώς και το BIOS να υποστηρίζει την συσκευή USB.

Onion Routing/TOR

επεξεργασία

Το Onion Routing είναι μια τεχνική που χρησιμοποιείται για ανώνυμη επικοινωνία σε ένα υπολογιστικό δίκτυο. Σε ένα δίκτυο Onion Routing τα μηνύματα και οι πληροφορίες μας ενθυλακώνονται σε επίπεδα κρυπτογράφησης όπως ακριβώς για παράδειγμα είναι και τα στρώματα ενός κρεμμυδιού. Το Onion Routing αναπτύχθηκε στα μέσα της δεκαετίας του 1990 στο εργαστήριο έρευνας του Αμερικάνικου ναυτικού από τους υπαλλήλους του Paul Syverson , Michael G. Reed, και David Goldschlag με σκοπό την προστασία των επικοινωνιών των πληροφοριών στο διαδίκτυο. Η τεχνολογία αυτή χρησιμοποιήθηκε με σκοπό την προστασία του χρήστη από το διαδίκτυο και από διάφορους παρατηρητές που επιβλέπουν τις κινήσεις μας και πραγματοποιούν διάφορες επιθέσεις στα δεδομένα με σκοπό να υποκλέψουν ή ακόμα και να διαρρεύσουν πληροφορίες.

Το TOR είναι ένα σύστημα που δίνει στους χρήστες του τη δυνατότητα να περιηγούνται ανώνυμα στο διαδίκτυο. Το λογισμικό αυτό δρομολογεί την δρομολογεί τη διαδικτυακή κίνηση μέσω ενός παγκόσμιου εθελοντικού δικτύου διακομιστών με σκοπό να αποκρύψει την τοποθεσία ενός χρήστη ή τη χρήση της κίνησης από οποιονδήποτε διεξάγει διαδικτυακή παρακολούθηση ή ανάλυση της διαδικτυακής κίνησης. Η χρήση του κάνει δύσκολη την ανίχνευση της δραστηριότητας του χρήστη στο διαδίκτυο και έχει σκοπό να προστατεύσει την ατομική ελευθερία , την ιδιωτικότητα και τη δυνατότητα του χρήστη να διεξάγει εμπιστευτικές εργασίες χωρίς να καταγράφονται οι διαδικτυακές δραστηριότητές του.

Εισαγωγή

επεξεργασία

To USBKill είναι ένα αντί-εγκληματολογικό λογισμικό που διανέμεται μέσω του GitHub από το 2014, γραμμένο στην Python, και λειτουργεί σε BSD, Linux αλλά και σε MacOS λειτουργικά συστήματα. Έχει σχεδιαστεί για να λειτουργεί σαν kill-switch, εάν ο υπολογιστής στον οποίο είναι συνδεδεμένος τεθεί υπό τον έλεγχο κάποιου τρίτου, που δεν επιθυμεί ο ιδιοκτήτης. Πρόκειται για ένα δωρεάν λογισμικό, το οποίο διατίθεται βάσει της άδειας GNU. Ο προγραμματιστής της εφαρμογής (χάκερ που είναι γνωστός στο Ίντερνετ με το ψευδώνυμο Hephaest0s), δημιούργησε το πρόγραμμα αυτό σαν μια απάντηση στην σύλληψη του δημιουργού της μεγαλύτερης μαύρης διαδικτυακής αγοράς (Silk Road), Ross Ulbricht,κατά την οποία οι ομοσπονδιακοί πράκτορες των ΗΠΑ μπόρεσαν να αποκτήσουν πρόσβαση σε ενοχοποιητικά στοιχεία στο λάπτοπ του, χωρίς να χρειάζονται την συνεργασία του, αντιγράφοντας τα αρχεία του υπολογιστή του, χρησιμοποιώντας ένα USB flash drive όσο αυτός ήταν απασχολημένος.

Τρόπος λειτουργίας

επεξεργασία

Με την εγκατάσταση του προγράμματος στον υπολογιστή, η εφαρμογή ζητάει από τον χρήστη να δημιουργήσει μια λίστα επιτρεπόμενων συσκευών, οι οποίες μπορούν να συνδεθούν στον υπολογιστή μέσω των θυρών USB. Ο χρήστης μπορεί επίσης να ορίσει ποιες ενέργειες θα διαδραματιστούν σε περίπτωση που ο υπολογιστής εντοπίσει μια συσκευή USB που δεν βρίσκεται στην λίστα αυτή (η προκαθορισμένη επιλογή είναι το κλείσιμο του υπολογιστή και διαγραφή δεδομένων της RAM και των swap files). Το πρόγραμμα για να λειτουργήσει ζητάει από τον χρήστη να συνδεθεί ως root ή Superuser, ενώ ο ίδιος ο Hephaest0s προτείνει την χρήση κάποιας εφαρμογής, για κρυπτογράφηση του σκληρού δίσκου σε συνδυασμό με την εφαρμογή, για περισσότερη ασφάλεια από εισβολείς. Το USBKiller μπορεί επίσης να χρησιμοποιηθεί ως μέρος ενός γενικού σχήματος ασφαλείας, καθώς μπορεί να χρησιμοποιηθεί για την αποτροπή της κρυφής εγκατάστασης κακόβουλου λογισμικού ή Spyware ή αντιγραφής αρχείων από τον υπολογιστή. Παρ' όλα αυτά μπορεί να χρησιμοποιηθεί και για γενική χρήση ακόμη και όταν δεν υπάρχουν απειλές για φόβο.

Παραλλαγές και τροποποιήσεις

επεξεργασία

Καθώς αποτελεί πρόγραμμα με άδεια GNU, υπάρχουν αρκετές τροποποιήσεις του αρχικού προγράμματος αλλά και πρόσθετες λειτουργίες που δεν περιλάμβανε το αρχικό. Μια τέτοια τροποποίηση είναι και η χρήση της εφαρμογής αντίστροφα της κανονικής. Ο χρήστης δημιουργεί μια λίστα από επιτρεπόμενα USB sticks τα οποία λειτουργούν σαν τα κλειδιά του αυτοκινήτου, επιτρέποντας στον χρήστη να χρησιμοποιεί τον υπολογιστή όσο το USB βρίσκεται συνδεδεμένο στον υπολογιστή. Σε περίπτωση που το USB αφαιρεθεί βίαια, η εφαρμογή ξεκινάει την εκάστοτε διαδικασία που του έχει ορίσει ο χρήστης.

Μια ακόμα τροποποίηση της εφαρμογής η οποία δημοσιεύθηκε στο 2600, περιείχε μια ακόμη λειτουργία. Διεύρυνε την χρήση της εφαρμογής από έναν και μόνο υπολογιστή, σε ένα δίκτυο με πολλούς, επιτρέποντας στην εφαρμογή να κλείσει ολόκληρο το δίκτυο με μιας, εάν κάποιο USB stick δεν βρισκόταν μέσα στην λίστα.

Εκτός από εφαρμογή, το USBKill μοιράζεται το ίδιο όνομα με μια συνονόματη εταιρία USBKill. Η συσκευή της εταιρίας μοιάζει με μια κανονική μονάδα USB Drive. Στο εσωτερικό, περιέχει έναν πυκνωτή, ο οποίος χρησιμοποιείται για την αποθήκευση ισχύος. Ο πυκνωτής φορτίζεται σε -200V DC. Μόλις φορτιστεί, ο πυκνωτής απελευθερώνει την αποθηκευμένη τάση στη θύρα USB. Η τάση μπορεί στη συνέχεια να μετακινηθεί σε όλα τα μέρη της συσκευής καταστρέφοντας εξαρτήματα κατά τη διάρκεια της διαδρομής μέχρι να εξαλειφθεί η τάση. Ο πυκνωτής φορτίζεται ξανά και απελευθερώνει ξανά την έκρηξη ισχύος στο σύστημα. Αυτή η διαδικασία μπορεί να συμβεί πολλές φορές σε ένα δευτερόλεπτο. Σε υπολογιστή, η μητρική πλακέτα μπορεί να υποστεί ζημιά σε τρία δευτερόλεπτα ή λιγότερο.