RuSEIM
Публикации

Антифорензика: защита противодействием или криминальная наука?

Антифорензика — это набор методов и инструментов, которые позволяют скрыть или уничтожить ваши цифровые следы от тех, кто хочет использовать эту информацию в корыстных или преступных целях.
В этой статье рассмотрим основы антифорензики, ее методы и стратегии, а также предоставим практические советы по защите.

Почему антифорензика — не преступление

Термин часто воспринимается в негативном, криминальном контексте. Это обусловлено словообразованием и дуалистичностью термина «форензика», поскольку его можно трактовать как сбор цифровых артефактов в целях официального расследования уполномоченными органами.
Но в современном мире инструменты антифорензики используют и обычные люди, занимающиеся легальной деятельностью. Во-первых, потому что сами методы антифорензики стали на порядок доступнее — найти инструкцию к криптору и освоить работу с ним можно с минимальными навыками. Во-вторых, у обычных пользователей появилось больше чувствительных цифровых активов, которые нужно защищать. При этом не важно, что это — криптокошелек или альбом с фотографиями, степень чувствительности данных каждый пользователь определяет сам.
Дмитрий Зубарев
Старший специалист по анализу защищенности УЦСБ

Я бы разделил методы антифорензики на те, которые используются для обеспечения безопасности легитимной деятельности, и те, которые используются киберпреступниками для противодействия расследованию преступлений.
В первом случае речь идет о том, чтобы в случае утери техники или взлома сотрудников, риски утечки конфиденциальных данных были минимальны. Для этого применяются такие методы, как шифрование носителей, использование для хранения учетных данных зашифрованных хранилищ, минимизация хранения конфиденциальной информации на конечных устройствах и шифрование соединений. В эту категорию попадают и такие аспекты цифровой гигиены, как удаление файлов и перезапись носителей при увольнении сотрудника или списании оборудования.
Во втором случае к описанным методам добавляются различные техники сокрытия IP-адресов, такие как использование промежуточных узлов, и техники сокрытия присутствия, если мы говорим про несанкционированный доступ к инфраструктуре. Это может быть как глубокая техническая работа — обход антивирусных средств, минимизация сработок, обфускация и применение уникального вредоносного ПО, так и более простые, но действенные методы, например, удаление записей в журналах, отключение журналирования, полное удаление содержимого файловых систем или намеренное физическое повреждение носителей. Для скрытой передачи данных может применяться стеганография: это методы, сохраняющие в тайне в первую очередь сам факт передачи информации. Например, информация, составляющая тайну, может быть фрагментарно внедрена в файлы, передача которых даже по открытому каналу не вызывает подозрений.
Методы антифорензики можно считать криминализированными в тех случаях, когда они используются для осуществления противозаконной деятельности, либо с применением технических средств, которые запрещены к использованию соответствующим указом в юрисдикции той страны, где находится человек.

Методы антифорензики

Антифорензические методы можно разделить на три основные категории: сокрытие данных, удаление и предоставление ложных данных. Считается, что антифорензика, как и другие научные дисциплины, развивается, создавая передовые методы защиты информации. Но это не так.
Дмитрий Овчинников
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Передовых методов антифорензики не существует. Все новое — это хорошо доработанные старые разработки. Повышение мощностей на смартфонах, доработка мессенджеров — все это, конечно, усложняет жизнь тем, кто охотится за чужой информацией. Но в целом, если смартфон или ноутбук попадет в руки компетентного специалиста по форензике, то вряд ли что поможет. Так как ключи шифрования зачастую хранятся в оперативной памяти, и их оттуда можно извлечь.
Кроме того, существует масса косвенных признаков, по которым можно вычислить, что на смартфоне есть что-то скрытое: странные размеры папок, несовпадение объемов памяти и многое другое. Поэтому криптоконтейнеры, вайпинг устройства, скрытая ОС — это все старые приемы, которые с годами становятся доступными для массового пользователя за счет киберпросвещения и повышения юзабилити данных средств.
Ниже подробно расписали методы, относящиеся к сокрытию данных, удалению или их подмене.
Сокрытие
  • Шифрование — преобразует данные в нечитаемый формат, защищая их от несанкционированного доступа. Шифрование применяют к файлам, папкам, дискам и даже целым устройствам.
  • Стеганография — скрывает данные внутри изображений, аудио, видео и т. д. Это делает скрытые данные незаметными для обычных средств обнаружения.
  • Скрытые разделы — разделы диска, которые не видны операционной системе и другим программам. Они используются для хранения конфиденциальных данных.
Удаление
  • Безопасное удаление — перезаписывает данные на устройстве хранения несколько раз, что делает их невосстановимыми с помощью стандартных методов восстановления данных.
  • Уничтожение носителей — физическое разрушение устройств хранения данных для невозможности восстановления информации.
Ложные данные
  • Размещение ложных следов — создание ложных файлов, папок или записей реестра, чтобы сбить с толку злоумышленников.
  • Подмена файлов — замена оригинальных файлов поддельными, которые содержат ложную или вводящую в заблуждение информацию.
Используя комбинацию этих методов, можно значительно затруднить поиск информации для заинтересованной стороны, что делает антифорензику ценным инструментом для защиты цифровой конфиденциальности.
Максим Степченков
Совладелец компании RuSIEM

Методы антифорензики сейчас сосредоточены в направлениях предотвращения сетевого обнаружения, использования искусственного интеллекта для создания информационного шума, маскирования активности, развития средств реализации контрмер (стирания данных с устройств злоумышленника).
Стоит отметить, что от множества приемов антифорензики, связанных с уничтожением журналов, данных на серверах и рабочих станциях, поможет защититься использование современной SIEM-системы, которая собирает логи журналирования с точек инфраструктуры и обеспечивает их конфиденциальность, целостность и доступность в своих базах данных.
Некоторые SIEM-системы также используют методы машинного обучения для выявления аномалий, эти технологии помогут выявить тщательно маскируемое вторжение и вовремя провести мероприятия по реагированию.
Хочется отметить, что знание методов антифорензики может пригодиться не только чтобы оградить себя от чужого любопытства. Зная, как скрывают информацию и цифровые следы, можно предотвратить уничтожение данных или блокировку устройства при необходимости.
Именно поэтому к аресту киберпреступников часто привлекают профильных специалистов из ИБ-компаний. В отдельных особо сложных случаях специалисты могут применять даже жидкий азот для сохранении информации на носителях.

Стратегии антифорензики

В дополнение к конкретным методам антифорензики существует ряд общих стратегий, которые можно использовать для защиты цифровой конфиденциальности.
Использование операционных систем и программного обеспечения, ориентированных на конфиденциальность. Существуют операционные системы и программное обеспечение, специально разработанные с учетом конфиденциальности. Например, Tails OS, Whonix или Linux Kodachi. Такие ОС используют инструменты встроенного шифрования, защищенные каналы передачи данных и другие механизмы защиты от отслеживания.
Никита Синкевич
Эксперт по реагированию на инциденты Angara Security

Как и в любой деятельности, специалисту по антифорензике нужны инструменты. Широко используются, как ни странно, встроенные средства операционной системы.
Однако для затирания/сокрытия данных могут использовать и сторонние программы. Такое ПО не просто помечает место удаляемого файла как свободное, как это делают штатные средства Windows, а сразу перезаписывает освободившееся место нулями или случайными данными. В качестве примера таких утилит можно привести BleachBit, Eraser или sdelete (из пакета Sysinternals).
Соблюдение цифровой гигиены. Хорошая цифровая гигиена подразумевает регулярную очистку истории браузера и кеша, использование уникальных и надежных паролей для всех учетных записей, избегание подозрительных веб-сайтов и загрузок. Это помогает уменьшить количество данных, которые можно собрать и проанализировать.
Использование виртуальных машин и криптоконтейнеров. Виртуальные машины (ВМ) позволяют запускать операционную систему и программы в изолированной среде. Это означает, что любые данные, созданные или хранящиеся в ВМ, не будут доступны операционной системе хоста или другим программам, работающим на том же компьютере. Криптоконтейнеры — это зашифрованные контейнеры, которые можно использовать для хранения конфиденциальных данных. Они защищают данные от несанкционированного доступа, даже если контейнер украден или скопирован. В идеале — использовать криптоконтейнеры со вторым дном. Двойное дно у криптоконтейнера — скрытая часть криптоконтейнера, доказать наличие которой невозможно. Для создания криптоконтейнеров с двойным дном можно использовать такие инструменты, как TrueCrypt, VeraCrypt и т. д.
Дмитрий Ефимов
Эксперт в области систем оповещения и безопасности
Founder/CEO в SDS Fusion

Ввиду наличия санкций от разных недружественных стран, в качестве надежного инструмента сокрытия цифровых следов, может использоваться удаленное рабочее место (виртуальный компьютер), в ЦОДе, который находится под юрисдикцией иностранного государства. При этом соединение из одного государства в другое по компьютерным сетям производится при помощи зашифрованного VPN-канала. Никакие конфиденциальные данные на локальное рабочее место пользователя не сохраняются. В условиях современной конфронтации государств каналы взаимодействия отсутствуют или попросту не работают. Поэтому требуемая информация не будет получена специалистами по расследованиям.
Реализация этих стратегий в сочетании с методами антифорензики может значительно повысить уровень цифровой конфиденциальности и защиты от расследований.

Почему антифорензика не панацея и какие риски она влечет

В контексте антифорензики часто всплывает такой термин, как «пароль под давлением». Это комбинация, отличная от основного пароля, при введении которой данные подменяются, либо полностью шифруются. Чтобы успокоить потенциального злоумышленника или наоборот, уничтожить данные, которые он хотел получить.
Рассмотрим условный пример: некие злоумышленники узнали о наличии у человека определенного количества биткойнов на счете. С помощью простых OSINT-инструментов они смогли определить его местонахождение и физически напали на владельца, требуя выдать данные для входа.
В случае ввода «пароля под давлением» и последующего шифрования риски для жертвы становятся только выше, по понятным причинам.
Похожая проблема будет и в том случае, если после ввода система окажется подозрительно чистой — на устройстве не окажется привычного для любого пользователя софта, мессенджеров, просто чистая операционная система с базовым браузером вроде Edge.

Резюмируем

Антифорензика — это мощный набор методов и стратегий, которые можно использовать для защиты цифровой конфиденциальности и анонимности. Но делать это нужно ответственно и с учетом правовых норм. Защитить чувствительные данные от недоброжелателей — допустимо. Препятствовать правоохранительным органам — нет.
Многие инструменты, связанные с антифорензикой, стали доступнее, и они работают достаточно эффективно. Но полноценную защиту может обеспечить только технический специалист, который обладает комплексным видением: знает, какие технические решения может использовать атакующий, как их блокировать, на какие маркеры и артефакты обращать внимание.
Важно отметить, что рост популярности антифорензики обусловлен, в том числе, ростом рисков для обычных пользователей, которые на сегодняшний день могут столкнуться с требованием разблокировать смартфон, например, со стороны иностранных служб при пересечении границы целого ряда государств.

Источник публикации