Анализ эффективности синтеза Forensics-подходов

Юрий Чемёркин
представитель Hakin9 Magazine,
исследователь ЗАО "ПМ"

Обычно классификация методов извлечения данных начинается с физического извлечения, которое позволяет получить точную копию физических хранилищ, то есть, raw данные. Подходы, используемые при логическом извлечении, позволяют получить точную копию логической структуры. Коммерческие решения же - дополнение предыдущего пункта, ориентированное на решение конкретных задач или определенных данных. Также и бэкап может содержать raw-данные и предоставлять точную копию данных. Ручное извлечение рассчитано на получение скриншотов с экрана.

Изначально это было дополнение к фотоснимкам "места преступления"; сейчас же это вполне эффективный элемент live forensics. На сегодняшний день наиболее эффективными являются коммерческие решения и решения, взаимодействующие с информацией, хранящейся в бэкапе, заменяя решения логического и ручного извлечения данных; физический уровень при этом часто реализуется за счет бэкап-файла и дополняется данными с логического уровня, например SQL-файлами, где может храниться еще незатертая ранее удаленная информация, снижая потребность в raw-данных.

Изолирование устройства от взаимодействии

Основными предпосылками являются идеи о предотвращении изменения данных в результате любых коммуникаций. В ряде случаев для снижения рисков прибегают к отмонтированию внешнего носителя, чтобы сохранить часть данных в неизменном виде. Однако это возможно лишь при его наличии, тогда как тенденция производителей - расширение встроенной памяти. Ранее упомянутые триггеры, реализованные за счет коммуникационных каналов или "логических бомб", могут приводить к негативным последствиям, что свойственно смартфонам, нежели планшетам, так как 3D-модуль лучше справляется с поддержкой устройства онлайн, чем Wi-Fi и 4G. Push-технология дополняет ранее сказанное и оперирует синхронизируемым содержимым в рамках сервиса типа Google или корпоративного сервиса.

BlackBerry до сих пор остается единственной платформой с так называемым True Push (BIS и BES), что позволяет мгновенно заполнять устройство тремя-четырьмя сотнями новых сообщений. Напротив, планшеты, а также Android-устройства имеют иную схему реализации с частым обращением к серверу по протоколам IMAP4 и РОРЗ, а также ряд проприетарных решений типа Google Sync, Exchange, ActiveSync. Несмотря на это, они корректно оперируют лишь базовыми событиями и хранилищами. Например, если в Google-аккаунте имеется 200 ярлыков, то обновление содержимого будет происходить только при отсутствии сбоев в сети, а также если устройство не будет уходить в режим ожидания, иначе теряются данные папок, отличных от "входящие", "отправленные", "черновики"...

Основной подход к изолированию устройства - использование встроенного механизма, известного как режим "в самолете", и для большинства телефонов использование происходит буквально в два клика (BlackBerry-устройства), но для Android-платформы он крайне неудачно реализован и расположен глубоко в настройках устройства. Отдельные случаи связаны с горячими клавишами Android-устройства, но они зависимы от предопределенного функционала. Так как довольно часто в SDK есть API-функции, позволяющие включать режим "в самолете", live-решение может оказаться более удачным.

Парольная защита, извлечение пароля или обход механизма защиты

Защита паролем - это старая проблема, особенно в случае лимитов на ввод верного пароля, превышение которого в случае BlackBerry приводит к уничтожению данных, хотя в случае Android еще есть возможность ввести данные учетной записи пользователя или дополнительно запросить поддержку Google в рамках судебного процесса. Для обеих доступна парольная защита на основе всех печатаемых символов ASCII. Дополнительно Android имеет возможность использования PIN-защиты и так называемого механизма Pattern Lock, при котором "верный рисунок" является критерием разблокировки устройства. Продукты компании Elcomsoft для BlackBerry предлагают способы извлечения пароля устройства и паролей, которые хранятся в программах Password Keeper и BlackBerry Wallet. Восстановление пароля на устройстве возможно, если пользователем была установлена защитная опция "Пароль устройства" (Device Password) для шифрования данных карты памяти. Более того, Elcomsoft-продукты позволяют подбирать семисимвольные пароли в течение нескольких часов. В случае Android подход имеет отношение к обходу механизма проверки пароля и сводится к анализу соответствующих файлов с целью извлечения пароля или модификации под нужный пароль; такой подход возможен в рамках разрутованного устройства, и учитывая, что подобных устройств чуть менее чем половина, он более чем эффективен.

Live-forensics имеет не меньшую эффективность, например для Android был разработан механизм, который снимает блокировку паролем, изначально реализованный для входящего звонка. Для BlackBerry-устройств есть возможность реализовать механизм извлечения пароля в режиме реального времени на стороне как устройства, так и персонального компьютера с Windows OS. GUI ОС Windows (от ХР до Seven) имеют уязвимость при сокрытии пароля под звездочками, что позволяет получить любой вводимый пользователем пароль на устройство или бэкап с ПО BlackBerry Desktop (от 4-й до 7-й версии). На стороне смартфонов это возможно из-за ошибок реализация расшаривания памяти и позволяет снимать любую информацию даже с защищенных объектов GUI. Для планшетов перенос этой техники оказался неуспешным, однако до финальной версии Black-Berry 10 это нельзя утверждать точно. Массовое внедрение виртуальных клавиатур в течение последних лет позволяет эксплуатировать особенность сокрытия пароля, связанную с запаздыванием, а также превью и контурное выделение нажатых клавиш. Последнее может быть применимо для большинства мобильных устройств.

Dead vs Live

Dead-forensics обычно оперирует с логами событий (Wi-Fi, информацией об устройстве), дампами памяти, информацией о ПО и самими модулями (для смартфонов BlackBerry вплоть до подмены исполняемых модулей), паролями и другой "чувствительной"  информацией;  в случае Android-платформы реализован специальный механизм логирования, покрывающий практически все события и ресурсы запущенного ПО. Для получения этих данных применяются стандартные инструменты разработчика - SDK, NDK. Бэкап дополняет упомянутую выше информацию, так как позволяет хранить даже пароли, настройки, доступ к которым возможен, например, за счет продуктов Elcomsoft или переноса данных на симулятор. Для планшета "симулирование" невозможно из-за принципиально иного подхода к разработке симулятора. В случае же Android бэкап представляет собой эфемерное понятие, которое до сих пор реализуется отлично от одного продукта к другому, чаще всего как сохранение данных на SD-карте в незашифрованном виде (аналогично для BlackBerry PlayBook), что даже упрощает поиск и извлечение данных.

Так как в ряде случаев dead-криминалистика ограничена данными с внешнего носителя, данными бэкапа, а также зависит от root-доступа к устройству, то оказывается менее эффективна в отличие от live-подходов, преимущество которых состоит в следующем:

• не требуется root-доступ, данные часто не зашифрованы, например IM-чаты на BlackBerry;
• не используется "песочница" (хранение в общедоступных папках) ввиду проблемы повреждения ПО, которая может привести к блокированию доступа к информации;
• тенденция запрещения не-AppWord приложений отсекает большую часть продуктов на рынке;
• возможен постоянный доступ к буферу обмена, где часто бывает и расшифрованная информация, и ключи, и пароли, так как ни одна платформа не предоставляет качественных механизмов защиты последних;
• эскалация доступа из-за проблем с разграничением доступа к GUI;
• ряд устройств включает часть метаданных в имя файла;
• возможность получить копию данных в момент удаления или изменения файла, а иногда и отменить событие.

Заключение

Упомянутое выше приводит к  необходимости  пересмотра существующих методов и подходов для повышения эффективности конечных решений. Часть должна основываться на понимании заложенных вендорами идей, как, например, различия в push-технологии. Dead-решения внедряются в компаниях без учета специфики и представляют собой постфактум-решения, тогда как обычная автоматизация процесса позволяет предотвратить потерю данных и ненужные риски. Очевидно, что наличие root-доступа к Android упрощает ситуацию, учитывая большой процент подобных устройств, а возможность смартфонов BlackBerry переносить данные на симулятор позволяет сохранить оригинальные данные. С другой стороны, PlayBook ограничен общедоступными папками, и RIM закрывают любую уязвимость, позволяющую выпустить новый продукт по разрутованию. Несмотря на "песочницу", большинство приложений хранит данные в общем доступе; более того, сам пользователь зачастую не имеет другого места для хранения своих личных файлов. Такие особенности "безопасности" количественно понижают риски, а при наличии простого превентивного решения, сводят его на нет. Выгодное положение API-функций позволяет получать копию данных в результате или до определенных событий, а автоматизация даже на базе SDK может позволить выявить вредоносный код, деятельность которого может негативно сказаться впоследствии. Каждое решение порой ограничено конкретными случаями, тогда как грамотный синтез подходов повышает результативность, упрощает решение и увеличивает его жизненный цикл.