Anti-computer forensics

Anti-computer forensics is een algemene term voor een reeks van technieken die worden gebruikt als tegenmaatregelen voor forensische analyse.

Definitie

Anti-forensisch onderzoek is pas onlangs erkend als een legitieme vakgebied. Binnen dit vakgebied, tal van definities van anti-forensisch onderzoek in overvloed. Een van de meest bekende en aanvaarde definities afkomstig van Dr. Marc Rogers van Purdue University. Dr. Rogers maakt gebruik van een meer traditionele "plaats delict" benadering bij het bepalen van de anti-forensisch onderzoek. "Pogingen om een ​​negatieve invloed op het bestaan, de hoogte en / of kwaliteit van het bewijs van een misdrijf, of maak de analyse en het onderzoek van het bewijs moeilijk of onmogelijk uit te voeren."

Een verkorte definitie wordt gegeven door Scott Berinato in zijn artikel getiteld The Rise of Anti-Forensics. "Anti-forensisch meer dan techniek. Het is een aanpak van criminele hackers die kunnen worden samengevat als volgt: Maak het moeilijk voor hen om u en onmogelijk voor hen te vinden om te bewijzen dat ze je gevonden "Noch auteur houdt rekening met het gebruik van anti-forensische methoden om de privacy van zijn zorgen. persoonlijke gegevens.

Subcategorieën

Anti-forensische methoden zijn vaak onderverdeeld in verschillende sub-categorieën om de indeling van de verschillende instrumenten en technieken eenvoudiger te maken. Eén van de meer algemeen aanvaarde subcategorie uitsplitsingen werd ontwikkeld door Dr. Marcus Rogers. Gegevens verbergen, artefact vegen, trail verduistering en aanvallen tegen de CF-processen en tools: hij heeft de volgende subcategorieën voorgesteld. Aanvallen op forensische gereedschappen direct ook contra-forensisch onderzoek genoemd.

Doel en doelstellingen

Binnen het gebied van de digitale recherche is er veel discussie over het doel en de doelstellingen van anti-forensische methoden. De algemene opvatting is dat de anti-forensische tools zijn louter kwaadaardige in opzet en vormgeving. Anderen geloven dat dit gereedschap gebruiken om tekortkomingen in digitale forensische procedures digitale forensische instrumenten, en forensische onderzoeker onderwijs illustreren. Dit gevoel werd op de Blackhat Conferentie 2005 herhaald door anti-forensische hulpmiddel auteurs, James Foster en Vinnie Liu. Zij verklaarden dat door het blootstellen van deze problemen, zal de forensische onderzoekers moeten harder werken om te bewijzen dat verzamelde bewijsmateriaal is zowel accuraat en betrouwbaar. Zij geloven dat dit zal resulteren in betere hulpmiddelen en onderwijs voor de forensisch onderzoeker. Ook contra-forensisch onderzoek is van belang voor de verdediging tegen spionage, zoals het herstellen van gegevens door forensische gereedschappen dient de doelstellingen van spionnen even evenals onderzoekers.

Gegevens schuilplaats

Gegevensverbergwerkwijze is het proces waarbij data moeilijk te vinden terwijl ook het houden toegankelijk voor toekomstig gebruik. "Verduistering en versleuteling van gegevens geven een tegenstander de mogelijkheid om te identificeren en verzamelen van bewijsmateriaal te beperken door de onderzoekers, terwijl het verlenen van toegang en gebruik om zichzelf."

Enkele van de meest voorkomende vormen van gegevensverbergwerkwijze omvatten encryptie, steganografie en andere vormen van hardware / software gebaseerde data achterhouden. Elk van de verschillende gegevens schuilplaats methoden maakt digitaal forensisch onderzoek moeilijk. Wanneer de verschillende gegevensverbergwerkwijze methoden worden gecombineerd, kunnen ze een succesvolle forensisch onderzoek bijna onmogelijk maken.

Encryptie

Een van de meest gebruikte technieken om computercriminalistiek verslaan is gegevenscodering. In een presentatie gaf hij encryptie en anti-forensische methoden de vice-president van Secure Computing, Paul Henry, genoemd encryptie als een "nachtmerrie forensisch analist".

De meerderheid van de openbare encryptie-programma kan de gebruiker virtuele versleutelde schijven die alleen kan worden geopend met een aangewezen sleutel te maken. Door het gebruik van moderne encryptie-algoritmen en verschillende versleutelingstechnieken deze programma de data vrijwel onmogelijk te lezen zonder aangewezen toets.

File encryptie versleutelt alleen de inhoud van het bestand. Dit laat belangrijke informatie, zoals de bestandsnaam, grootte en timestamps ongecodeerd. Delen van de inhoud van het bestand kan worden gereconstrueerd op basis van andere locaties, zoals tijdelijke bestanden, swap file en verwijderd, ongecodeerde exemplaren.

De meeste versleutelingsprogramma's hebben de mogelijkheid om een ​​aantal extra functies die digitaal forensisch inspanningen steeds moeilijker te voeren. Sommige van deze functies omvatten het gebruik van een sleutelbestand, full-versleuteling en plausibele ontkenning. De ruime beschikbaarheid van software die deze functies is het gebied van de digitale recherche zet op een groot nadeel.

Steganografie

Steganografie is een techniek waarbij informatie of bestanden worden verborgen in een ander bestand in een poging om gegevens te verbergen door laat het in het zicht. "Steganography produceert donkere gegevens die doorgaans wordt begraven in het licht van gegevens." Sommige deskundigen hebben betoogd dat het gebruik van steganografie technieken zijn niet erg wijdverspreid en mag daarom niet worden gegeven veel aandacht. De meeste deskundigen zijn het ermee eens dat steganografie heeft de mogelijkheid van het verstoren van de forensische proces bij correct gebruik.

Volgens Jeffrey Carr, een 2007 editie van Technical Mujahid schetste het belang van het gebruik van een steganografie programma genaamd Geheimen van de Mujahideen. Volgens Carr, werd het programma aangeprezen als het geven van de gebruiker de mogelijkheid om detectie te vermijden door de huidige steganalysis programma. Het deed dit door het gebruik van steganografie in combinatie met file compressie.

Andere vormen van data schuilplaats

Andere vormen van gegevensverbergwerkwijze omvatten het gebruik van instrumenten en technieken om data over verschillende locaties in een computersysteem te verbergen. Sommige van deze plaatsen kunnen bestaan ​​"geheugen, slappe ruimte, verborgen mappen, slechte blokken, alternatieve gegevensstromen, verborgen partities."

Een van de bekende instrumenten die vaak wordt gebruikt voor gegevensverbergwerkwijze heet Slappere. Slacker breekt een bestand en plaatsen elk stuk van dat bestand in de slappe ruimte van andere bestanden, zij daarmee verbergen van het forensisch onderzoek software. Een andere data schuilplaats techniek omvat het gebruik van slechte sectoren. Om deze techniek uit te voeren, de gebruiker een bepaalde sector van goed naar slecht verandert en dan data wordt geplaatst op dat specifieke cluster. De overtuiging is dat forensisch onderzoek gereedschappen deze clusters zullen zien als slecht en verder zonder enig onderzoek van de inhoud ervan.

Artefact afvegen

De methoden die worden gebruikt in artefact afvegen zijn belast met het permanent elimineren van bepaalde bestanden of hele bestandssystemen. Dit kan worden bereikt door het gebruik van een verscheidenheid van werkwijzen die schijf schoonmaken nutsbedrijven, bestand vegen nutsbedrijven en demagnetiseren disk / vernietigingstechnieken omvatten.

Schijf schoonmaken nutsbedrijven

Schijf schoonmaken nutsbedrijven gebruiken verschillende methoden om de bestaande gegevens op schijven overschreven. De effectiviteit van de schijf schoonmaken nutsbedrijven als anti-forensische instrumenten wordt vaak uitgedaagd zoals sommigen geloven dat ze niet volledig effectief. Experts die niet geloven dat de schijf schoonmaken nutsbedrijven zijn aanvaardbaar voor disk sanering baseren hun adviezen van DOD huidige beleid, dat stelt dat de enige aanvaardbare vorm van sanering is demagnetiseren. Schijf schoonmaken nutsbedrijven zijn ook bekritiseerd omdat ze vertrekken handtekeningen die het bestandssysteem werd weggevaagd, die in sommige gevallen is onaanvaardbaar. Enkele van de meest gebruikte schijf schoonmaken nutsbedrijven omvatten DBAN, srm, BCWipe Total WipeOut, KillDisk, PC Inspector en CyberScrubs cyberCide. Een andere optie die is goedgekeurd door het NIST en de NSA is CMRR Secure Erase, die de Secure Erase commando ingebouwd in de ATA-specificatie gebruikt.

Bestand af te vegen nut

Bestand af te vegen hulpprogramma's worden gebruikt om individuele bestanden van een besturingssysteem te verwijderen. Het voordeel van bestand afvegen utilities is dat zij hun taak kan bereiken in relatief korte tijd in tegenstelling tot disk schoonmaken nutsbedrijven die veel langer duren. Een ander voordeel van het bestand af te vegen hulpprogramma's is dat ze over het algemeen laat een veel kleinere handtekening dan disk schoonmaken nutsbedrijven. Er zijn twee belangrijke nadelen van het bestand af te vegen nut, eerste vereisen ze betrokkenheid van gebruikers bij het proces en de tweede een aantal deskundigen geloven dat bestand af te vegen programma's niet altijd correct en volledig veeg bestandsinformatie. Enkele van de meest gebruikte bestand af te vegen nutsvoorzieningen BCWipe, R-Wipe & amp; Schoon, Eraser, AEVITA Wipe & amp; Wissen en CyberScrubs PrivacySuite.

Disk demagnetiseren / vernietigingstechnieken

Disk demagnetiseren is een proces waarbij een magnetisch veld wordt toegevoerd aan een digitale media-apparaat. Het resultaat is een inrichting die volledig vrij van alle eerder opgeslagen data. Degaussing wordt zelden gebruikt als anti-forensische methode, ondanks het feit dat het een effectief middel om gegevens te waarborgen is gewist. Dit wordt toegeschreven aan de hoge kosten van demagnetiseren machines die moeilijk voor de gemiddelde consument veroorloven.

Een algemeen gebruikte techniek om gegevens af te vegen waarborgen is de fysieke vernietiging van de inrichting. Het NIST aanbevolen "fysieke vernietiging kan worden uitgevoerd met verschillende methoden, waaronder desintegratie, verbranding, verpulveren, versnipperen en smelten. '

Trail verduistering

Het doel van het pad verwarring is te verwarren, desoriënteren en af ​​te leiden van de forensisch onderzoek proces. Trail verduistering bestrijkt een verscheidenheid aan technieken en tools die onder "log schoonmakers, spoofing, desinformatie, ruggengraat hoppen, zombied rekeningen, trojan opdrachten."

Een van de meer bekendheid trail verduistering hulpmiddelen is Timestomp. Timestomp geeft de gebruiker de mogelijkheid om metadata met betrekking tot de toegang, creatie en modificatie tijden / data te wijzigen. Door programma's zoals Timestomp, kan een gebruiker elk aantal bestanden nutteloos in een juridische omgeving render door direct in twijfel geloofwaardigheid van de bestanden.

Een andere bekende trail-verduistering programma is Transmogrify. In de meeste bestandstypen de header van het bestand bevat identificerende informatie. Een header zou hebben informatie die het identificeert als een zou de informatie die het identificeert als en ga zo maar door. Transmogrify kan de gebruiker de kopinformatie van een bestand te veranderen, zodat een kop kan worden gewijzigd in een header. Als een forensisch onderzoek programma of besturingssysteem waren om een ​​zoekopdracht voor afbeeldingen uit te voeren op een machine, zou het gewoon zien een bestand en sla over.

Aanvallen op de computer forensics

In het verleden anti-forensische instrumenten hebben zich gericht op het aanvallen van de forensische proces door het vernietigen van gegevens, het verbergen, of het gebruik van data-informatie te wijzigen. Anti-forensisch onderzoek is onlangs verhuisd naar een nieuwe wereld, waar tools en technieken zijn gericht op het aanvallen van forensische tools die de onderzoeken uitvoeren. Deze nieuwe anti-forensische methoden hebben geprofiteerd van een aantal factoren om goed gedocumenteerde forensisch onderzoek procedures, bekend forensisch hulpmiddel kwetsbaarheden en digitaal forensisch onderzoekers zware afhankelijkheid van hun tools omvatten.

Tijdens een typisch forensisch onderzoek, zou de examinator een beeld van schijven van de computer te creëren. Dit houdt de originele computer van wordt bezoedeld door forensische gereedschappen. Hashes worden gemaakt door het forensisch onderzoek software om de integriteit van het beeld te controleren. Eén van de recente anti-gereedschap technieken gericht op de integriteit van de hash die is gemaakt om het beeld te controleren. Door aantasting van de integriteit van de hash, kan enig bewijs dat is verzameld tijdens het daaropvolgende onderzoek worden aangevochten.

Lichamelijk

Het gebruik van het chassis intrusion detection-functie in de computer zaak of een sensor opgetuigd met explosieven voor zelfvernietiging.

Effectiviteit van anti-forensische

Anti-forensische methoden rekenen op een aantal zwakke punten in het forensisch proces waaronder: de menselijke factor, de afhankelijkheid van hulpmiddelen, en de fysieke / logische beperkingen van computers. Door het verminderen van het forensisch proces's gevoeligheid voor deze zwakke punten kunnen een examinator de waarschijnlijkheid van anti-forensische methoden succes invloed een onderzoek te verminderen. Dit kan worden bereikt door verhoogde opleiding van onderzoekers en bevestigende resultaten met behulp van meerdere gereedschappen.

Nota's en verwijzingen

  • ^ Rogers, DM. Anti-Forensic Presentatie gegeven aan Lockheed Martin. San Diego.
  • ^ Berinato, S .. De opkomst van anti Forensics. Ontvangen 19 april 2008, van CSO Online: id = "cite_note-Hartley-3"> ^ Hartley, W. Matthew .. huidige en toekomstige bedreigingen voor Digital Forensics. id = "cite_note-4"> ^ Foster, J. C., & amp; Liu, V .. Vang me, als je kunt ... Las Vegas: Blackhhat Briefings.
  • . ^ Peron, CSJ Digital anti-forensisch: Opkomende trends in data transformatie technieken. van Seccuris: id = "cite_note-henry-6"> ^ Henry, PA Anti-Forensics. Uitgaande van een carrière in de computer forensics? Niet stoppen met je baan ...: Secure Computing.
  • ^ Berghel, H .. Verbergen gegevens, Forensics, en Anti-Forensics. Communicatie van de ACM, 15-20.
  • ^ Carr, J .. Anti-forensische methoden die door jihadistische websites. Ontvangen 21 april 2008, van eSecurityPlanet: id = "cite_note-9"> ^ Kissel, R., Scholl, M., Skolochenko, S., & amp; Li, X .. Richtlijnen voor Media opschonen. Gaithersburg: Computer Security Divisie, National Institute of Standards and Technology.
  • ^ Harris, R .. Aangekomen bij een anti-forensische consensus: Het onderzoeken hoe fi ne DE en de controle van de anti-forensische probleem. Ontvangen 9 december 2010, uit:
(0)
(0)
Commentaren - 0
Geen commentaar

Voeg een reactie

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Tekens over: 3000
captcha