szukaj

06.10.2015 | 10:55

avatar

Adam Haertle

Opublikował listę płac swojej firmy przez Tora, ale i tak go złapali

Jesteśmy raczej przyzwyczajeni, że śledczy, gdy docierają do adresu IP w sieci Tor, od razu składają broń. Czasem są jednak bardziej dociekliwi i w najbardziej trywialnych miejscach dysku mogą natrafić na wiele mówiące ślady.

Na konferencji analityków śledczych DFRWS pokazano ciekawy przypadek analizy dysku pracownika podejrzanego o opublikowanie w internecie listy płac swojej firmy. Choć pracownik skorzystał z Tor Browsera, to zostawił tyle śladów, że trudno o wątpliwości co do jego winy.

Oczywisty podejrzany

Gdy lista płac kierownictwa pewnej firmy znalazła się na prywatnym blogu, wszczęto śledztwo w celu ustalenia sprawcy wycieku. Wynajęto w tym celu zespół ekspertów, który zaczął od analizy danych zgromadzonych w wewnętrznej sieci firmy. Najbardziej oczywistym punktem startu był plik Excela, zawierający opublikowane dane. Dzień przed publikacją danych w sieci plik ten był otwierany przez pewnego pracownika. Jego laptop został poddany wnikliwej analizie. Znaleziono oczywiste ślady otwierania Excela (plik LNK, Jump Lists, klucze rejestru ShellBags), jednak historia przeglądarki nie wskazywała na odwiedziny w serwisie, w którym znalazły się dane.

Ślady są – i to całkiem sporo

Analitycy się nie poddawali i uruchomili standardową procedurę jaką jest wyszukiwanie konkretnego ciągu tekstowego na całym obszarze dysku. Szukanym ciągiem był adres WWW serwisu, w którym opublikowano dane. Wyszukiwanie przyniosło ciekawe rezultaty – znaleziono serię linków do adresu

http://www.nazwabloga.tld/wp-admin

sugerujących, że to własnie z tego komputera ładowano interfejs administracyjny poszukiwanego bloga (opartego na WordPressie). Ciągi znajdowały się w pliku wymiany pagefiles.sys, do którego mogą trafiać fragmenty pamięci operacyjnej komputera. Co ciekawe, wszystkie wystąpienia tego adresu poprzedzone były ciągiem  HTTP-memory-only-PB. To wskazuje na użycie Firefoksa w trybie prywatnym (adresy odwiedzanych stron przechowywane są wtedy jedynie w pamięci RAM), jednak na komputerze nie było śladów po instalacji Firefoksa.

Fragment analizy

Fragment analizy

Analitykom sprzyjało szczęście. Plik pagefile.sys zachowuje się bardzo nieprzewidywalnie i może zarówno zawierać dane sprzed miesiąca jak i nie zawierać danych sprzed kilku godzin. Tym razem jednak dalsze poszukiwania wykazały, że za pomocą przeglądarki Chrome pobrano plik instalacyjny Tor Browsera, opartego właśnie o Firefoksa i używającego jego trybu prywatnego. Do pobrania doszło tej samej nocy, której opublikowano dane w sieci. Co ciekawe, czasem można w pamięci komputera odróżnić ślady używania Firefoksa od Tor Browsera poprzez analizę pola User-Agent – Tor Browser korzysta z reguły ze starszego wydania Firefox ESR i może być to widoczne w numeracji wersji.

Jakie jeszcze dowody można było znaleźć?

Pełno artefaktów

Analitycy mogli także ustalić, że Tor Browser został zainstalowany i był uruchomiony jeden jedyny raz, dokładnie 3 minuty przed publikacją wpisu na blogu. Skąd taka precyzja?

Dzięki mechanizmowi Windows Prefetch wystarczy sprawdzić odpowiednie pliki .PF dotyczące instalatora Tor Browsera, pliku tor.exe oraz firefox.exe by ustalić dokładnie kiedy program został zainstalowany, kiedy został uruchomiony pierwszy raz i kiedy został uruchomiony po raz ostatni. W systemie Windows 8/8.1 można znaleźć również historię 8 ostatnich przypadków uruchomienia. Dodatkowo pliki te wskażą folder, w którym był (lub nadal jest) zainstalowany Tor Browser.

Z kolei w folderze Tor Browsera w pliku Tor/state także znajdziemy datę i godzinę ostatniego uruchomienia tej wersji przeglądarki. Ślady istnienia w systemie Tor Browsera mogą także znaleźć się w bazie Windows Search lub w podręcznej pamięci miniaturek ikon plików (thumbnail cache).

Podsumowanie

Powyżej opisane ślady korzystania z Tor Browsera w systemie Windows to jedynie część artefaktów dostępnych do analizy. Inne przykłady znajdziecie zarówno w omawianej prezentacji jak i w analizie Runy Sandvik. Największym zagrożeniem dla prywatności użytkownika wydają się pliki pagefile.sys oraz hiberfil.sys, które mogą zawierać wrażliwe fragmenty pamięci programu. Metodą na uniknięcie większości opisywanych wyżej zagrożeń jest używanie Tor Browsera w izolowanym środowisku wirtualnym, przechowywanym w formie zaszyfrowanej. Oczywiście także i to rozwiązanie nie zapewnia 100% prywatności i anonimowości – jak zawsze wszystko pozostaje w rękach użytkownika. Zawsze może się też okazać, że dostawca internetu rejestruje kierunki ruchu użytkownika i był on jedynym korzystającym z Tora w okolicy…

Powrót

Komentarze

  • avatar
    2015.10.06 11:02 steppe

    Środowisko wirtualne też do końca nie zabezpieczy, szczególnie gdy ktoś zapisze stan maszyny na dysk, lub zostanie użyty swap hosta…

    Odpowiedz
    • avatar
      2015.10.06 12:38 Patryk

      A może jakiś system z LiveCD?

      Odpowiedz
      • avatar
        2015.10.06 22:14 hhhhh

        Nie jakiś tylko tails, przecież to żadna tajemnica.

        Odpowiedz
      • avatar
        2015.10.07 15:37 steppe

        Nie znam się na tym dobrze, ale się wypowiem ;) Nie ma pewności, czy nie da się wyciągnąć numeru seryjnego procesora czy czegoś jeszcze w tym stylu. Chyba lepiej mieć osobny sprzęt, przeznaczony tylko do publikowania list płac ;)

        Odpowiedz
        • avatar
          2015.10.07 20:03 Eddie

          TAILS to live cd, więc nie zostawi żadnych śladów na dysku. Możesz go nawet odpalić, gdy komputer fizycznie nie posiada dysku, ani jakiejkolwiek trwałej zapisywalnej pamięci (RAM i ROM się nie liczą oczwiście). Numer procesora nie przejdzie przez węzły TORa. Aczkolwiek jeśli jest wąski krąg podejrzanych, mogę znaleźć jakieś ślady, a potem po nitce do kłębka.

          Odpowiedz
  • avatar
    2015.10.06 11:14 FL3SH

    Czyli jak będę chciał wrzucić listę płac to lepiej używać Qubes + Tor? ;)

    Odpowiedz
    • avatar
      2015.10.06 12:24 Therminus

      Zdecydowanie lepiej. Ale czy wystarczająco dobrze?
      Wrzuć, to się okaże. :-)

      Odpowiedz
  • avatar
    2015.10.06 12:10 józek

    No ale jak korzystał z wewnętrznej sieci firmowej, która również działa jako magazyn (czyli w sumie, pracownicy działają tylko na instancji pulpitu wirtualnego, bo wszystko inne znajduje się na serwerze ogólnym) to przeszukiwali cały serwer, więc wszystkich użytkowników, a nie „tylko” użytkownika „podejrzanego”. Nie wiem zatem, dlaczego ktoś w ogóle się dziwi, że go znaleźli ;) Przecież taki serwer rejestruje każdy ruch, a TOR maskuje jedynie połączenia internetowe. Gdyby zgrał plik na swój prywatny laptop/pendrive (ale skopiował tylko treść z dokumentu, a nie cały plik, tego serwer by nie wychwyci) i dodatkowo laptop/pendrive miał szyfrowany VeraCryptem, to wiedzieli by jedynie kto ostatni otwierał ten plik i mogli by mu naskoczyć na szpadel ;)

    Odpowiedz
    • avatar
      2015.10.06 15:01 qwerty

      VeraCrypt jest beznadziejny. Wpisujesz hasło i musisz czekać kilka minut aż system się uruchomi.

      Odpowiedz
      • avatar
        2015.10.07 13:54 Allah

        Spróbuj DiskCryptor.

        Odpowiedz
    • avatar
      2015.10.06 22:17 hhhhh

      Podstawowa sprawa jest taka, że powinien to opublikować ze dwa miesiące później, wtedy plik byłby już ponadpisywany i być może byłoby trudniej dojść do wersji sprzed x czasu.

      Odpowiedz
  • avatar
    2015.10.06 13:02 JanMarian

    gdyby gosc korzystal z nixa z KDE mozna by bylo przeprowadzic podobna analize?

    Odpowiedz
  • avatar
    2015.10.06 13:10 siu

    A nie lepiej uruchomić Tora z systemu typu LiveCD odpalanego z płyty? Wtedy wszelkie dane znikają po wyłączeniu zasilania.

    Odpowiedz
  • avatar
    2015.10.06 13:36 o

    Dobrze, czyli jesli postawie VM na ukrytym dysku True Crypta, na tym VM zainstaluje TORa to moge w miare bezkarnie robic rozne rzeczy?

    Odpowiedz
    • avatar
      2015.10.06 15:40 Kamil

      Nie.

      Odpowiedz
    • avatar
      2015.10.06 19:43 nieprawda

      1. jedziesz do Syrii na wojnę (jesteś po stronie Kurdów), kupujesz laptopa od losowej osoby (najlepiej Kurda, z którym ramię w ramię zamierzać walczyć kosząc terrorystów), sprawdzasz, czy nie domontowali czegoś do laptopa.
      2. odpalasz Tailsa, wysyłasz na bloga lub wykop listę płac pracowników firmy
      3. wyłączasz kompa, tails wymazuje ram
      4. zabijasz losowego bojownika ISIS, kradniesz mu pas Szahida i pas zakładasz laptopowi, zdalnie detonujesz ładunek
      5. laptop rozpada się na kawałki
      6. wracasz do Polski

      Odpowiedz
    • avatar
      2015.10.06 20:38 nikt

      Nie. Pamiętaj że system gospodarz swapuje również pamięć wykorzystywaną przez VM, i TC (może wyciec klucz do kontenera).
      Na pewno nie powinno się tego robić przy włączonym swapie, a najlepiej uruchamiać system liveCD lub z zaszyfrowanego kontenera.

      Odpowiedz
  • avatar
    2015.10.06 13:49 LordBlick

    Chciałem coś napisać o przewadze systemów *nix z wyłączonym swapem i olaną konfiguracją hibernacji na dysk, ale mi przeszło. Bardziej mnie interesuje jaka temu człowiekowi przyświecała za idea i co chciał w ten sposób osiągnąć? Ja tu tylko widzę ślepą uliczkę…

    Odpowiedz
    • avatar
      2015.10.06 21:53 uuuuuu

      Pewnie chciał się odegrać na pracodawcach i współpracownikach. Jeżeli w jego firmie było tak, jak jest u mnie to nowozatrudniani dostają zdecydowanie lepsze pensje od osób z pewnym stażem na tym samym stanowisku.
      Powiedzieć, że to denerwujące, to nic nie powiedzieć.

      Odpowiedz
    • avatar
      2015.10.06 23:03 scribe

      zasada nr 2 informatyki nie zaglądamy na listy płac w erp/db

      bo jak się dowiesz że cep od przesyłania maili dalej i tworzenia dupochronów tzw. manager zarabia 3 razy tyle co ty to ci klęknie

      Odpowiedz
  • avatar
    2015.10.06 17:57 MatM

    Kiedyś to się robiło zupełnie inaczej ale świat się zmienia i dzisiejsza młodzież nie ma już tego polotu co dawniej.
    _
    Otóż za dawnych czasów, szło się do jakiejś obleganej i popularnej kawiarenki internetowej i wtapiając się w tłum wpatrzonych w swoje monitory gimnazjalistów robiło się mniej lub bardziej legalne rzeczy.
    _
    Przypuszczam, że dzisiaj może być trudniej z powodu monitoringu ale nadal pozostawienie śladów na czyimś komputerze jest o niebo lepsze od całej tej gadżeciarni typu vm, szyfrowanie, czyszczenie, tory itp. na sprzęcie służbowym.
    _
    Lepiej już iść z prywatnym komputerem do znanej sieci fastfood i tam wrzucić dokumenty wykradzione z korpo na forum. Wykorzystanie sprzętu firmowego świadczy raczej o głupocie. Poza tym, zanim przyjdzie nakaz przeszukania prywatnego sprzętu można go posprzątać 10 razy.

    Odpowiedz
    • avatar
      2015.10.06 22:58 M.

      Opublikowanie listy wynagrodzen prywatnej firmy to nie szpiegostwo ani handel narkotykami. Faktycznie wystarczy wyslac to z kompa znajomego przez TORa (na wszelki wypadek) i tyle.

      Odpowiedz
  • avatar
    2015.10.06 18:45 BartłomiejB

    LordBlick: w jawności płac widzisz ślepą uliczkę? Ja wręcz przeciwnie: jest to mechanizm do walki ze skrajnymi nierównościami w wynagrodzeniach, które nie mają żadnego logicznego, racjonalnego, ani etycznego uzasadnienia – poza tym, że chciwość niektórych nie zna granic.

    Odpowiedz
    • avatar
      2015.10.06 22:55 M.

      Niektorzy sie wstydza swoich wynagrodzen. Na ogol ci co duzo zarabiaja. Pewnie czuja sie bezpieczniejsi.

      Odpowiedz
  • avatar
    2015.10.07 10:37 Maciejos

    Po trzykroć głupek, bo: 1)użył firmowego komputera, 2) z Windowsem, 3) w firmowej sieci. Jak już musiał skorzystać z tej kombinacji to powinien połączyć się z domowym komputerem przez szyfrowane połączenie i na nim skorzystać z przeglądarki.

    Odpowiedz
  • avatar
    2015.10.07 16:14 Liberator

    Z tego co zrozumiałem, to dotarli do niego najpierw sprawdzając kto ostatni używał pliku i sprawdzali ich służbowe sprzęty. Wystarczyło zatem by ten ktoś zgrał plik na prywatny pendrive i opublikował go np. pół roku później? Pomijam już fakt wykorzystanie innego sprzętu niż służbowy…

    Odpowiedz
  • avatar
    2015.10.07 17:22 Toja

    Szyfruj dane, anonimizuj połączenia sieciowe, nie pracuj na komputerach atakowanej firmy… amatorzy tego nie rozumieją :-D

    Odpowiedz
  • avatar
    2015.10.14 09:50 Cwaniak

    Ciekawe czy nie był na tyle cwany żeby to zrobić z niezablokowanego komputera nielubianego kolegi ;)

    Odpowiedz
  • avatar
    2015.10.15 12:05 patient

    Pracowałem kilka lat w firmie, w której taka lista wypływała trzy razy w ciągu kilku lat. Za każdym razem jako zbyt „bogaty” w informacje xls, zawierający „prawie niemożliwy do zauważenia” nie usunięty arkusz.
    Dwukrornie wysłany na allias ALL@ pracowników firmy. A trzeci raz nagrany na dostępny wszystkim pracownikom dysk sieciowy w katalogu Public. Za każdym razem fail był w HR, w tym raz przez Dyr. tegoż działu :)
    Nie czaję po co takie kombinowanie?
    Wystarczyło poprosić i poczekać ;)

    Odpowiedz
  • avatar
    2016.11.30 12:03 jan

    Ej, sorry, ale dalej nic mu nie udowodnili. Być może to koincydencja. Przecież dostępu do serwera nie mieli, więc kto powiedział, że nie mógł tego przypadkowo kto inny w tym samym czasie umieścić. Może korzystał z Tora i został zhakowany 0dayem? Ja bym tak się tłumaczył. Nie ma niepodważalnych dowodów, a takie chyba musiałyby być?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Opublikował listę płac swojej firmy przez Tora, ale i tak go złapali

Komentarze