Opublikował listę płac swojej firmy przez Tora, ale i tak go złapali

dodał 6 października 2015 o 10:55 w kategorii Główna, Prywatność  z tagami:
Opublikował listę płac swojej firmy przez Tora, ale i tak go złapali

Jesteśmy raczej przyzwyczajeni, że śledczy, gdy docierają do adresu IP w sieci Tor, od razu składają broń. Czasem są jednak bardziej dociekliwi i w najbardziej trywialnych miejscach dysku mogą natrafić na wiele mówiące ślady.

Na konferencji analityków śledczych DFRWS pokazano ciekawy przypadek analizy dysku pracownika podejrzanego o opublikowanie w internecie listy płac swojej firmy. Choć pracownik skorzystał z Tor Browsera, to zostawił tyle śladów, że trudno o wątpliwości co do jego winy.

Oczywisty podejrzany

Gdy lista płac kierownictwa pewnej firmy znalazła się na prywatnym blogu, wszczęto śledztwo w celu ustalenia sprawcy wycieku. Wynajęto w tym celu zespół ekspertów, który zaczął od analizy danych zgromadzonych w wewnętrznej sieci firmy. Najbardziej oczywistym punktem startu był plik Excela, zawierający opublikowane dane. Dzień przed publikacją danych w sieci plik ten był otwierany przez pewnego pracownika. Jego laptop został poddany wnikliwej analizie. Znaleziono oczywiste ślady otwierania Excela (plik LNK, Jump Lists, klucze rejestru ShellBags), jednak historia przeglądarki nie wskazywała na odwiedziny w serwisie, w którym znalazły się dane.

Ślady są – i to całkiem sporo

Analitycy się nie poddawali i uruchomili standardową procedurę jaką jest wyszukiwanie konkretnego ciągu tekstowego na całym obszarze dysku. Szukanym ciągiem był adres WWW serwisu, w którym opublikowano dane. Wyszukiwanie przyniosło ciekawe rezultaty – znaleziono serię linków do adresu

sugerujących, że to własnie z tego komputera ładowano interfejs administracyjny poszukiwanego bloga (opartego na WordPressie). Ciągi znajdowały się w pliku wymiany pagefiles.sys, do którego mogą trafiać fragmenty pamięci operacyjnej komputera. Co ciekawe, wszystkie wystąpienia tego adresu poprzedzone były ciągiem  HTTP-memory-only-PB. To wskazuje na użycie Firefoksa w trybie prywatnym (adresy odwiedzanych stron przechowywane są wtedy jedynie w pamięci RAM), jednak na komputerze nie było śladów po instalacji Firefoksa.

Fragment analizy

Fragment analizy

Analitykom sprzyjało szczęście. Plik pagefile.sys zachowuje się bardzo nieprzewidywalnie i może zarówno zawierać dane sprzed miesiąca jak i nie zawierać danych sprzed kilku godzin. Tym razem jednak dalsze poszukiwania wykazały, że za pomocą przeglądarki Chrome pobrano plik instalacyjny Tor Browsera, opartego właśnie o Firefoksa i używającego jego trybu prywatnego. Do pobrania doszło tej samej nocy, której opublikowano dane w sieci. Co ciekawe, czasem można w pamięci komputera odróżnić ślady używania Firefoksa od Tor Browsera poprzez analizę pola User-Agent – Tor Browser korzysta z reguły ze starszego wydania Firefox ESR i może być to widoczne w numeracji wersji.

Jakie jeszcze dowody można było znaleźć?

Pełno artefaktów

Analitycy mogli także ustalić, że Tor Browser został zainstalowany i był uruchomiony jeden jedyny raz, dokładnie 3 minuty przed publikacją wpisu na blogu. Skąd taka precyzja?

Dzięki mechanizmowi Windows Prefetch wystarczy sprawdzić odpowiednie pliki .PF dotyczące instalatora Tor Browsera, pliku tor.exe oraz firefox.exe by ustalić dokładnie kiedy program został zainstalowany, kiedy został uruchomiony pierwszy raz i kiedy został uruchomiony po raz ostatni. W systemie Windows 8/8.1 można znaleźć również historię 8 ostatnich przypadków uruchomienia. Dodatkowo pliki te wskażą folder, w którym był (lub nadal jest) zainstalowany Tor Browser.

Z kolei w folderze Tor Browsera w pliku Tor/state także znajdziemy datę i godzinę ostatniego uruchomienia tej wersji przeglądarki. Ślady istnienia w systemie Tor Browsera mogą także znaleźć się w bazie Windows Search lub w podręcznej pamięci miniaturek ikon plików (thumbnail cache).

Podsumowanie

Powyżej opisane ślady korzystania z Tor Browsera w systemie Windows to jedynie część artefaktów dostępnych do analizy. Inne przykłady znajdziecie zarówno w omawianej prezentacji jak i w analizie Runy Sandvik. Największym zagrożeniem dla prywatności użytkownika wydają się pliki pagefile.sys oraz hiberfil.sys, które mogą zawierać wrażliwe fragmenty pamięci programu. Metodą na uniknięcie większości opisywanych wyżej zagrożeń jest używanie Tor Browsera w izolowanym środowisku wirtualnym, przechowywanym w formie zaszyfrowanej. Oczywiście także i to rozwiązanie nie zapewnia 100% prywatności i anonimowości – jak zawsze wszystko pozostaje w rękach użytkownika. Zawsze może się też okazać, że dostawca internetu rejestruje kierunki ruchu użytkownika i był on jedynym korzystającym z Tora w okolicy…