Proste ukrywanie obszarów dysku przed oprogramowaniem śledczym

dodał 6 grudnia 2013 o 23:17 w kategorii HowTo  z tagami:
Proste ukrywanie obszarów dysku przed oprogramowaniem śledczym

Wyobraźcie sobie zwykły dysk twardy, którego 90% objętości jest całkowicie niewidoczne dla profesjonalnych programów używanych przez biegłych sądowych do analizy nośników. Taki dysk każdy może sam przygotować w ciągu kilku minut.

Biegli sądowi często dla zlecenie organów ścigania analizują różne nośniki informacji. Przeszukują niewykorzystane obszary dysku, analizują strzępy informacji z plików tymczasowych, borykają się z szyfrowaniem lub usuniętymi danymi. Ich praca najczęściej opiera się na założeniu, że profesjonalne narzędzia do analizy dysków, z których korzystają, podają im prawidłowe informacje. Można jednak tak zmanipulować zapis na dysku, by jedna z partycji zniknęła z pola widzenia biegłego.

Kombinacje z dyskiem Xboxa

Jeśli ktoś z Was ma zacięcie techniczne, może próbować zaimplementować tylną furtkę w pamięci flash dysku twardego lub zapisywać dane w jego obszarach serwisowych. Są jednak dużo prostsze rozwiązania. Kilku badaczy opublikowało niedawno ciekawy artykuł poświęcony jeden, prostej technice manipulacji dyskiem twardym. Wykorzystali oni narzędzie HDDHACKR, używane przez modderów Xboxów. Microsoft, producent konsoli, nie chciał dopuścić do tego, by użytkownicy Xboxów mogli wsadzać do nich dowolne dyski twarde, zatem użytkownicy zareagowali prawidłowo i stworzyli oprogramowanie, które potrafi na inny dysk nanieść specjalne sektory z oprogramowaniem dysku, odczytane z oryginalnego nośnika i podpisane przez Microsoft. Dzięki tej operacji użytkownicy Xboxów mogą dużo taniej wymienić dysk twardy w swojej konsoli, a badacze mogli użyć narzędzia do zmanipulowania dysku w innym celu.

Wczoraj Western Digital, dzisiaj Fujitsu

Aby skutecznie ukryć większą część dysku twardego, należy przeprowadzić kolejno poniższe operacje. Po pierwsze niezbędny będzie zakup odpowiedniego dysku. HDDHACKR obsługuje tylko wybrane dyski – są to napędy Western Digital z serii Scorpio, Scorpio Blue, Scorpio Black, AV-25 oraz VelociRaptor. Największy z nich WD10TPVT ma pojemność 1 TB. Drugim krokiem będzie wykonanie kopii oprogramowania dysku (firmware) WD przy użyciu  HDDHACKRa oraz wgranie oprogramowania dysku Fujitsu o pojemności 20 GB na dysk WD o pojemności 1 TB . W kroku trzecim trzeba sformatować partycję o pojemności 20 GB i zgrać kopię głównego rekordu startowego dysku (MBR)  np. za pomocą narzędzia mbrutil.exe. Po wykonaniu tych operacji dysponujemy dyskiem, który przedstawia się jako Fujitsu o pojemności 20 GB.

Jak teraz można skorzystać z pozostałych 980 GB pojemności dysku? Wystarczy wgrać firmware oryginalnego dysku 1 TB i założyć drugą partycję, obejmującą ukryty do tej pory obszar. Po wykonaniu tej operacji należy wykonać drugą kopię MBR. Aby ponownie ukryć dane wystarczy podmienić firmware i MBR na poprzednią wersję, a dysk znowu straci większość swojej pojemności.

Programy i urządzenia głupieją

Sama operacja podmiany danych wydaje się dość trywialna i pewnie łatwo ją wykryć. Aby zbadać tę hipotezę dysk poddano analizie za pomocą popularnego oprogramowania oraz sprzętu przeznaczonego do tego celu. Ku lekkiemu zaskoczeniu badaczy FTK Imager (wersja 3.1.1) od razu zaakceptował fakt, że ma do czynienia z dyskiem o pojemności 20 GB i nie sygnalizował żadnych problemów. Również narzędzie hdparm nie wykryło żadnych ukrytych obszarów dysku. W kolejnym etapie badacze użyli sprzętu DeepSpar firmy Data Recovery Systems, jednak on również dał się bez problemu oszukać. Także urządzenie PC-3000 firmy AceLaboratory uwierzyło, że ma do czynienia z dyskiem Fujitsu o małej pojemności.

Co raportuje oszukany PC-3000

Co raportuje oszukany PC-3000

Jak wykryć oszustwo?

Autorzy badania opracowali także zestaw wskazówek dla osób, zajmujących się analizą napędów, umożliwiający wykrycie modyfikacji. Po pierwsze i chyba najważniejsze, należy porównać etykietę dysku z informacjami wskazanymi przez jego oprogramowanie. O ile podmiana oprogramowania okazuje się prosta, to już podmiana etykiety może być większym wyzwaniem. W przypadku, gdy etykieta jest zniszczona lub nieczytelna, można posiłkować się nawet zdjęciami obudowy tego samego modelu lub układem płyty głównej urządzenia (wraz z PC-3000 dostarczany jest katalog zdjęć etykiet dysków i ich układów scalonych). Należy także wyjątkowo wnikliwie przyglądać się dyskom Western Digital z serii wymienionych powyżej oraz zwracać uwagę na ewentualne kopie MBR czy firmware na innych nośnikach.

Porady te wydają się znacząco ograniczać ryzyko bycia oszukanym przez sprytnego moddera, jednak kto wie, czy wkrótce w sieci nie pojawią się instrukcje zamiany np. części obudowy dysku WD o pojemności 100 GB na obudowę dysku 1 TB…