Proste ukrywanie obszarów dysku przed oprogramowaniem śledczym
Wyobraźcie sobie zwykły dysk twardy, którego 90% objętości jest całkowicie niewidoczne dla profesjonalnych programów używanych przez biegłych sądowych do analizy nośników. Taki dysk każdy może sam przygotować w ciągu kilku minut.
Biegli sądowi często dla zlecenie organów ścigania analizują różne nośniki informacji. Przeszukują niewykorzystane obszary dysku, analizują strzępy informacji z plików tymczasowych, borykają się z szyfrowaniem lub usuniętymi danymi. Ich praca najczęściej opiera się na założeniu, że profesjonalne narzędzia do analizy dysków, z których korzystają, podają im prawidłowe informacje. Można jednak tak zmanipulować zapis na dysku, by jedna z partycji zniknęła z pola widzenia biegłego.
Kombinacje z dyskiem Xboxa
Jeśli ktoś z Was ma zacięcie techniczne, może próbować zaimplementować tylną furtkę w pamięci flash dysku twardego lub zapisywać dane w jego obszarach serwisowych. Są jednak dużo prostsze rozwiązania. Kilku badaczy opublikowało niedawno ciekawy artykuł poświęcony jeden, prostej technice manipulacji dyskiem twardym. Wykorzystali oni narzędzie HDDHACKR, używane przez modderów Xboxów. Microsoft, producent konsoli, nie chciał dopuścić do tego, by użytkownicy Xboxów mogli wsadzać do nich dowolne dyski twarde, zatem użytkownicy zareagowali prawidłowo i stworzyli oprogramowanie, które potrafi na inny dysk nanieść specjalne sektory z oprogramowaniem dysku, odczytane z oryginalnego nośnika i podpisane przez Microsoft. Dzięki tej operacji użytkownicy Xboxów mogą dużo taniej wymienić dysk twardy w swojej konsoli, a badacze mogli użyć narzędzia do zmanipulowania dysku w innym celu.
Wczoraj Western Digital, dzisiaj Fujitsu
Aby skutecznie ukryć większą część dysku twardego, należy przeprowadzić kolejno poniższe operacje. Po pierwsze niezbędny będzie zakup odpowiedniego dysku. HDDHACKR obsługuje tylko wybrane dyski – są to napędy Western Digital z serii Scorpio, Scorpio Blue, Scorpio Black, AV-25 oraz VelociRaptor. Największy z nich WD10TPVT ma pojemność 1 TB. Drugim krokiem będzie wykonanie kopii oprogramowania dysku (firmware) WD przy użyciu HDDHACKRa oraz wgranie oprogramowania dysku Fujitsu o pojemności 20 GB na dysk WD o pojemności 1 TB . W kroku trzecim trzeba sformatować partycję o pojemności 20 GB i zgrać kopię głównego rekordu startowego dysku (MBR) np. za pomocą narzędzia mbrutil.exe. Po wykonaniu tych operacji dysponujemy dyskiem, który przedstawia się jako Fujitsu o pojemności 20 GB.
Jak teraz można skorzystać z pozostałych 980 GB pojemności dysku? Wystarczy wgrać firmware oryginalnego dysku 1 TB i założyć drugą partycję, obejmującą ukryty do tej pory obszar. Po wykonaniu tej operacji należy wykonać drugą kopię MBR. Aby ponownie ukryć dane wystarczy podmienić firmware i MBR na poprzednią wersję, a dysk znowu straci większość swojej pojemności.
Programy i urządzenia głupieją
Sama operacja podmiany danych wydaje się dość trywialna i pewnie łatwo ją wykryć. Aby zbadać tę hipotezę dysk poddano analizie za pomocą popularnego oprogramowania oraz sprzętu przeznaczonego do tego celu. Ku lekkiemu zaskoczeniu badaczy FTK Imager (wersja 3.1.1) od razu zaakceptował fakt, że ma do czynienia z dyskiem o pojemności 20 GB i nie sygnalizował żadnych problemów. Również narzędzie hdparm nie wykryło żadnych ukrytych obszarów dysku. W kolejnym etapie badacze użyli sprzętu DeepSpar firmy Data Recovery Systems, jednak on również dał się bez problemu oszukać. Także urządzenie PC-3000 firmy AceLaboratory uwierzyło, że ma do czynienia z dyskiem Fujitsu o małej pojemności.
Co raportuje oszukany PC-3000
Jak wykryć oszustwo?
Autorzy badania opracowali także zestaw wskazówek dla osób, zajmujących się analizą napędów, umożliwiający wykrycie modyfikacji. Po pierwsze i chyba najważniejsze, należy porównać etykietę dysku z informacjami wskazanymi przez jego oprogramowanie. O ile podmiana oprogramowania okazuje się prosta, to już podmiana etykiety może być większym wyzwaniem. W przypadku, gdy etykieta jest zniszczona lub nieczytelna, można posiłkować się nawet zdjęciami obudowy tego samego modelu lub układem płyty głównej urządzenia (wraz z PC-3000 dostarczany jest katalog zdjęć etykiet dysków i ich układów scalonych). Należy także wyjątkowo wnikliwie przyglądać się dyskom Western Digital z serii wymienionych powyżej oraz zwracać uwagę na ewentualne kopie MBR czy firmware na innych nośnikach.
Porady te wydają się znacząco ograniczać ryzyko bycia oszukanym przez sprytnego moddera, jednak kto wie, czy wkrótce w sieci nie pojawią się instrukcje zamiany np. części obudowy dysku WD o pojemności 100 GB na obudowę dysku 1 TB…
Podobne wpisy
- Ekspert informatyki śledczej Krzysztof Bińkowski gościem Rozmowy Kontrolowanej w niedzielę o 21
- Najgorszy jeden dolar na świecie, najlepsze 10 lat uciekania FBI
- Starszy pan, który oszukał Hermanna Göringa na półtora miliona guldenów
- Ciekawe życie fałszerza banknotów i sprawna interwencja Secret Service
- Polak potrafi – fałszował banknoty euro i sprzedawał w sieci Tor
Ekhm. Chcemy ukryć coś ważnego tak? Czyli hasła, loginy, numery kont, imiona i nazwiska. Nie potrzebujemy na to 500GB miejsca. Przy dysku 1TB zakres niedokładności w przypadku wielkości fizycznej to ok. 30GB, wystarczy zrobić formata, podpiąć czysty dysk, zobaczyć ile mamy wielkości fizycznej i zwiększyć to sobie o niewielki zakres 1-5GB korzystając z powyższej metody. Już. Nie trzeba zmieniać obudowy. Co najlepsze, niedokładność ta jest nie tylko różna dla poszczególnych modeli, ale również dla poszczególnych sztuk (to są tak zwane straty produkcyjne, czyli np. niedokładność w drukowaniu ostatnich dwóch ścieżek na talerzu, albo przesunięty o 0,1 milimetra magnes neodymowy) i tutaj też wynosi między 1-3GB.
Dokładnie tak. Programowana zamiana nowoczesnego dysku 1 TB na archaiczny 20 GB jest bardzo łatwa do wykrycia – interfejs, grubość, układ elektroniki i sam fakt, że w nowoczesnym komputerze jest dysk takiej pojemności.
Duże lepiej jest nieznacznie zmniejszyć dysk – o kilka gigabajtów albo podmienić naklejkę z bliźniaczego modelu o mniejszej liczbie głowic. Wówczas z dysku 1 TB możemy zrobić 750 GB bez różnic zewnętrznych.
Jak wykryć oszustwo?
Bo przecież każdy uzna 20 gigowy dysk SATA ze zdartą naklejką za coś zupełnie normalnego.
Właśnie.
Tym bardziej, gdy właściciel obraca w sieci setkami GB danych, nie? ;)
W standardzie ATAPI jest dostępne polecenie SET MAX ADDRESS, które ustawia maksymalny LBA dysku (fizyczny odczyt/zapis powyżej tego adresu jest niemożliwy). Aczkolwiek nie wiem jak radzą sobie z wykrywaniem tej zmiany programy informatyki śledczej.
Radzą sobie bez problemu, zobacz oryginalny artykuł :)
Faktycznie, jest o tym mowa. Aczkolwiek zastanawia mnie czy wgranie firmware od innego dysku nie spowoduje „rozklekotania” takiego dysku na dłuższą metę (tutaj myślę, że użycie Fujitsu na WD było tylko PoC). Poza tym procedura nie jest dość szybka, bardziej nadaje się to do ochrony jakiegoś storage dysku niż domowego kompa. Co więcej jak wynika z pdf-a – jeśli wiemy jaki jest oryginalny model dysku, to bez problemu można odczytać ukrytą część.
A nie lepiej skorzystać z TrueCrypta…
Czasem lepiej nie odpowiadać na pytania, co jest na zaszyfrowanym dysku.
No ale przecież można założyć jedną jawną partycję TrueCrypt i drugą ukrytą w środku – podobno nie da się udowodnić istnienia ukrytej. Czy to nie skuteczniejsza metoda?
Tytuł artykułu powinien brzmieć: proste do wykrycia ukrywanie obszarów dysku ;)
No a Truecrypt oprócz szyfrowania chowa partycję. Próbowałem kilkoma starszymi programami do odzyskiwania, szukania zagubionych partycji i żaden nie znalazł partycji Tc.
Już widzę na allegro stare 20gigabajtowe dyski fujitsu „Terabajt WD”
@HDDhackr. Czy tym narzędziem można także zmodyfikować dysk, aby „udawał” dysk cyfrowego polsatu?. Mam wolnych kilka dysków i chętnie wykorzystał bym go do legalnego dekodera. Polsat niestety zablokował możliwość podpięcia dowolnego dysku do ich tunera sat.