Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Jak skonfiskować włączony komputer?

14 sierpnia 2013, 22:54 | Narzędzia | komentarzy 25

Jednym z najbardziej priorytetowych zadań śledczych mających zabezpieczyć komputer do dalszej analizy w laboratorium kryminalistycznym, jest zachowanie danych z pamięci ulotnych. Jednak w przypadku przejęcia pracującego systemu, w jaki sposób przetransportować go bez wyłączenia jego zasilania?

Skonfiskowanie włączonego i niezablokowanego systemu daje śledczym największe szanse na przechwycenie wszystkich ważnych dla prowadzonego postępowania danych.

Wyłączenie systemu na czas transportu do laboratorium nie wchodzi oczywiście w grę, gdyż spowoduje to utratę danych zapisanych w pamięci operacyjnej (a mogą się tam znajdować m.in. hasła), a być może nawet utratę dostępu do danych zgromadzonych na dyskach twardych (w przypadku gdy zastosowano któryś z mechanizmów szyfrowania całych partycji).

Jak się jednak okazuje, organy ścigania dysponują urządzeniami pozwalającymi na wygodne postępowanie w takich sytuacjach. Spójrzmy na możliwości urządzenia dedykowanego do transportu włączonych komputerów.

Warto również zwrócić uwagę na zaprezentowany w powyższym materiale Mouse Jiggler, czyli niewielkie urządzenie na USB udające ruchy komputerowej myszki, co ma zapobiegać zablokowaniu/uśpieniu systemu.

W taki oto sposób cały system może zostać w nienaruszonej postaci przetransportowany do laboratorium, gdzie następnie możliwe będzie dokonanie akwizycji pamięci fizycznej oraz w dalszej kolejności wykonanie obrazów dysków twardych.

Jak się bronić przed tego typu przejęciem pracującego systemu? Na myśl przychodzi przykładowo zastosowanie przyspieszeniomierza, który w razie wykrycia podejrzanych ruchów odetnie zasilanie systemu. Co ciekawe, firma Apple już jednak podobny pomysł opatentowała.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. MateuszM

    Akcelerometr można „wykręcić” i/lub inaczej unieszkodliwić – znajdzie się urządzenie do pacyfikacji. Nie twierdzę, że to łatwe czy oczywiste ale skoro wymyślili takie obejścia do zasilania to i wymyślą obejście akcelerometru.

    Jeżeli dobrze się orientuję to nawet chwilowe odcięcie zasilania od komputera nie zawsze powoduje utratę danych. Zgromadzone ładunki mogą przez klika sekund utrzymywać zawartość RAM-u.

    Można sobie wyobrazić takie urządzenie wbudowane na płycie głównej coby najpierw wyczyściło RAM a później odłączyło zasilanie (oczywiście to musiałoby potrwać w zależności od rozmiaru pamięci). Pozostaje problem zainicjowania sekwencji autodestrukcji :-) Najprościej mieć jakiś klawisz pod palcem. Gorzej jak po otwarciu drzwi będzie „gleba” zamiast cioci tereski z ciastem.

    Odpowiedz
    • MateuszM,
      Zgadza się, jednak dopóki takie rozwiązanie w komputerze stacjonarnym lub serwerze będzie niestandardowe, to raczej nikt nie będzie miał gotowych procedur na taką ewentualność i okaże się skuteczne. Poza tym, zdarzenie otwarcia obudowy również można „obsłużyć”.

      Odpowiedz
  2. mrO

    Z nagrania wynika, że dla utrudnienia „zaboru włączonego mienia komputerowego”, zasilanie najlepiej brać bezpośrednio ze ściany ;)

    Odpowiedz
    • A oglądałeś filmik do końca? :-)

      Odpowiedz
      • Marcin

        To było zademonstrowane na gniazdku innym niż polskie. Podejrzewam, że w Polsce by tak nie zrobił, aczkolwiek ten patent podłączaniem redundantnego zasilania w gniazdo listwy jest ciekawy.

        Odpowiedz
  3. Damian

    Najbezpieczniej zawsze przed podejściem do drzwi zablokować komputer.

    Odpowiedz
    • Damian,
      Gorzej, jeśli smutni panowie nie będą tak kulturalnie pukać do drzwi…

      Odpowiedz
  4. ja

    Można sobie zrobić jakiś magiczny przecisk w telefonie (który trzymamy w kieszeni), który po odpowiednim naciśnięciu wysyła do komputera określone pakiety, a tamten w tym wypadku robi czyszczenie ramu i halta. Może nawet działać zdalnie, o ile jesteśmy podpięci do sieci.

    Odpowiedz
    • Podobnie, jak w przypadku powyższego pomysłu na szybkie zablokowanie systemu, nie wydaj mi się, byś w obliczu sprawnej akcji służb miał czas i możliwość na jakiekolwiek zabawy telefonem :).

      Odpowiedz
  5. Myślę, że można by się jeszcze pokusić o wykrywanie tego dziwnego zachowania myszki po podłączeniu mouse jigglera i w razie takiego podejrzenia zablokować system? Co myślicie?

    Poza tym, taki mouse jiggler może być chyba niezłym sposobem na zrobienie komuś małego psikusa ;).

    Odpowiedz
  6. MateuszM

    Nie wiem jak system rozpoznaje takiego mouse jigglera ale można się pokusić o rozpoznanie podłączenia więcej niż jednego pointer device-a czy jak tam się fachowa nazywa mysz. Każde wykrycie obecności kilku myszek naraz można by uznawać za podejrzane.

    Ew. zrobić listę dozwolonych urządzeń tylko czy myszki mają swoje unikatowe identyfikatory?

    Odpowiedz
  7. Adrian

    Akcelerometr w środku obudowy połączony z jakimś prostym przekaźnikiem + fototranzystor (nie zadziałałoby w nocy) lub stycznik (zadziałałby zawsze), który miałby wykryć otwarcie obudowy. Tak chyba najprościej :)

    Odpowiedz
  8. Dobry filmik :-) Widziałem kiedyś w sieci instrukcję jak odłączyć komputer od zasilania z wykorzystaniem zwykłego nacinania kabelków i robienia obejść, potem już standardowo było przełączenie na upsa.

    Odpowiedz
  9. xD
    Odpowiedz
  10. Grzegorz

    Europejskie gniazdka elektryczne są bezpieczniej zbudowane. Z typowym gniazdkiem jakie można znaleźć w biurach, numer z przechwyceniem wtyczki (to urządzenie pokazywane pod koniec) nie przejdzie. Oczywiście, gdy po drodze mamy „listwę”, albo gdy zasilacz komputera ma dodatkowe gniazdo do zasilania monitora, to peszek…

    Odpowiedz
  11. ~M

    1. Nikt nie musi otwierać odbudowy aby zrobić obraz działającego systemu. Po co zaglądać do środka skoro mamy działający system operacyjny?
    2. O ile dobrze wiem prawie każdy element komputera ma własny unikalny ID a co najmniej każdy model.
    3. Najprostszym rozwiązaniem jest wykrywanie nowych urządzeń podłączonych do PC i jeśli nie są zarejestrowane jako uprawnione to automatyczne wyłączenie systemu (niestety utrudnia normalne funkcjonowanie).
    4. Liczba myszy w systemie faktycznie jest stała i to dobry pomysł i chyba najmniej uciążliwy dla użytkownika. Jednak rozwiązanie musi wykrywać tak sytuację mniejszej jak i większej liczby myszy.
    5. W przypadku bezpiecznych gniazdek zawsze można naciąć izolację kabla i wpiąć się na krótko – Policja ma też elektryków.
    A i przypomniała mi się na koniec taka ciekawostka: dla każdego z nas można stworzyć indywidualny profil korzystania z myszki – to taki elektroniczny autograf. Tylko nie wiem, czy to jest możliwe do wykrycia/obsługi programowej…

    Odpowiedz
  12. yaslaw

    Trochę sztuka dla sztuki. Zrzut pamięci można wykonać na działającym systemie bez większego problemu. Obraz dysku również. .

    Odpowiedz
  13. SebaVegas

    Jest na prawdę banalne rozwiązanie problemu z zabraniem komputera.
    Wewnątrz stacji (komputer stacjonarny) umieszcza się na dnie czujnik, np magnetyczny, a pod samym komputerem czy wykładziną kładzie się magnes płaski lodówkowy. Przesunięcie komputera z miejsca odcina zasilanie od komputera. Koszt wykonanie 10zł.

    Odpowiedz
  14. p

    @SebaVegas: pomysł mi się podoba (skuteczny przynajmniej w przypadku urządzeń stacjonarnych), ale zamiast magnesu użyłbym… bluetooth.

    Odpowiedz
  15. Odpowiedz
  16. Grom

    Można wyłaczyć zasilacz z tyłu kompa a jeżeli pracujemy na gorącym kompie to nie odchodzimy od niego ani na sekundę a przycisk „awaryjny” mamy cały czas „na pulsie”.

    Odpowiedz
  17. Andrzej

    Jak ktoś się chce tak bawić i robić to sam to niech pamięta o tym aby oba urządzenia pracowały w tej samej fazie co sieć energetyczna, bo inaczej będzie bum – 400 V

    Odpowiedz
  18. vanitas

    TO nie prościej zrobić dedykowane gniazdko 110V (zwykły transformator by używać hamerykańskiego sprzętu w EU) + zasilacz przełączony na 110V? Podpięcie do tego 230V – i zasilacz spalony…

    Odpowiedz
  19. FTW

    Kiedyś oglądałem film, (z akcji na jakąś organizację) w którym kilka kompów stało nad pojemnikami z kwsem. Podczas szturmu policji jeden z userów nacisnął przycisk i zwolnił zapadnie, na których stały kompy. Szybka kąpiel w kwasie załatwiła problem z czyszczeniem danych …

    Odpowiedz

Odpowiedz