Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak skonfiskować włączony komputer?
Jednym z najbardziej priorytetowych zadań śledczych mających zabezpieczyć komputer do dalszej analizy w laboratorium kryminalistycznym, jest zachowanie danych z pamięci ulotnych. Jednak w przypadku przejęcia pracującego systemu, w jaki sposób przetransportować go bez wyłączenia jego zasilania?
Skonfiskowanie włączonego i niezablokowanego systemu daje śledczym największe szanse na przechwycenie wszystkich ważnych dla prowadzonego postępowania danych.
Wyłączenie systemu na czas transportu do laboratorium nie wchodzi oczywiście w grę, gdyż spowoduje to utratę danych zapisanych w pamięci operacyjnej (a mogą się tam znajdować m.in. hasła), a być może nawet utratę dostępu do danych zgromadzonych na dyskach twardych (w przypadku gdy zastosowano któryś z mechanizmów szyfrowania całych partycji).
Jak się jednak okazuje, organy ścigania dysponują urządzeniami pozwalającymi na wygodne postępowanie w takich sytuacjach. Spójrzmy na możliwości urządzenia dedykowanego do transportu włączonych komputerów.
Warto również zwrócić uwagę na zaprezentowany w powyższym materiale Mouse Jiggler, czyli niewielkie urządzenie na USB udające ruchy komputerowej myszki, co ma zapobiegać zablokowaniu/uśpieniu systemu.
W taki oto sposób cały system może zostać w nienaruszonej postaci przetransportowany do laboratorium, gdzie następnie możliwe będzie dokonanie akwizycji pamięci fizycznej oraz w dalszej kolejności wykonanie obrazów dysków twardych.
Jak się bronić przed tego typu przejęciem pracującego systemu? Na myśl przychodzi przykładowo zastosowanie przyspieszeniomierza, który w razie wykrycia podejrzanych ruchów odetnie zasilanie systemu. Co ciekawe, firma Apple już jednak podobny pomysł opatentowała.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Akcelerometr można „wykręcić” i/lub inaczej unieszkodliwić – znajdzie się urządzenie do pacyfikacji. Nie twierdzę, że to łatwe czy oczywiste ale skoro wymyślili takie obejścia do zasilania to i wymyślą obejście akcelerometru.
Jeżeli dobrze się orientuję to nawet chwilowe odcięcie zasilania od komputera nie zawsze powoduje utratę danych. Zgromadzone ładunki mogą przez klika sekund utrzymywać zawartość RAM-u.
Można sobie wyobrazić takie urządzenie wbudowane na płycie głównej coby najpierw wyczyściło RAM a później odłączyło zasilanie (oczywiście to musiałoby potrwać w zależności od rozmiaru pamięci). Pozostaje problem zainicjowania sekwencji autodestrukcji :-) Najprościej mieć jakiś klawisz pod palcem. Gorzej jak po otwarciu drzwi będzie „gleba” zamiast cioci tereski z ciastem.
MateuszM,
Zgadza się, jednak dopóki takie rozwiązanie w komputerze stacjonarnym lub serwerze będzie niestandardowe, to raczej nikt nie będzie miał gotowych procedur na taką ewentualność i okaże się skuteczne. Poza tym, zdarzenie otwarcia obudowy również można „obsłużyć”.
Z nagrania wynika, że dla utrudnienia „zaboru włączonego mienia komputerowego”, zasilanie najlepiej brać bezpośrednio ze ściany ;)
A oglądałeś filmik do końca? :-)
To było zademonstrowane na gniazdku innym niż polskie. Podejrzewam, że w Polsce by tak nie zrobił, aczkolwiek ten patent podłączaniem redundantnego zasilania w gniazdo listwy jest ciekawy.
Najbezpieczniej zawsze przed podejściem do drzwi zablokować komputer.
Damian,
Gorzej, jeśli smutni panowie nie będą tak kulturalnie pukać do drzwi…
Można sobie zrobić jakiś magiczny przecisk w telefonie (który trzymamy w kieszeni), który po odpowiednim naciśnięciu wysyła do komputera określone pakiety, a tamten w tym wypadku robi czyszczenie ramu i halta. Może nawet działać zdalnie, o ile jesteśmy podpięci do sieci.
Podobnie, jak w przypadku powyższego pomysłu na szybkie zablokowanie systemu, nie wydaj mi się, byś w obliczu sprawnej akcji służb miał czas i możliwość na jakiekolwiek zabawy telefonem :).
Myślę, że można by się jeszcze pokusić o wykrywanie tego dziwnego zachowania myszki po podłączeniu mouse jigglera i w razie takiego podejrzenia zablokować system? Co myślicie?
Poza tym, taki mouse jiggler może być chyba niezłym sposobem na zrobienie komuś małego psikusa ;).
Nie wiem jak system rozpoznaje takiego mouse jigglera ale można się pokusić o rozpoznanie podłączenia więcej niż jednego pointer device-a czy jak tam się fachowa nazywa mysz. Każde wykrycie obecności kilku myszek naraz można by uznawać za podejrzane.
Ew. zrobić listę dozwolonych urządzeń tylko czy myszki mają swoje unikatowe identyfikatory?
Akcelerometr w środku obudowy połączony z jakimś prostym przekaźnikiem + fototranzystor (nie zadziałałoby w nocy) lub stycznik (zadziałałby zawsze), który miałby wykryć otwarcie obudowy. Tak chyba najprościej :)
Dobry filmik :-) Widziałem kiedyś w sieci instrukcję jak odłączyć komputer od zasilania z wykorzystaniem zwykłego nacinania kabelków i robienia obejść, potem już standardowo było przełączenie na upsa.
>że można by się jeszcze pokusić o wykrywanie tego dziwnego zachowania myszki po podłączeniu mouse jigglera i w razie takiego podejrzenia zablokować system? Co myślicie?
http://www.youtube.com/watch?v=s9fByRmAHgU&t=10m50s
Europejskie gniazdka elektryczne są bezpieczniej zbudowane. Z typowym gniazdkiem jakie można znaleźć w biurach, numer z przechwyceniem wtyczki (to urządzenie pokazywane pod koniec) nie przejdzie. Oczywiście, gdy po drodze mamy „listwę”, albo gdy zasilacz komputera ma dodatkowe gniazdo do zasilania monitora, to peszek…
1. Nikt nie musi otwierać odbudowy aby zrobić obraz działającego systemu. Po co zaglądać do środka skoro mamy działający system operacyjny?
2. O ile dobrze wiem prawie każdy element komputera ma własny unikalny ID a co najmniej każdy model.
3. Najprostszym rozwiązaniem jest wykrywanie nowych urządzeń podłączonych do PC i jeśli nie są zarejestrowane jako uprawnione to automatyczne wyłączenie systemu (niestety utrudnia normalne funkcjonowanie).
4. Liczba myszy w systemie faktycznie jest stała i to dobry pomysł i chyba najmniej uciążliwy dla użytkownika. Jednak rozwiązanie musi wykrywać tak sytuację mniejszej jak i większej liczby myszy.
5. W przypadku bezpiecznych gniazdek zawsze można naciąć izolację kabla i wpiąć się na krótko – Policja ma też elektryków.
A i przypomniała mi się na koniec taka ciekawostka: dla każdego z nas można stworzyć indywidualny profil korzystania z myszki – to taki elektroniczny autograf. Tylko nie wiem, czy to jest możliwe do wykrycia/obsługi programowej…
Trochę sztuka dla sztuki. Zrzut pamięci można wykonać na działającym systemie bez większego problemu. Obraz dysku również. .
Swoją drogą mamy właśnie w przygotowaniu tekst o realizacji zrzutów pamięci (https://code.google.com/p/volatility/wiki/Release22)
Jakby ktoś chciał się jeszcze podzielić wiedzą odnośnie innych narzędzi w tym temacie, to plz o kontakt.
–ms
Jest na prawdę banalne rozwiązanie problemu z zabraniem komputera.
Wewnątrz stacji (komputer stacjonarny) umieszcza się na dnie czujnik, np magnetyczny, a pod samym komputerem czy wykładziną kładzie się magnes płaski lodówkowy. Przesunięcie komputera z miejsca odcina zasilanie od komputera. Koszt wykonanie 10zł.
@SebaVegas: pomysł mi się podoba (skuteczny przynajmniej w przypadku urządzeń stacjonarnych), ale zamiast magnesu użyłbym… bluetooth.
Ale przecież przeniesienie serwerów on-line to żaden problem ;)
http://www.youtube.com/watch?v=vQ5MA685ApE
Można wyłaczyć zasilacz z tyłu kompa a jeżeli pracujemy na gorącym kompie to nie odchodzimy od niego ani na sekundę a przycisk „awaryjny” mamy cały czas „na pulsie”.
Jak ktoś się chce tak bawić i robić to sam to niech pamięta o tym aby oba urządzenia pracowały w tej samej fazie co sieć energetyczna, bo inaczej będzie bum – 400 V
TO nie prościej zrobić dedykowane gniazdko 110V (zwykły transformator by używać hamerykańskiego sprzętu w EU) + zasilacz przełączony na 110V? Podpięcie do tego 230V – i zasilacz spalony…
Kiedyś oglądałem film, (z akcji na jakąś organizację) w którym kilka kompów stało nad pojemnikami z kwsem. Podczas szturmu policji jeden z userów nacisnął przycisk i zwolnił zapadnie, na których stały kompy. Szybka kąpiel w kwasie załatwiła problem z czyszczeniem danych …