A “brief” intro to antiforensics

 

Οι παρακάτω πληροφορίες είναι υπό αναθεώρηση. Συνεπώς συντακτικά και ορθογραφικά λάθη καθώς και πεπαλαιωμένες πληροφορίες είναι πιθανό να υπάρχουν.  Νεότερη έκδοση των παρακάτω θα κυκλοφορήσει σύντομα. Προς το παρόν όλες οι πληροφορίες θα είνα συμπυκνωμένες σε ένα post. Αργότερα με τη νεότερη έκδοση, θα χωριστούν σε κατηγορίες και σε περισσότερα posts για καλύτερη αναζήτηση και ανάγνωση.Διορθώσεις/σχόλια/προτάσεις είναι ευπρόσδεκτα. Για επικοινωνία μπορείτε είτε να αφήσετε ένα σχόλιο στο blog είτε να επικοινωνήσετε στο mail echØ@espiv.net . Σε περίπτωση που θέλετε να επικοινωνήσετε κρυπτογραφημένα, το public key του mail μπορεί να βρεθεί σε κάποιον public key server όπως π.χ το pgp.mit.edu. To id του public key είναι E695330C.

antiforensics project team

 

Περιεχόμενα

Χρήσιμες Πληροφορίες

Man In The Middle attack

Κρυπτογραφία

Παρακολουθήσεις κινητών τηλεφώνων

Case study

Pc related antiforensics

Metadata

Ίχνη στο δίσκο

Ίχνη του λειτουργικού συστήματος

Ίχνη από διεγραμμένα αρχεία

Συμπεράσματα

Ασφάλεια αρχείων

Δικτυακά ίχνη

Παρακολούθηση του internet

Ανωνυμία στο internet

Κρυπτογραφία στο internet

Άλλοι μέθοδοι παρακολούθησης

Ενώνοντάς τα όλα μαζί

Επίλογος

 

Technology related forensics and anti-forensics

Ίχνη που σχετίζονται με τεχνολογία τα οποία μπορεί να αξιοποιήσει η σήμανση

 

Forensics is the preservation, identification, extraction, documentation
and interpretation of computer data as evidence

 

Antiforensics attempts to negatively affect the existence, amount
and/or quality of evidence from a crime scene, or make the analysis
and examination of evidence diffucult or impossible to conduct

 

Αυτά που θα πούμε παρακάτω, σε καμία περίπτωση δεν πρέπει να θεωρηθούν σενάρια επιστημονικής φαντασίας. Πολλά από αυτά που βλέπουμε σε ταινίες και τα θεωρούμε απίστευτα, υπάρχουν στα χέρια του στρατού εδώ και χρόνια. Επειδή σε ότι αφορά θέματα τεχνολογίας, ο στρατός και το κράτος γενικότερα έχουν το πάνω χέρι (μην ξεχνάμε ότι το internet το εφήυρε ο στρατός και μετά από κάποια χρόνια δόθηκε στο κοινό), καλό είναι να γνωρίζουμε πως πρέπει να χρησιμοποιούμε διάφορα τεχνολογικά προϊόντα (όπως κινητά και υπολογιστές) καθώς η άγνοια των μειονεκτημάτων τέτοιων συσκευών, μόνο εναντίον μας μπορεί να στραφεί. Όλα όσα θα ειπωθούν παρακάτω είναι πραγματικά και όχι υποθετικά και είναι τεχνογνωσία η οποία υπάρχει εδώ και χρόνια και όχι κάτι καινούριο. Δε θα μπούμε στη διαδικασία να αναλύσουμε το αν υπάρχει το τεράστιο δίκτυο παρακολούθησης που ακούει στο όνομα echelon. Θα περιγράψουμε πράγματα τα οποία είναι ήδη γνωστά.

 

Σκοπός λοιπόν των παρακάτω, δεν είναι να τρομοκρατηθούμε, αλλά να μεταφερθεί κάποια γνώση, η χρήση της οποίας θα μπορεί να βοηθήσει κάποιον κόσμο στο να κινηθεί ανάλογα, και για κάθε ενέργεια του να γνωρίζει τους κινδύνους και το ρίσκο που ενυπάρχουν σε κάποια θέματα, καθώς και ποιες λύσεις ή κατευθύνσεις μπορεί να ακολουθήσει ώστε να ελαχιστοποιήσει τους κινδύνους αυτούς. Είναι βασικό αν κάποιος θέλει να κάνει κάποια πράγματα να γνωρίζει πως θα μπορέσει να τα υλοποιήσει με τη μέγιστη δυνατή ασφάλεια. Και φυσικά από εκεί και πέρα είναι στην ευχέρεια του καθενός το αν θα ακολουθήσει τις λύσεις και τις συμβουλές που προτείνονται εδώ, οι οποίες σε καμία περίπτωση δεν πρέπει να θεωρηθούν ως “απόλυτη λύση”. Σκοπός είναι να αναλυθούν κάποια ζητήματα, να αναλυθούν σύντομα τα προβλήματα ασφάλειας, καθώς και το πως μπορούν να αντιμετωπιστούν, και στη συνέχεια ο αναγνώστης να κάνει τις προσωπικές του επιλογές. Οι λύσεις που παρουσιάζονται εδώ σε κάποια σημεία μπορεί να φαίνονται παρανοϊκές. Είναι. Από εκεί και πέρα ο καθένας μπορεί να επιλέξει το πόσο παρανοϊκός θα γίνει. Ας γνωρίζουμε όμως, πως η τεχνολογία καθημερινά προχωρά και ειδικά στον κλάδο της ασφάλειας. Συνεπώς αυτά που προτείνουμε σήμερα σαν λύσεις, μπορεί σε λίγο καιρό να θεωρούνται άχρηστα. Η ενημέρωση για τον συγκεκριμένο τομέα, απαιτεί καθημερινή ενασχόληση και αναζήτηση και πολλές φορές απαιτεί την απόκτηση εξεζητημένης γνώσης για τη σωστή αξιολόγηση των εξελίξεων.

Σημείωση: Σε ορισμένα σημεία, είναι πιθανό να γίνουν κάποιες απλοποιήσεις στην εξήγηση ορισμένων εννοιών καθώς η αναλυτική επεξήγηση θα ήταν και κουραστική και ανούσια για το σκοπό του συγκεκριμένου κειμένου. Σε όποιο σημείο γίνεται ανάλυση των τεχνολογιών και των μεθοδολογιών, έχει γίνει προσπάθεια να διατηρηθεί ένα επίπεδο βασικό λαμβάνοντας πάντα υπόψιν να είναι ταυτοχρόνως αρκετό για την κατανόηση. Βασικός στόχος είναι να μη χρειάζεται κάποιος να καταδυθεί στα άδυτα της τεχνολογίας για να κατανοήσει τα παρακάτω, αλλά να γνωρίζει κάποια βασικά πράγματα ώστε να μπορεί να κατανοήσει το πως λειτουργούν οι παρακολουθήσεις σε αυτόν τον τομέα καθώς και με ποιους τρόπους μπορεί να τις αποφύγει. Σε περίπτωση που κάποιος θεωρεί ότι υπάρχουν λάθη ή ανακρίβειες σε αυτά που ακολουθούν ή θεωρεί πως πρέπει να υπάρχει περισσότερη/λιγότερη επεξήγηση σε κάποιο θέμα ή προσθήκες, μπορεί να στείλει mail στο echø@espiv.net ή να αφήσει κάποιο σχόλιο στο https://antiforensics.espivblogs.net το οποίο θα αποτελεί και το επίσημο site της συγκεκριμένης προσπάθειας. Το e-mail καθώς και το blog θα ελέγχονται ανά άτακτα χρονικά διαστήματα. Κάθε αναδημοσίευση ολική ή μερική με οποιονδήποτε τρόπο (είτε έντυπα είτε όχι), είναι ευπρόσδεκτη χωρίς να κρίνεται απαραίτητη η αναφορά της πηγής. Λακέδες της εξουσίας και ΜΜΕ θα μας βρουν απέναντί τους.

Χρήσιμες Πληροφορίες

που θα βοηθήσουν στην κατανόηση των θεμάτων που θα αναπτύξουμε αργότερα.

Man In The Middle attack (MITM):

Έτσι ονομάζεται το ενδεχόμενο όπου ένας τρίτος υποκλέπτει τις πληροφορίες που ανταλλάσσουμε με κάποιον. Θα δώσουμε ένα συγκεκριμένο και υπαρκτό παράδειγμα, για να γίνει περισσότερο κατανοητή αυτού του είδους η υποκλοπή.

Ας πούμε ότι μιλάμε στο κινητό μας τηλέφωνο. Αυτό που συμβαίνει είναι το εξής: Η συσκευή μας, επικοινωνεί με την κεραία για να στείλει δεδομένα και η κεραία επικοινωνεί με τη συσκευή μας για να στείλει με τη σειρά της δεδομένα. MITM attack είναι να μπει κάποιος τρίτος ανάμεσα σαν διαμεσολαβητής και να αναλάβει αυτός την επικοινωνία. Στο συγκεκριμένο παράδειγμα, ο τρίτος θα παίρνει από εμάς τα δεδομένα που προορίζονται για την κεραία και θα τα στέλνει αυτός στην κεραία (κάτι σαν ταχυδρομείο). Το ίδιο θα κάνει και με τα δεδομένα που η κεραία προορίζει για εμάς. Φυσικά, από τη στιγμή που όλα τα δεδομένα πλέον περνάνε μέσω αυτού του διαύλου, αυτός μπορεί να δει και τι δεδομένα ανταλλάσσουμε (όπως το ίδιο μπορεί να κάνει και το ταχυδρομείο με την αλληλογραφία μας). Είναι πολύ δύσκολο να αντιληφθούμε την ύπαρξη μιας τέτοιας υποκλοπής χωρίς συγκεκριμένα εργαλεία ελέγχου καθώς ο υποκλοπέας ξεγελάει και τον δέκτη και τον αποστολέα και υποδύεται τον αποστολέα και τον δέκτη αντίστοιχα. Με λίγα λόγια αν έχουμε τον Bob που επικοινωνεί με την Alice, ο Gordon μπορεί να γίνει ο man in the middle και στον Bob να υποδύεται ότι είναι η Alice και στην Alice ότι είναι ο Bob, με αποτέλεσμα όλη η επικοινωνία να περνάει μέσω αυτού. Μια λύση για αυτό το πρόβλημα, είναι η χρήση της κρυπτογράφησης των δεδομένων που ανταλλάσσουμε. Η χρήση διαμεσολαβητών στις επικοινωνίες μας, δεν είναι πάντα κάτι αρνητικό. Θα δούμε περισσότερα στην περίπτωση της ανωνυμίας στο internet.

Κρυπτογραφία

Κρυπτογραφία είναι η απόκρυψη του περιεχομένου ενός μηνύματος. Με λίγα λόγια αν έχουμε ένα μήνυμα “Γεια”, κρυπτογραφημένο αυτό το μήνυμα μπορεί να φαίνεται “4356”. Όταν κρυπτογραφούμε ένα κείμενο, χρειαζόμαστε έναν αλγόριθμο κρυπτογράφησης και ένα κλειδί. Αλγόριθμος κρυπτογράφησης είναι η περιγραφή της διαδικασίας της κρυπτογράφησης, είναι δηλαδή κάτι σαν συνταγή. Το κλειδί είναι ουσιαστικά τα συστατικά αυτής της συνταγής. Η κρυπτογραφία λύνει το πρόβλημα της απώλειας ή της υποκλοπής μιας πληροφορίας, καθώς αν η πληροφορία αυτή είναι κρυπτογραφημένη, θα πρέπει να αποκρυπτογραφηθεί με τη χρήση του κλειδιού αποκρυπτογράφησης και τον αλγόριθμο αποκρυπτογράφησης. Ο αλγόριθμος αποκρυπτογράφησης περιγράφει την αντίστροφη διαδικασία, δηλαδή είναι συνταγή του πως θα μετατρέψουμε ένα ακαταλαβίστικο κείμενο σε χρήσιμη πληροφορία. Το κλειδί αποκρυπτογράφησης μπορεί είτε να είναι το ίδιο με το κλειδί κρυπτογράφησης (οπότε μιλάμε για συμμετρική κρυπτογραφία), είτε να είναι διαφορετικό (οπότε μιλάμε για ασύμμετρη κρυπτογραφία). Υπάρχουν πάρα πολλοί απλοί και πολύπλοκοι αλγόριθμοι κρυπτογράφησης. Είναι προφανές ότι για να αποκρυπτογραφήσουμε ένα κείμενο που έχει κρυπτογραφηθεί π.χ με τον αλγόριθμο Α, χρειαζόμαστε τον αλγόριθμο αποκρυπτογράφησης Α για να μπορέσουμε να αντιστρέψουμε τη διαδικασία.

Δηλαδή:

Μήνυμα
+ αλγόριθμος κρυπτογράφησης
+ κλειδί = κρυπτογραφημένο μήνυμα
αλγόριθμος αποκρυπτογράφησης
+ κλειδί αποκρυπτογράφησης
+ κρυπτογραφημένο μήνυμα = Μήνυμα

 

Υπάρχουν αλγόριθμοι κλειστού κώδικα (μυστικοί) και ανοιχτού κώδικα (ελεύθεροι) οι οποίοι υλοποιούνται από προγράμματα. Για παράδειγμα ο αλγόριθμος που χρησιμοποιούν τώρα τα κινητά για την κρυπτογράφηση των συνομιλιών λέγεται Α5 και είναι κλειστός. Το να είναι ένας αλγόριθμος κλειστός δεν είναι απαραίτητα καλό, γιατί δεν μπορεί να ελεγχθεί ο αλγόριθμος για προβλήματα. Ένας αλγόριθμος ανοιχτού κώδικα (open source) σημαίνει πως μπορεί να ελεγχθεί από όλους. Αυτό με μια πρώτη ματιά μπορεί από κάποιον να θεωρηθεί κακό. Όμως θα πρέπει να γνωρίζουμε πως υπάρχουν πάρα πολλοί ακαδημαϊκοί οι οποίο ασχολούνται με την αξιολόγηση τέτοιων αλγορίθμων. Συνεπώς, σε περίπτωση που βρεθεί κάποιο λάθος, έχουμε περισσότερες πιθανότητες να το μάθουμε, ενώ μπορεί ταυτόχρονα να παρουσιαστούν και λύσεις. Στην περίπτωση κλειστού κώδικα, η εύρεση ενός λάθους είναι αρκετά πολύπλοκη καθώς απαιτεί συνεχές τεστάρισμα για λάθη. Δηλαδή κάποιος πρέπει να εκτελεί συνέχεια το πρόγραμμα με διαφορετικά δεδομένα για να ανακαλύψει τυχόν λάθη, που στην περίπτωση ανοιχτού κώδικα μπορεί να φαινόντουσαν με την πρώτη ματιά. Πέραν τούτου, πολλές φορές η ανακάλυψη ενός προβλήματος σε ένα πρόγραμμα/αλγόριθμο κλειστού κώδικα, μένει μυστική καθώς λόγω της μυστικότητας του αλγορίθμου υπάρχουν λιγότερες πιθανότητες να ανακαλύψει και άλλος το πρόβλημα, με αποτέλεσμα το άτομο που ανακάλυψε αρχικά το πρόβλημα να το εκμεταλλεύεται για τον εαυτό του. Στο παράδειγμα του Α5, όταν διέρρευσαν κάποια κομμάτια του αλγορίθμου βρέθηκαν διάφορα προβλήματα στον αλγόριθμο η εκμετάλλευση των οποίων μπορούσε να οδηγήσει στην αποκρυπτογράφηση μηνυμάτων χωρίς το κλειδί. Με αυτό τον τρόπο είναι εφικτή η υποκλοπή συνομιλιών κινητής τηλεφωνίας χωρίς τη συναίνεση της εταιρίας. Δηλαδή μέσω ενός MITM attack κάποιος τρίτος παρόλο που τα δεδομένα της τηλεφωνίας που υποκλέπτει είναι κρυπτογραφημένα, μπορεί να τα αποκρυπτογραφήσει. Όταν ο αλγόριθμος κρυπτογράφησης έχει πρόβλημα(bug) τότε η διαδικασία εύρεσης του κωδικού(κλειδιού) μπορεί είτε να παρακαμφθεί είτε να μειωθεί αισθητά ο χρόνος ανεύρεσης του κωδικού.

Μια μικρή λεπτομέρεια πάνω σε αυτό: οι περισσότερες κρυπτογραφήσεις που είναι ανασφαλείς πλέον, είναι συνήθως εξαιτίας της λανθασμένης υλοποίησης του αλγορίθμου κρυπτογράφησης. Και εδώ ακριβώς τίθεται το θέμα της εξέλιξης, καθώς κάποια στιγμή στο μέλλον μπορεί να βρεθεί ότι η υλοποίηση ενός αδιαπέραστου αλγορίθμου από προγράμματα που θα αναφέρουμε παρακάτω, είναι προβληματική. Αυτό δε σημαίνει ότι ο αλγόριθμος (π.χ Blowfish) είναι προβληματικός, αλλά ότι το πρόγραμμα δεν τον υλοποιεί σωστά και συνεπώς το να κρυπτογραφούμε τα δεδομένα μας με αυτό το πρόγραμμα, πλέον δεν τα καθιστά ασφαλή. Επίσης μπορεί το πρόγραμμα να χρησιμοποιεί έναν σωστό αλγόριθμο, αλλά κάποια προγραμματιστικά λάθη του προγράμματος να το κάνουν ανασφαλές. Αυτό που πρέπει να κρατήσουμε εδώ, είναι ότι ο αλγόριθμος κρυπτογράφησης, είναι στην ουσία μαθηματικά. Οπότε ο κλάδος των μαθηματικών θα βρει λάθη στον αλγόριθμο. Συνήθως, η εύρεση ενός λάθους σημαίνει συχνά πως το πραγματικό μήνυμα μπορεί να βρεθεί σε λιγότερο χρόνο από ότι θα έπρεπε ενώ πιο σπάνια σημαίνει πως ένα μήνυμα μπορεί να βρεθεί αμέσως. Επειδή όμως ο αλγόριθμος είναι μαθηματικά, με κάποιον τρόπο πρέπει να μεταφερθεί στον υπολογιστή μας. Και εδώ είναι που ξεκινάνε τα πραγματικά λάθη, είτε με λάθος προγραμματιστική υλοποίηση του αλγορίθμου, είτε με άλλα λάθη του προγράμματος.

Οπότε επιλέγουμε ανοιχτούς αλγορίθμους και κατά προτίμηση ανοιχτά (open source) προγράμματα υλοποίησης-κρυπτογράφησης. Ένα σύντομο παράδειγμα που αποδεικνύει τη σημασία των όσων είπαμε παραπάνω είναι το εξής: Το 2007 η αμερικάνικη κυβέρνηση παρουσίασε 4 νέα στάνταρ κρυπτογράφησης που τα πρότεινε ως ασφαλή και η NSA. Η πρόταση αυτή φυσικά ήταν σε ανοιχτό κώδικα (καθώς κανείς δεν εμπιστεύεται την NSA). Όπως φάνηκε αργότερα και παρουσιάστηκε στο συνέδριο κρυπτογραφίας CRYPTO τον ίδιο χρόνο, ένας από τους αλγορίθμους που προτεινόταν είχε ένα καλά κρυμμένο σφάλμα που ουσιαστικά άνοιγε μια κερκόπορτα (backdoor) στο ασφαλές μήνυμα. Το σφάλμα αυτό ήταν φυσικά μαθηματικό ενώ ήταν αρκετά πολύπλοκη διαδικασία η ανακάλυψή του. Οι ερευνητές που το ανακάλυψαν έμειναν άφωνοι καθώς δεν υπήρχε δικαιολογία για τέτοιο σφάλμα, με λίγα λόγια μόνο εσκεμμένα θα μπορούσε να γίνει κάτι τέτοιο. Σκεφτείτε λοιπόν πόσο δύσκολα θα βρισκόταν ένα τόσο καλά κρυμμένο backdoor σε περίπτωση που ο αλγόριθμος ήταν κρυφός.

 

Επίσης όσο μεγαλύτερο κωδικό(κλειδί) χρησιμοποιούμε, τόσο καλύτερα. Ας πάρουμε ένα υποθετικό σενάριο κρυπτογράφησης. Έστω ότι έχουμε ένα κρυπτογραφημένο μήνυμα τριών(3) χαρακτήρων. Για παράδειγμα Α Β Γ. Ας πούμε ότι κάθε γράμμα αντιστοιχεί σε 1 αληθινό γράμμα (δηλαδή το αποκρυπτογραφημένο μήνυμα είναι και αυτό 3 χαρακτήρες). Ας πούμε επίσης ότι το μήνυμα μας είναι στην πραγματικότητα ένας 3ψηφιος αριθμός και ο υποκλοπέας το γνωρίζει αυτό. Αυτό τι σημαίνει πρακτικά για τον υποκλοπέα ; Ο αριθμός μπορεί να είναι ο 001, ο 123, ο 357, ή ο 999 για παράδειγμα. Άρα, ο υποκλοπέας πρέπει να εξετάσει όλους τους πιθανούς συνδυασμούς (πάντα για να βρούμε την πολυπλοκότητα ενός υπολογισμού παίρνουμε τη χειρότερη περίπτωση, άρα εδώ την περίπτωση ο σωστός αριθμός να είναι ο τελευταίος που θα εξεταστεί, δηλαδή ο 999). Ποιος είναι ο αριθμός των συνδυασμών ; Στη συγκεκριμένη περίπτωση είναι 103 (δηλαδή 1000 συνδυασμούς αφού έχουμε από το 000 – 999). Πως υπολογίζεται γενικά αυτός ο αριθμός; Ο τύπος είναι ο εξής:

(πλήθος ψηφίων από τα οποία μπορώ να διαλέξω για κωδικό)πόσα ψηφία είναι ο κωδικός μου

Στο παράδειγμα μας η βάση είναι 10(αφού διαλέγω χαρακτήρες από το 0 έως και το 9) και ο εκθέτης 3(αφού ο κωδικός μου είναι ΑΒΓ άρα 3 χαρακτήρες).

 

Πως λειτουργεί η εύρεση κωδικών

Στην περίπτωση που ο αλγόριθμος κρυπτογράφησης που χρησιμοποιούμε δεν έχει προβλήματα, κάποιος για να βρει τον κωδικό μας πρέπει να μαντέψει ποιος είναι ψάχνοντας τον σε ένα πλήθος συνδυασμών. Οι περισσότεροι αλγόριθμοι υποστηρίζουν τη χρήση όλων των χαρακτήρων του πληκτρολογίου (δηλαδή τους αριθμούς, τα αγγλικά γράμματα, τα κόμματα τις τελείες κλπ). Όλοι αυτοί οι χαρακτήρες συνολικά είναι 94 καθώς παίζει ρόλο και αν ένα γράμμα είναι κεφαλαίο ή όχι. Στην περίπτωση ενός τριψήφιου κωδικού με βάση το παραπάνω ο αριθμός των συνδυασμών είναι 943 = 830.584. Δηλαδή ακόμα και σε αυτή την περίπτωση του μικρού κωδικού ο αριθμός είναι σχετικά μεγάλος. Αν είχαμε ένα 30ψήφιο κωδικό οι συνδυασμοί που υπάρχουν είναι περίπου 1,5×1059. Ακόμα και ένας υπερυπολογιστής είναι αδύνατο να ψάξει όλο αυτό το πλήθος των συνδυασμών σε λίγο χρόνο. Σκεφτείτε ότι ο πιο γρήγορος υπερυπολογιστής για να υπολογίσει 2× 1023 συνδυασμούς θα κάνει 1 χρόνο. Με λίγα λόγια, θα κάνει 1 χρόνο για να υπολογίσει 1 κωδικό 13 ψηφίων (6213=2*1023 ) ο οποίος αποτελείται από γράμματα (μικρά ή μεγάλα) και αριθμούς (δηλαδή χωρίς σύμβολα).

Με αυτό το δεδομένο, για να βρεθεί ένας κωδικός, πρέπει να γίνουν κάποιες υποθέσεις και με βάση αυτές τις υποθέσεις να υπολογιστεί συγκεκριμένο πληθος συνδυασμών. Έχουμε τις παρακάτω διαδικασίες:

  • Bruteforcing: Είναι η διαδικασία όπου ψάχνουμε όλους τους πιθανούς συνδυασμούς.
  • Dictionary attack: Είναι η διαδικασία όπου θεωρούμε ότι ο κωδικός είναι μια λέξη κάποιας γλώσσας. Οπότε εξετάζουμε ένα λεξικό (ένα αρχείο με λέξεις) αυτής της γλώσσας να δούμε αν είναι κάποια από αυτές ο κωδικός.
  • Common passwords: Είναι η διαδικασία όπου ψάχνουμε να βρούμε τον κωδικό μέσα σε ένα πλήθος απλών κοινών κωδικών. Οι κωδικοι 12345 και qwerty είναι τέτοιοι κοινοί κωδικοί. Πολλοί άνθρωποι χρησιμοποιούν τέτοιους κωδικούς στην καθημερινότητα τους.
  • Hybrid attack:   Είναι η διαδικασία όπου συνδυάζονται οι παραπάνω μέθοδοι μεταξύ τους.

Η διαδικασία λοιπόν που ακολουθεί κάποιος είναι η εξής:

  • Πρώτα προσπαθεί να δει αν ο κωδικός είναι κάποιος από τους κοινούς κωδικούς.
  • Ύστερα ελέγχει αν είναι κάποιος αριθμός (αριθμός τηλεφώνου π.χ).
  • Μετά από αυτό ελέγχει αν ο κωδικός είναι μια λέξη κάποιας γλώσσας. Εδώ δημιουργείται ένα πρόβλημα υπέρ μας, καθώς σε πολλά προγράμματα δεν επιτρέπεται η χρήση ελληνικών χαρακτήρων. Οπότε μπορούμε να χρησιμοποιήσουμε greeklish (ελληνικά με λατινικούς χαρακτήρες). Η δημιουργία ενός λεξικού σε greeklish είναι αρκετά δύσκολη διαδικασία καθώς στην περίπτωση των greeklish ένας ελληνικός χαρακτήρας μπορεί να αντιπροσωπεύεται από παραπάνω από έναν λατινικούς χαρακτήρες. Για παράδειγμα το γράμμα Θ κάποιοι το γράφουν ως th και κάποιοι ως 8. Υπάρχουν πολλοί τέτοιοι χαρακτήρες που σημαίνει ότι ένα λεξικό ελληνικών λέξεων με ελληνικούς χαρακτήρες, θα είναι πολλαπλάσιο σε πλήθος αν το μετατρέψουμε σε greeklish.
  • Αν τίποτα από τα παραπάνω δεν έχει αποδώσει μέχρι στιγμής, είναι πιθανό να χρησιμοποιηθεί η μέθοδος bruteforce αλλά δεν είναι σίγουρο, καθώς μια τέτοια μέθοδος για να είναι όσο το δυνατόν γρηγορότερη απαιτεί την πλήρη δέσμευση του υπολογιστή (υπερυπολογιστή για μεγαλύτερη ταχύτητα). Οπότε το να δεσμευθεί ένας υπερυπολογιστής για να βρεθεί ένας κωδικός του οποίου η εύρεση θα αποκαλύψει αμφιβόλου ποιότητας δεδομένα (καθώς κάποιος δεν μπορεί να ξέρει το κατά πόσο αξίζει τις προσπάθειες αποκρυπτογράφησης το αποτέλεσμα) είναι αρκετά απίθανο.

Συνεπώς: Χρησιμοποιούμε όσο το δυνατόν μεγαλύτερους κωδικούς γίνεται. Επίσης να χρησιμοποιούμε όσο γίνεται περισσότερους χαρακτήρες του πληκτρολογίου. Δηλαδή κεφαλαία γράμματα, μικρά, αριθμούς και ειδικούς χαρακτήρες όπως (!,.{;”] ) . Επειδή η απομνημόνευση κωδικών με πολλά ψηφία είναι κάτι δύσκολο, αν θέλουμε να χρησιμοποιήσουμε λέξεις, είναι καλύτερο να χρησιμοποιήσουμε ελληνικές λέξεις σε greeklish(αντί για αγγλικές π.χ)

 

 

Παρακολουθήσεις κινητών τηλεφώνων

Τα κινητά πλέον είναι ένα από τα πιο ανασφαλή και επικίνδυνα μέσα επικοινωνίας. Και το χειρότερο είναι ότι δεν υπάρχει τρόπος να λύσουμε τα όποια προβλήματα και να χρησιμοποιούμε το κινητό μας (όπως μπορεί να γίνει με τον υπολογιστή μας). Ο τρόπος που λειτουργούν τα κινητά είναι να στέλνουν ένα σήμα στην κοντινότερη κεραία με πληροφορίες για τη σύνδεση (όπως αριθμός της sim) και η κεραία ελέγχει αν ο χρήστης δικαιούται να συνδεθεί(και αν δικαιούται, αν μπορεί να κάνει κλήσεις ή απλώς να λάβει). Ένα άλλο στοιχείο που στέλνεται στην κεραία, είναι ο αριθμός IMEI (International Mobile Equipment Identity) του κινητού μας τον οποίο ελέγχει η κεραία για να διαπιστώσει την εγκυρότητά του. Αυτός ο αριθμός είναι μοναδικός παγκοσμίως, δηλαδή δεν υπάρχει άλλη συσκευή που να αντιστοιχεί σε αυτήν ο ίδιος IMEI. Αυτές οι πληροφορίες καταγράφονται σε αρχεία(logs) και μπορούν να ελεγχθούν ανά πάσα στιγμή. Μετά από πόσο χρόνο σβήνονται αυτά τα αρχεία, δεν είναι γνωστό. Σίγουρα όμως δεν καταλαμβάνουν μεγάλο όγκο δεδομένων όπως για παράδειγμα καταλαμβάνουν βίντεο από κάμερες.

Λίγα λόγια για το IMEI:

Tο imei ενος κινητού μπορεί να βρεθεί ακόμα και αν δεν γνωρίζουμε τον αριθμό pin της sim. Ανοίγοντας ένα κλειστό κινητό(ισχύει για μερικά μοντέλα), στο μενού που μας ζητάει κωδικό pin, αν πατήσουμε *#06# μπορούμε να δούμε το imei της συσκευής. Με λίγα λόγια, μπορεί να μη χρειάζεται κάποιος να “ανοίξει” μια συσκευή για να μάθει πληροφορίες για αυτήν. Το ότι το IMEI είναι μοναδικό, αρχικά μπορεί σε κάποιον να φαίνεται ασήμαντο. Τι σημαίνει αυτό όμως πρακτικά;

  1. Σημαίνει ότι η εταιρία της συσκευής μας μπορεί να μπλοκάρει τον αριθμό IMEI. Όλες οι εταιρίες κινητής τηλεφωνίας παγκοσμίως, ελέγχουν σε κάθε σύνδεση τον αριθμό IMEI για να διαπιστωθεί αν είναι “καθαρός”. Αν η εταιρία(π.χ NOKIA) μπλοκάρει τον αριθμό IMEI, τότε θα είναι αδύνατον για εμάς να πάρουμε οποιοδήποτε τηλέφωνο από αυτή τη συσκευή παγκοσμίως.
  2. Σημαίνει ότι μια παρακολούθηση μπορεί να γίνει με βάση αυτό το IMEI. Δηλαδή να παρακολουθείται οποιαδήποτε συνομιλία γίνεται από αυτή τη συσκευή ανεξαρτήτως κάρτας sim που εισέρχεται.
  3. Σημαίνει ότι ακόμα και αν χρησιμοποιήσουμε μια ανώνυμη σύνδεση από τη συσκευή μας(καρτοκινητό), αν στην ίδια συσκευή έχουμε χρησιμοποιήσει στο παρελθόν ή χρησιμοποιήσουμε στο μέλλον κάποια προσωπική μας σύνδεση, μπορούν να μας εντοπίσουν. Θα αναφερθούμε παρακάτω σε συγκεκριμένο παράδειγμα που συνέβη στην ελλάδα.

Πως λειτουργούν οι παρακολουθήσεις:

  1. Αυτές που μπορεί να κάνει η εταιρία κινητής τηλεφωνίας βάσει εντολών

Σε αυτού του είδους την παρακολούθηση πρέπει να δοθεί μια εντολή
από τον εισαγγελέα στην εταιρία κινητής τηλεφωνίας η οποία θα διατάζει
 μια παρακολούθηση. Αυτή η παρακολούθηση μπορεί να κινηθεί:
  • Είτε με βάση τα στοιχεία του κατόχου της σύνδεσης(δηλαδή να παρακολουθείται οποιαδήποτε σύνδεση είναι σε ένα(ή περισσότερα) συγκεκριμένο όνομα).
  • Είτε με βάση τον αριθμό IMEI της συσκευής. Δηλαδή να παρακολουθείται οποιοσδήποτε αριθμός(κάρτα SIM) χρησιμοποιεί τη συγκεκριμένη συσκευή.
  • Είτε με βάση τον αριθμό(κάρτα SIM).Δηλαδή να εντοπιστεί ένας αριθμός ύποπτος, του οποίου ο κάτοχος είναι άγνωστος(ανώνυμος) και να διαταχθεί παρακολούθηση του συγκεκριμένου αριθμού της SIM σε οποιοδήποτε τηλέφωνο συσκευή χρησιμοποιηθεί.

Σε αυτή την κατηγορία εμπίπτει η υπόθεση των παρακολουθήσεων της vodafone

  1. Αυτές που μπορεί να κάνει η αστυνομία και η ΕΥΠ από το κτήριό τους

Σε αυτού του είδους την παρακολούθηση είναι πιθανό να ζητηθεί
εισαγγελική άδεια αλλά όχι απαραίτητο καθώς από τη στιγμή
που η αστυνομία και η ΕΥΠ κατέχουν τον εξοπλισμό παρακολούθησης,
αρκεί να επικαλεστούν λόγους εθνικής ασφάλειας για να μπορούν
να παρακολουθήσουν οποιονδήποτε αριθμό θέλουν.

Αυτού του είδους η παρακολούθηση, γίνεται με την εγκατάσταση συσκευών στα δίκτυα της κινητής τηλεφωνίας. Δηλαδή η συσκευή ουσιαστικά είναι μέσα στις γραμμές της κινητής τηλεφωνίας και απλά επιλέγει πότε θα καταγράψει. Ίδιες συσκευές χρησιμοποιούνται πλέον για την παρακολούθηση της σταθερής τηλεφωνίας καθώς και για την παρακολούθηση του internet. Σκεφτείτε κάτι σαν μόνιμο man in the middle στο κέντρο της vodafone για παράδειγμα, από όπου περνάνε όλες οι συνομιλίες.

  1. Αυτές που μπορεί να κάνει η αστυνομία, η ΕΥΠ και οποιοσδήποτε έχει λεφτά αρκεί να είναι κοντά στο σημείο στο οποίο χρησιμοποιούμε το κινητό μας (αυτή η μέθοδος ίσως σε κάποιους να είναι γνωστή ως βαλιτσάκι της ΕΥΠ)

Αυτού του είδους η παρακολούθηση είναι η πιο απλή και μπορεί
να πραγματοποιηθεί και από κάποιον που μπορεί να δαπανήσει το ποσό
των χρημάτων που απαιτείται για μια τέτοια συσκευή.

Αυτή η μέθοδος πλέον σπάνια χρησιμοποιείται καθώς απαιτεί από τον χειριστή να βρίσκεται κοντά στο σημείο που γίνεται η συνομιλία. Η μόνη χρησιμότητα που μπορεί να έχει στα χέρια της ΕΥΠ (η οποία κατέχει και αυτή τη συσκευή), είναι σε περίπτωση που παρακολουθείται κάποιος αλλά δεν είναι γνωστός ούτε ο αριθμός του κινητού του (προφανώς μιλάμε για ανώνυμο), ούτε γνωστός ο αριθμός IMEI, ή σε περίπτωση που παρακολουθείται κάποιος του οποίου τα στοιχεία δεν είναι ακόμη γνωστά. Αυτή η συσκευή λειτουργεί ως man in the middle μέσω αέρα και για αυτό το λόγο πρέπει να είναι κοντά στο τηλέφωνο που θέλουμε να παρακολουθήσουμε. Ουσιαστικά λοιπόν μπαίνει σαν διαμεσολαβητής στο τηλέφωνο και την κεραία και υποκλέπτει τα πάντα (συνομιλία, αριθμό τηλεφώνου του χρήστη, αριθμό τηλεφώνου που γίνεται η κλήση, αριθμό IMEI κλπ).

Σημείωση: Όταν λέμε παρακολουθήσεις, εννοούμε παρακολούθηση και καταγραφή του περιεχομένου των συνομιλιών/sms. Πληροφορίες όπως ώρες κλήσης, ποιοι αριθμοί κλήθηκαν από ένα συγκεκριμένο νούμερο, πόση ώρα διήρκησαν οι συνομιλίες κλπ είναι στοιχεία τα οποία έτσι κι αλλιώς καταγράφονται από κάθε εταιρία κινητής τηλεφωνίας και δε χρειάζεται ούτε κάποιος ειδικός εξοπλισμός ούτε κάποια ειδική εντολή (εισαγγελική εντολή π.χ) για να ξεκινήσει μια τέτοια διαδικασία. Με λίγα λόγια, για κάθε αριθμό που ανήκει σε μια εταιρία κινητής, είτε αυτός είναι ανώνυμος είτε επώνυμος, η εταιρία κρατά αρχείο με κλήσεις, διάρκεια καθώς και στίγμα (σε ποια περιοχή είναι) του αριθμού αυτού. Οποιοδήποτε αίτημα (κλήση, σύνδεση με το δίκτυο) κάνει η συσκευή μας προς την κεραία, καταγράφεται μαζί με τον αριθμό IMEI που κάνει το αίτημα. Παράδειγμα: Ο αριθμός 693******* αιτείται μέσω της συσκευής με ΙΜΕΙ τάδε, να συνδεθεί στο δίκτυο. Δίνεται άδεια σύνδεσης στο δίκτυο. Ο συγκεκριμένος χρήστης έχει άδεια να πραγματοποιήσει κλήσεις. Ο χρήστης ζητάει να συνδεθεί με τον αριθμό 697*******. Εντοπίζεται ο συγκεκριμένος συνδρομητής, και εντοπίζεται ότι η SIM που αντιστοιχεί σε αυτόν τον αριθμό, υπάρχει στη συσκευή με αριθμό IMEI τάδε. Πραγματοποιείται κλήση την ώρα ΧΧ:ΥΥ:ΤΤ μέχρι την ώρα ΧΧ:ΥΥ:ΤΤ. Παρόμοιο αρχείο διατηρείται και για τη σταθερή τηλεφωνία καθώς και για το internet. Δεν καταγράφονται συνομιλίες αν δεν υπάρχει συγκεκριμένη εντολή.

Εντοπισμός και στίγμα συσκευής:

Όταν μιλάμε στο τηλέφωνο και είμαστε π.χ στο αυτοκίνητο δεν συνδεόμαστε μόνο με μια κεραία. Υπάρχουν πολλές κεραίες στις οποίες συνδεόμαστε. Αυτό που συμβαίνει, είναι η κεραία να εντοπίζει το στίγμα μας καθώς και την ισχύ του σήματός μας και όταν έχουμε χαμηλό σήμα, ελέγχει αν υπάρχει κάποια άλλη κεραία η οποία είναι πιο κοντά σε εμάς και μας στέλνει εκεί. Υπάρχει η φήμη που λέει πως το στίγμα της συσκευής μπορεί να δοθεί στα καινούρια κινητά ακόμα και αν η συσκευή δεν έχει μπαταρία (καθώς κρατάνε εφεδρικά ένα μικρό ποσό ρεύματος). Αυτό είναι θεωρητικά σωστό αλλά δεν είναι γνωστό το αν όντως ισχύει κάτι τέτοιο. Στην περίπτωση όμως που η συσκευή έχει μπαταρία, είναι πολύ πιθανό να συμβαίνει κάτι τέτοιο καθώς πολλές συσκευές δεν κλείνουν πλήρως όταν τις απενεργοποιούμε (το ξυπνητήρι για παράδειγμα λειτουργεί). Αυτό λοιπόν που μπορεί να βρει κάποιος πολύ εύκολα χωρίς προσπάθεια (από τη στιγμή που αυτό καταγράφεται έτσι κι αλλιώς) είναι σε ποια περιοχή – κυψέλη(ακτίνα) είναι η συσκευή μας αυτή τη στιγμή, αν είναι ανοιχτή (αν είναι κλειστή πρέπει να δοθεί ειδικό σήμα εντοπισμού από τον πύργο αλλά αυτό δεν είναι σίγουρο). Αυτό που μπορεί να δει ουσιαστικά, είναι σε πια κεραία είμαστε συνδεδεμένοι. Εδώ έρχεται το αρνητικό των πολλών κεραιών μέσα στην πόλη. Αν υπάρχουν πάρα πολλές κεραίες μέσα στην πόλη, τότε η ακτίνα εντοπισμού μειώνεται καθώς στην περίπτωση των πολλών κεραιών μιλάμε και για μικρότερη εμβέλεια. Υπάρχουν συσκευές οι οποίες λειτουργώντας σαν ψεύτικες κεραίες μπορούν να εντοπίσουν με μεγάλη ακρίβεια την τοποθεσία ενός κινητού αλλά δεν είναι γνωστό αν στην ελλάδα χρησιμοποιούνται τέτοιες συσκευές. Στην αμερική τέτοια συσκευή (λεγόταν triggerfish) είχε χρησιμοποιηθεί τη δεκαετία του ’90 για τον εντοπισμό του hacker Kevin Mitnick. Οπότε λογικά μετά από τόσα χρόνια η τεχνολογία πάνω σε αυτόν τον τομέα θα έχει αναπτυχθεί. Το γεγονός όμως ότι τέτοιες συσκευές αναπτύσσονται μόνο για κυβερνήσεις και όχι για κοινό εμπόριο μας εμποδίζει από το να γνωρίζουμε περισσότερες πληροφορίες. Η ελληνική κυβέρνηση πάντως, δεν έχει ανακοινώσει την απόκτηση τέτοιας συσκευής, χωρίς αυτό να σημαίνει κάτι φυσικά. Προφανώς αναφερόμαστε σε συσκευές που δεν υποστηρίζουν τεχνολογία GPS. Αν μια συσκευή υποστηρίζει GPS είναι πολύ εύκολο να εντοπιστεί η ακριβής τοποθεσία (με απόκλιση ελάχιστων μέτρων) της συσκευής.

Άλλοι τρόποι παρακολούθησης:

Κάθε συσκευή που είναι δέκτης μπορεί να γίνει και πομπός και αντίστροφα. Υπάρχουν προγράμματα που μπορούν να εγκατασταθούν στη συσκευή μας τα οποία μπορούν να παρακολουθήσουν σε μεγαλύτερο βαθμό τη συσκευή μας ως εξής:

  1. Αν η συσκευή μας διαθέτει GPS, θα δίνει διαρκώς το ακριβές στίγμα μας στο χειριστή του προγράμματος
  2. Υπάρχουν ρυθμίσεις σε τέτοια προγράμματα, που ορίζουν ότι αν γίνει κλήση από ένα συγκεκριμένο νούμερο(του χειριστή του προγράμματος) να θέτουν τη συσκευή σε παρακολούθηση
  3. Η παρακολούθηση στη συγκεκριμένη περίπτωση δεν είναι μόνο στις συνομιλίες. Το πρόγραμμα μπορεί να θέσει και τη συσκευή σε κατάσταση κοριού. Εμείς δηλαδή να νομίζουμε ότι η συσκευή μας δεν κάνει κλήση(σε ορισμένες περιπτώσεις το κινητό μπορεί να φαίνεται και κλειστό), και η συσκευή μας μέσω του προγράμματος να έχει συνδεθεί με κάποιον αριθμό και να λειτουργεί σαν κοριός. Στη συγκεκριμένη περίπτωση μπορεί να γίνει και χρήση της φωτογραφικής λειτουργίας της συσκευής.

 

Για να επιτευχθεί κάτι τέτοιο πρέπει το κινητό μας να υποστηρίζει την εγκατάσταση τέτοιου είδους προγραμμάτων.

Αυτό σημαίνει ότι σε παλιές συσκευές δε μπορούν να εγκατασταθούν τέτοια προγράμματα και για να γίνει εφικτή μια τέτοιου είδους παρακολούθηση, θα πρέπει η συσκευή μας να αλλαχθεί με μια ειδικά διαμορφωμένη συσκευή η οποία θα είναι εμφανισιακά πανομοιότυπη με τη δική μας. Για να μπορεί να τεθεί σε κατάσταση κοριού ένα κινητό στο οποίο δεν υπάρχει εγκατεστημένο κάποιο πρόγραμμα, θα πρέπει να έχει αλλαχθεί το γνήσιο κινητό με κάποιο πανομοιότυπο που θα περιέχει και ένα κοριό. Υπάρχει μια έντονη φημολογία στο κατά πόσο μπορεί ένα οποιοδήποτε κινητό τηλέφωνο να τεθεί σε κατάσταση κοριού χωρίς κάποιος να το πάρει στα χέρια του. Αυτή η φήμη πήρε φωτιά όταν κάποιες δημοσιεύσεις για μια επιχείρηση παρακολούθησης του FBI ανέφεραν ότι ο εισαγγελέας που έδωσε τα εντάλματα στο FBI, έδωσε και ένταλμα για έναν “περιπλανώμενο” κοριό (roving bug) σε κινητό τηλέφωνο. Επειδή δεν ξεκαθαριζόταν ακριβώς τι είδους κοριός ήταν (αν ήταν πρόγραμμα ή κάποια συσκευή), καθώς επίσης δεν ξεκαθαριζόταν ο τρόπος με τον οποίο τοποθετήθηκε, ξεκίνησε μια φημολογία που έλεγε πως οποιοδήποτε κινητό μπορεί εξ αποστάσεως να γίνει κοριός. Θα προσπαθήσουμε να αναλύσουμε αυτή τη φήμη γιατί έχει έως ένα σήμειο βάση υπό ορισμένες προϋποθέσεις.

Roving Bug

Οι δυο δημοσιεύσεις που σχετίζονται με το θέμα μπορούν να βρεθούν στα παρακάτω links:

http://www.zdnet.com/news/fbi-taps-cell-phone-mic-as-eavesdropping-tool/150467

http://news.cnet.com/FBI-taps-cell-phone-mic-as-eavesdropping-tool/2100-1029_3-6140191.html

Καταρχάς πρέπει να αναφέρουμε κάποια βασικά στοιχεία σχετικά με τη συγκεκριμένη υπόθεση. Η συγκεκριμένη παρακολούθηση είχε κριθεί αρκετά δύσκολη καθώς τα μέλη της μαφίας θεωρούνταν αρκετά προσεκτικά στις κινήσεις τους. Συνεπώς θα ήταν αρκετά δύσκολο να βρεθεί η ευκαιρία να αντικατασταθεί το κινητό τους ή να κλαπεί για λίγα λεπτά, ώστε να εγκατασταθεί ένα τέτοιο πρόγραμμα. Επίσης τα κινητά που χρησιμοποιούσαν ήταν πιθανότατα smartphones. Αυτό σημαίνει πως μπορούσε είτε με κάποιο MMS το οποίο θα περιείχε κάποιο πρόγραμμα, είτε μέσω επιθέσεων στο ασύρματο δίκτυο internet (αν χρησιμοποιούσαν), να εγκατασταθεί ένα τέτοιο πρόγραμμα παρακολουθήσεων το οποίο ανά πάσα στιγμή θα μπορούσε θέσει τη συσκευή σε κατάσταση κοριού. Η χρήση των smartphones είναι ένα μεγάλο πλεονέκτημα για κάποιον που θέλει να διεξάγει μια παρακολούθηση, καθώς τέτοιας τεχνολογίας κινητά τηλέφωνα λειτουργούν σαν μικροί υπολογιστές και είναι ευάλωτα σε πολλών ειδών επιθέσεις. Δε θα ασχοληθούμε λοιπόν σε αυτό το σημείο με αυτή την περίπτωση. Υπάρχει η δυνατότητα σε καινούρια κινητά, να γίνεται αναβάθμιση προγραμμάτων και firmware (το firmware είναι το πρόγραμμα που κάνει μια συσκευή να λειτουργεί) χωρίς να χρειάζεται κάποιος να συνδεθεί στο internet ή να πάει τη συσκευή του για αναβάθμιση. Αυτή η δυνατότητα ονομάζεται προγραμματισμός Over The Air (OTA ή FOTA για firmware) και είναι πιθανό κάποιος να έχει παρατηρήσει πως αναφέρεται αυτό το ακρωνύμιο στα χαρακτηριστικά ορισμένων συσκευών.  Συνήθως αυτού του τύπου οι αναβαθμίσεις γίνονται μέσω ενός μηνύματος όπου όταν το ανοίξει κάποιος, εγκαθίστανται τα προγράμματα. Αυτό σημαίνει πως μπορεί όντως να δημιουργηθεί ένα πρόγραμμα παρακολούθησης το οποίο θα εγκατασταθεί μέσω FOTA και θα λειτουργεί όπως αναφέραμε παραπάνω. Αυτή η αναβάθμιση πάντα απαιτεί τη συναίνεση του χρήστη του τηλεφώνου, χωρίς φυσικά αυτό να σημαίνει πως αυτό δεν μπορεί να παρακαμφθεί. Σε συσκευές που δεν υποστηρίζουν τέτοιου είδους αναβαθμίσεις δεν μπορεί να γίνει τέτοιου είδους απομακρυσμένη εγκατάσταση προγράμματος καθώς η ίδια η συσκευή δεν υποστηρίζει τέτοιου είδους λειτουργίες. Φήμες που έχουν κυκλοφορήσει κατά καιρούς και λένε πως κάθε συσκευή είναι ευάλωτη μέσω ενός προβλήματος στα SMS είναι αναληθείς. Συγκεκριμένα, είχε κυκλοφορήσει ένα άρθρο από κάποιον που έδειχνε και σε video πως μπορεί να γίνει κάτι τέτοιο σε παλιά συσκευή. Συμπτωματικά, η εταιρία του ίδιου πουλούσε ένα πρόγραμμα που υποτίθεται πως διόρθωνε το πρόβλημα, ενώ επίσης ο συγκεκριμένος κύριος δεχόταν να κάνει παρουσίαση αυτής της μεθόδου μόνο με δικές του συσκευές κάτι που μας οδηγεί στο συμπέρασμα του χαρακτηρισμού ως διαφημιστικο τρικ.

Παρά το γεγονός πως μια παρακολούθηση μέσω FOTA δεν είναι αδύνατη θεωρητικά, υπάρχουν κάποια πράγματα που πρέπει να γνωρίζουμε. Οποιοδήποτε πρόγραμμα μετατρέπει το κινητό μας σε κοριό σημαίνει πως συνδέεται με ένα άλλο τηλέφωνο τηλεφωνικά (εκτός και αν προσφέρεται η λύση ασύρματου internet). Αυτό πρακτικά σημαίνει πως:

  1. Η εταιρία που είναι υπεύθυνη για τη σύνδεση μας, θα πρέπει να γνωρίζει για την παρακολούθηση. Ειδάλλως θα δούμε φουσκωμένο λογαριασμό και κλήσεις σε νούμερα που δεν γνωρίζουμε.
  2. Θα παρατηρήσουμε γρήγορη πτώση της μπαταρίας στις περισσότερες περιπτώσεις. Για να αποφευχθεί κάτι τέτοιο θα πρέπει να τροποποιηθεί ο τρόπος που χρησιμοποιεί η συσκευή μας την μπαταρία όταν λειτουργεί το πρόγραμμα, κάτι που δεν είναι εύκολο.
  3. Σε περίπτωση που δεν έχουμε ενεργοποιημένες υπηρεσίες ταυτόχρονων συνομιλιών, αν κάποιος μας τηλεφωνεί εκείνη την ώρα, είτε θα βρίσκει τον αριθμό μας κατειλημμένο, είτε θα είναι σε αναμονή γεγονός που μπορεί εύκολα να προδώσει τέτοιου είδους παρακολουθήσεις.
  4. Θα ζεσταθεί η συσκευή αν η παρακολούθηση λειτουργεί για κάποια ώρα. Σίγουρα όλοι έχουμε παρατηρήσει πως αν μιλάμε για αρκετή ώρα στο κινητό, ζεσταίνεται η συσκευή (ουσιαστικά η μπαταρία επειδή αδειάζει γρήγορα)
  5. Είναι πιθανό να υπάρξουν παρεμβολές σε ηχεία. Πολλές συσκευές όταν πραγματοποιείται κλήση επηρεάζουν διαφόρων ειδών ηχεία. Το ίδιο γίνεται όταν η συσκευή μας επικοινωνεί με την κεραία για να πάρει σήμα ή για να μας έρθει μια κλήση.

Τα παραπάνω, σε συνδυασμό με το γεγονός πως δεν έχει υπάρξει μέχρι στιγμής ξεκάθαρη απόδειξη τέτοιας παρακολούθησης, μας αναγκάζουν να συμπεράνουμε πως μια παρακολούθηση μέσω FOTA, είναι μεν εφικτή, αλλά έχει αρκετά αρνητικά στοιχεία οπότε δεν μπορεί να θεωρηθεί αξιόπιστη και άρα πιθανή μέθοδος.

 

Κάποιες συμβουλές:

Με βάση τα παραπάνω λοιπόν, καλό είναι κάποιος να εφαρμόζει τους εξής κανόνες:

  1. Σε καμία περίπτωση δεν πρέπει να χρησιμοποιούμε τον προσωπικό μας αριθμό για παράνομες/περίεργες συνομιλίες
  2. Σε καμία περίπτωση δεν πρέπει να χρησιμοποιούμε την προσωπική μας συσκευή για παράνομες/περίεργες συνομιλίες ακόμα και αν αυτές τις κάνουμε από άλλο αριθμό
  3. Μια συσκευή/κάρτα που έχει στοχοποιηθεί, θα συνεχίσει να στοχοποιεί οποιαδήποτε κάρτα/συσκευή αντίστοιχα χρησιμοποιήσουμε σε αυτή. Είναι πολύ πιθανό αν η συσκευή μας ή η κάρτα μας έχει στοχοποιηθεί, τότε αν εισάγουμε μια κάρτα σε αυτή τη στοχοποιημένη συσκευή ή εισάγουμε την στοχοποιημένη κάρτα σε μια καινούρια συσκευή, η παρακολούθηση να ξεκινήσει αμέσως λόγω των ελέγχων που γίνονται από την κεραία στην οποία συνδεόμαστε. Οπότε, αν η κεραία εντοπίσει ένα στοχοποιημένο αριθμό IMEI ή μια στοχοποιημένη SIM, θα δώσει αμέσως σήμα για να ξεκινήσει ο εντοπισμός του κατόχου καθώς και η καταγραφή οποιασδήποτε συνομιλίας πραγματοποιηθεί (παράδειγμα πάνω σε αυτό θα δούμε παρακάτω)
  1. Θα πρέπει να προσέχουμε το κινητό μας
Γιατί κάποιος μπορεί να μάθει το IMEI μας μέσα σε λίγα
δευτερόλεπτα
Γιατί μπορεί κάποιος να εγκαταστήσει κάποιο πρόγραμμα
παρακολούθησης (όπως αναφέραμε παραπάνω)
  1. Δεν πρέπει να κρατάμε στο κινητό μας πληροφορίες που μπορούν να χρησιμοποιηθούν εναντίον μας (φωτογραφίες, σημειώσεις κλπ). Ακόμα και αν τις σβήσουμε από το κινητό μας, είναι εύκολο για την αστυνομία να τις ανακτήσει (θα δούμε παρακάτω πως ακριβώς λειτουργούν οι διαγραφές αρχείων σε ηλεκτρονικές συσκευές).
  1. Δεν πρέπει να δίνουμε ούτε τον αριθμό του τηλεφώνου μας, ούτε τη συσκευή μας στην αστυνομία σε περίπτωση που μας τα ζητήσουν σε περίπτωση προσαγωγής. Δεν έχουν δικαίωμα στην προσαγωγή να μας πάρουν τη συσκευή ούτε για λίγα λεπτά. Μέσα σε 5 λεπτά μέσω ειδικών μηχανημάτων και προγραμμάτων (προγράμματα τα οποία υπάρχουν ακόμα και δωρεάν) κάποιος μπορεί να αντιγράψει όλα τα δεδομένα της συσκευής μας καθώς και τον τηλεφωνικό μας κατάλογο. Το ίδιο μπορεί να γίνει ακόμα και αν έχουμε κλειστό το κινητό μας (απλά απαιτεί περισσότερες διαδικασίες αν θέλουν να πάρουν τα περιεχόμενα της SIM).
  2. Είναι βασικό να μη κουβαλάμε την προσωπική μας συσκευή/SIM μαζί μας σε ενέργειες που δε θέλουμε να γνωρίζει κάποιος ότι συμμετέχουμε. Δεν μπορεί να χρησιμοποιηθεί ως ακράδαντο στοιχείο η παρουσία μας σε μια ευρύτερη περιοχή στην οποία έγινε μια έκνομη ενέργεια, αλλά μπορεί να χρησιμοποιηθεί ως ένδειξη για πιθανή εμπλοκή μας. Οπότε καλό είναι σε τέτοιες ενέργειες να μην έχουμε συσκευές/sim οι οποίες θα μας τοποθετήσουν στον χώρο της ενέργειας, ενώ αν είναι απαραίτητο να έχουμε κινητό, καλό είναι να χρησιμοποιήσουμε κάποια συσκευή και κάρτα sim οι οποίες είναι ανώνυμες. Φυσικά είναι πολύ πιθανό η sim και η συσκευή αυτή να παρακολουθούνται μετά από μια τέτοια ενέργεια, ώστε να γνωρίζει η αστυνομία αν ο κάτοχος αυτής της συσκευής/sim συμμετείχε σε κάποια άλλη ενέργεια.
  1. Λύσεις πάνω στο ζήτημα της καταγραφής συνομιλιών, δυστυχώς μέχρι στιγμής δεν υπάρχουν καθώς αυτό θα απαιτούσε την κρυπτογράφηση της συνομιλίας από τη συσκευή και την αποκρυπτογράφηση από τον παραλήπτη. Δηλαδή η συνομιλία, τη στιγμή που μεταδίδεται στον αέρα να είναι ήδη κρυπτογραφημένη (σωστά αυτή τη φορά). Αυτό είναι περισσότερο πολύπλοκο από όσο ακούγεται για να εφαρμοστεί ανεξαρτήτως συσκευής (υπάρχουν προγράμματα για συσκευές smartphones). Για την περίπτωση των γραπτών μηνυμάτων (SMS) υπάρχουν μερικά προγράμματα που επιτρέπουν την κρυπτογράφηση μηνυμάτων (φυσικά η εγκατάσταση τέτοιων προγραμμάτων, πρέπει να υποστηρίζεται και από τη συσκευή)
  1. Θα πρέπει να αποφεύγουμε τις συνομιλίες μέσω bluetooth handsfree καθώς κάποιος μπορεί πολύ εύκολα να υποκλέψει τέτοιου είδους συνομιλίες υποκλέπτοντας την μετάδοση δεδομένων του handsfree και όχι του κινητού μας. Παράδειγμα τέτοια παρακολούθησης υπάρχει εδώ: http://www.youtube.com/watch?v=1c-jzYAH2gw

 

Μια τελευταία υποσημείωση:

Με το νέο νόμο για τα καρτοκινητά δημιουργείται ένα νέο πρόβλημα, καθώς χάνεται το πλεονέκτημα της ανωνυμίας αφού πλέον κάθε κάτοχος κάρτας sim θα πρέπει να είναι επώνυμος. Μια λύση σε αυτό το θέμα, είναι η χρήση πλαστών στοιχείων με μια επιφύλαξη στο θέμα της ταυτοποίησης με αληθινά στοιχεία, καθώς αν τα στοιχεία μια κάρτας sim ελεγχθούν (δεν ξέρουμε κατά πόσο ελέγχονται) για την αυθεντικότητά τους, τότε σίγουρα αυτομάτως ο δράστης θα τεθεί υπό επιτήρηση.

Case study

Ας δούμε λοιπόν πως μπορεί να κινηθεί η αστυνομία σε μια περίπτωση έκνομης ενέργειας (εδώ θα εστιάσουμε μόνο σε ότι αφορά την κινητή τηλεφωνία. Συνεπώς δε θα αναφερθούμε σε κάμερες κλπ)

Έστω ότι γίνεται μια έκνομη ενέργεια σε μια περιοχή. Η αστυνομία φτιάχνοντας το χρονοδιάγραμμα της υπόθεσης (δηλαδή πότε έγινε τι) θα ορίσει και το χρονικό όριο στο οποίο θα ερευνήσει την περιοχή. Αν στην υπόθεσή μας η ενέργεια έγινε στις 2πμ, η αστυνομία μπορεί να ορίσει για παράδειγμα ως χρονοδιάγραμμα το διάστημα 12:30πμ – 2:30πμ. Επίσης θα ορίσει μια ακτίνα στην οποία θα ερευνήσει. Ας υποθέσουμε ότι αυτή είναι μια ακτίνα 6 οικοδομικών τετραγώνων. Θα ερευνηθούν λοιπόν οι κλήσεις που έγιναν αυτό το χρονικό περιθώριο σε αυτή την περιοχή (αυτό θα γίνει βλέποντας ποιες κλήσεις έγιναν από τις κεραίες-κυψέλες που αντιστοιχούν σε αυτή την ακτίνα). Θα μελετηθεί αν οι συσκευές που πραγματοποίησαν αυτές τις κλήσεις έχουν πραγματοποιήσει κλήσεις από αυτή την κυψέλη στο παρελθόν και αν αυτές οι κλήσεις γίνονταν τακτικά, καθώς και αν οι κλήσεις ξεκίνησαν πρόσφατα ή γίνονται εδώ και αρκετό καιρό. Με αυτό τον τρόπο, θα προσπαθήσει η αστυνομία να εντοπίσει ποιες συσκευές/αριθμοί ανήκουν πιθανόν σε μόνιμους κατοίκους της περιοχής και ποιες σε περαστικούς (πέραν των ελέγχων σε αρχεία συνδέσεων τηλεφωνίας όπου θα βρεθεί και η μόνιμη διεύθυνση των κατόχων, καθώς πολλοί αριθμοί μπορεί να είναι καρτοκινητά). Κάνοντας το πρώτο κοσκίνισμα, θα καταλήξει να μειώσει το εύρος των ερευνών. Ύστερα, θα ελεγχθεί αν οι συσκευές/αριθμοί συνδέθηκαν με την κυψέλη μέσα στο χρονοδιάγραμμα που έθεσε η αστυνομία (εδώ 12:30πμ – 2:30πμ) ή αν είχαν συνδεθεί εκτός χρονοδιαγράμματος (αν π.χ κάποιος μπήκε στην κυψέλη στις 10πμ).Όταν λέμε σύνδεση, δεν εννοούμε κλήση, εννοούμε ότι μια ανοιχτή συσκευή μετακινήθηκε σε μια άλλη περιοχή, άρα για να συνεχίσει να έχει σήμα, συνδέθηκε με την κυψέλη. Με αυτό τον τρόπο θα μειωθεί ακόμα περισσότερο το εύρος καθώς κάποιος που συνδέθηκε με την κυψέλη στις 10πμ είναι λιγότερο ύποπτος από κάποιον που συνδέθηκε με την κυψέλη στις 12:45πμ. Για να μειωθεί ακόμα περισσότερο το εύρος -αν συνεχίζει να είναι μεγάλος ο αριθμός των ύποπτων- είναι πιθανό να κρατηθούν μόνο όσοι αριθμοί αποσυνδέθηκαν από την κυψέλη, την στιγμή που τελειώνει το χρονοδιάγραμμα. Για παράδειγμα, ποιοι αποσυνδέθηκαν από την κυψέλη στο διάστημα μεταξύ 2πμ – 3:30πμ. Εδώ απλά να πούμε ότι αν οι ύποπτοι αριθμοί είναι πολύ λίγοι (δηλαδή αν κατέληξε η έρευνα σε 2 ύποπτους αριθμούς), η εύρεση της κυψέλης που συνδέθηκαν αυτοί οι αριθμοί μετά την αποχώρηση από την ακτίνα του εγκλήματος, φτιάχνει και μια διαδρομή διαφυγής, οπότε δίνει και ένα ακόμα στοιχείο στην αστυνομία. Έστω λοιπόν ότι η έρευνα κατέληξε σε 2 αριθμούς, δηλαδή σε 2 κάρτες SIM και 2 αριθμούς IMEI. Αυτό που θα γίνει στη συνέχεια είναι, πρώτον να ελεγχθεί αν οι αριθμοί αυτοί ή οι συσκευές έχουν στοχοποιηθεί στο παρελθόν σε άλλες υποθέσεις ώστε να συνδεθούν οι δράστες. Στη συνέχεια, θα ελεγχθεί αν οι συσκευές αυτές έχουν “φιλοξενήσει” στο παρελθόν άλλες κάρτες SIM καθώς και αν οι στοχοποιημένες κάρτες SIM έχουν “φιλοξενηθεί” από άλλες συσκευές. Αυτό αυτομάτως φτιάχνει και ένα ιστό που θα ερευνήσει η αστυνομία αναδρομικά (αν π.χ βρεθεί μια συσκευή που έχει “φιλοξενήσει” τη στοχοποιημένη SIM, θα ερευνηθεί ποιες άλλες SIM έχει φιλοξενήσει κλπ κλπ). Επίσης, είναι προφανές πως ότι στοχοποιείται, θα τεθεί υπό παρακολούθηση καθώς είναι πιθανό τα στοιχεία που αποκτήθηκαν να μην αρκούν για να “δέσουν” την υπόθεση.

Στην περίπτωση που έχουμε υπόθεση όπου κάποιος καταζητείται, είναι προφανές ότι η αστυνομία θα παρακολουθήσει τους συγγενείς και φίλους του καταζητούμενου, έτσι ώστε σε περίπτωση που αυτός επικοινωνήσει μαζί τους να εντοπιστεί η κλήση, καθώς επίσης και να ερευνηθεί σε συνομιλίες αν κάποιο από αυτά τα άτομα έχει στοιχεία για τον καταζητούμενο.

Επίσης είναι προφανές ό,τι η σύνδεση των κομματιών του παζλ ενώνοντας διαφορετικές συσκευές με κάρτες όπως αναφέραμε παραπάνω, γίνεται από υπολογιστή και όχι από ανθρώπινο χέρι. Αυτό σημαίνει ότι το μόνο που μπορεί να καθυστερήσει την “ολοκλήρωση” του παζλ, είναι να καθυστερήσει η εύρεση άλλων SIM ή αριθμών IMEI από τις εταιρίες κινητής τηλεφωνίας.

PC Related antiforensics

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. — Gene Spafford 

Τα ίχνη που μπορεί να αφήσει ο υπολογιστής μας και μπορεί να αξιοποιήσει η αστυνομία, δεν είναι σε καμία περίπτωση λίγα και σε καμία περίπτωση ασήμαντα. Δεν έχουν όλα τα ίχνη την ίδια βαρύτητα. Κάποια ίχνη μπορούν απλά να αποτελέσουν ενδείξεις και να ενισχύσουν υποψίες, ενώ κάποια άλλα μπορούν να θεωρηθούν είτε ως μεγάλης βαρύτητας στοιχεία, είτε ως ακράδαντα. Συνεπώς καλό είναι αν θέλουμε να χρησιμοποιούμε υπολογιστές σε ύποπτες/έκνομες ενέργειες, να γνωρίζουμε πολύ καλά τι ίχνη μπορούν να αφήσουν. Τα παραδείγματά μας και οι περισσότερες πληροφορίες είναι εστιασμένες στο λειτουργικό σύστημα Windows καθώς αποτελεί το πιο γνωστό λειτουργικό και ίσως το πιο “φλύαρο” από πλευράς ιχνών. Αυτό δε σημαίνει πως ότι αναφέρουμε ισχύει μόνο στα Windows. Το αντίθετο, τα περισσότερα ισχύουν σε όλα τα λειτουργικά συστήματα. Επίσης τα περισσότερα από τα παρακάτω ισχύουν και στην περίπτωση των κινητών smartphones.

Τα είδη των ιχνών αυτών μπορούμε να τα χωρίσουμε σε 3 κατηγορίες:

  1. Metadata(exif info, geospatial metadata κλπ)

Τα ίχνη αυτά μπορούν να βρεθούν σε διάφορους τύπους αρχείων. Στις περισσότερες περιπτώσεις μπορούν απλά να αποτελέσουν ενδείξεις και να ενισχύσουν υποψίες.

  1. Ίχνη στο δίσκο: Ίχνη του λειτουργικού συστήματος, ίχνη που αφήνουν διάφορα προγράμματα, ίχνη αρχείων

Τα ίχνη αυτά χωρίζονται σε διάφορες κατηγορίες(όπως φαίνεται και από τον τίτλο). Η επικινδυνότητα τους μπορεί να είναι από ελάχιστη έως πολύ μεγάλη. Τα ίχνη αυτής της κατηγορίας μπορούν να αποτελέσουν από ενδείξεις μέχρι και ακράδαντα στοιχεία.

  1. Δικτυακά ίχνη

Τα ίχνη αυτά τα αφήνει κάθε υπολογιστής όταν συνδέεται στο internet. Η επικινδυνότητα τους μπορεί να είναι από ελάχιστη έως πολύ μεγάλη. Τα ίχνη αυτής της κατηγορίας μπορούν να αποτελέσουν από ενδείξεις μέχρι και ακράδαντα στοιχεία.

 

Metadata

Τι είναι:

Είναι πληροφορίες σχετικά με δεδομένα. Σαν λέξη χρησιμοποιείται σε πολλούς τομείς ενώ ακόμα και για τους υπολογιστές υπάρχουν πολλών ειδών metadata. Τα metadata δεν είναι απαραίτητα κάτι κακό. Τα metadata σε κάποια είδη αρχείων μπορούν να δώσουν παραπάνω πληροφορίες για το αρχείο αυτό. Για παράδειγμα μπορούν να αναφέρουν το όνομα του υπολογιστή αυτού που δημιούργησε το αρχείο(author), πόσες φορές έχει τροποποιηθεί το αρχείο, από ποιον τροποποιήθηκε τελευταία φορά. Επίσης σε μια φωτογραφία μπορεί να είναι πληροφορίες σχετικά με τη μάρκα της φωτογραφικής, το μοντέλο, τη μέρα που τραβήχτηκε και την ακριβή ώρα(όπως είναι ρυθμισμένη από την φωτογραφική). Τα metadata στις φωτογραφίες, ονομάζονται exif. Μια σημαντική κατηγορία metadata είναι τα geospatial metadata (κάποιοι μπορεί να τα έχουν ακούσει σαν geodata ή geotagging). Τα geospatial metadata είναι metadata που δίνουν πληροφορίες σχετικές με την τοποθεσία στην οποία δημιουργήθηκε το αρχείο. Είναι γνωστά κυρίως στα smartphones και στο facebook/flickr όπου σε μια φωτογραφία που έχει τραβήξει κάποιος από το smartphone του προστίθενται metadata σχετικά με την τοποθεσία που τραβήχτηκε η φωτογραφία αυτή σύμφωνα με τις συντεταγμένες που δίνει το gps του smartphone.

Ποιοι είναι οι πιο γνωστοί τύποι αρχείων με τέτοιου είδους metadata:

Οι πιο γνωστοί τύποι αρχείων που προσφέρουν αρκετά στοιχεία είναι (με σειρά από τα περισσότερα σημαντικά στοιχεία στα λιγότερο σημαντικά): αρχεία microsoft/open office(.doc, .odt, .docx, .xls κλπ), αρχεία που έχουν δημιουργηθεί απο φωτογραφική μηχανή(αρχεία τύπου raw, jpg, jpeg), αρχεία εικόνων(jpg, png, gif), αρχεία ήχου και βίντεο(.avi, .mpg, .wmv, .wma, .ogg, .mp3)

Αποτελούν αποδεικτικά στοιχεία;

Από μόνα τους σε καμία περίπτωση δεν αποτελούν αποδεικτικό στοιχείο. Με λίγα λόγια ένα αρχείο .doc το οποίο έχει στα χέρια της η ΕΛ.ΑΣ και το οποίο στο όνομα του author έχει το όνομα του υπολογιστή μας(π.χ nikos), δεν είναι ακράδαντο στοιχείο σε περίπτωση που παρθεί ο υπολογιστής μας και έχει για όνομα το ίδιο όνομα (nikos). Σε περίπτωση που για όνομα υπολογιστή/author, έχουμε το ονοματεπώνυμο μας ή καποιον αριθμό μητρώου π.χ, πάλι δεν μπορεί να θεωρηθεί ακράδαντο στοιχείο αλλά είναι πιθανόν να έχει μεγαλύτερη βαρύτητα σε σχέση με την 1η περίπτωση. Ο λόγος που δεν μπορεί να θεωρηθεί ακράδαντο στοιχείο, είναι επειδή δεν είναι μοναδικά τα στοιχεία (όπως ένα imei), και εξαρτάται από προσωπικές επιλογές του χρήστη(τι όνομα υπολογιστή θα βάλει, ημερομηνία κλπ).

Λύσεις:

Το ότι δεν αποτελούν αποδεικτικά στοιχεία που θα χρησιμοποιηθούν εναντίον μας, δε σημαίνει φυσικά ότι πρέπει να τα προσφέρουμε απλόχερα. Όπως και πολλά άλλα στοιχεία(π.χ η παρουσία μας σε κάποιο χώρο, δε είναι στοιχείο ότι ευθυνόμαστε για ότι έγινε στο χώρο αυτό), έτσι και τα metadata, είναι μικρά κομματάκια στο πάζλ που προσπαθεί να φτιάξει η αστυνομία. Είναι πολύ πιθανό να χρησιμοποιηθούν σαν ένδειξη. Ένα πρώτο πράγμα που πρέπει να κάνουμε ανεξαρτήτως των metadata, είναι να μην έχουμε το ονοματεπώνυμο μας ή κάποιο προσωπικό μας στοιχείο για όνομα υπολογιστή(ή author/owner σε προγράμματα που μας το ζητάνε). Πέραν αυτού, υπάρχουν αρκετά προγράμματα που μπορούν να αφαιρέσουν τέτοιες πληροφορίες από κάποια είδη αρχείων. Τα περισσότερα υποστηρίζουν αρχεία microsoft office και αρχεία φωτογραφικών μηχανών. Το microsoft/open office δίνει τη δυνατότητα στο χρήστη μέσω ρυθμίσεων να διαλέξει αυτός τι όνομα author θα υπάρχει. Τα windows 7 υποστηρίζουν την αφαίρεση πληροφοριών ορισμένων αρχείων(όπως jpg). Φυσικά πληροφορίες όπως ημερομηνία δημιουργίας του αρχείου, καθώς και ημερομηνία τροποποιήσης του αρχείου δεν μπορούν να σβηστούν καθώς χρειάζονται από το λειτουργικό μας σύστημα. Αυτό που μπορεί να γίνει όμως, είναι να αλλαχθούν. Θα αναφερθούμε παρακάτω σχετικά με αυτό το θέμα. Σε κάποια αρχεία .doc του Microsoft Office επίσης καταγράφεται η MAC Address του συγγραφέα (στο πεδίο Unique Identifier (GUID)). Θα δούμε παρακάτω ότι η καταγραφή αυτή είναι πολύ σημαντική και μπορεί να αποτελέσει ακράδαντο στοιχείο αν βρεθεί.

Κάποια ενδεικτικά προγράμματα για προβολή/διαγραφή των metadata:

DocScruber (δωρεάν από εδώ: http://www.javacoolsoftware.com/docscrubber.html)

OOMetaExtractor (δωρεάν από εδώ: http://oometaextractor.codeplex.com)

Document Trace Remover (trial από εδώ: http://www.smartpctools.com/trace_remover)

BatchPurifier (demo από εδώ: http://www.digitalconfidence.com/BatchPurifier.html)

Exif tag remover (δωρεάν από εδώ: http://www.rlvision.com/exif/about.asp)

JPG Cleaner (δωρεάν από εδώ: http://www.rainbow-software.org/programs.html#JPG Cleaner)

ExifCleaner (trial από εδώ: http://www.superutils.com/products/exifcleaner)

 

Case study:

Στην περίπτωση του Ε.Α και στην αποστολή των προκυρήξεων μέσω cd και αρχείο word, η αστυνομία θα προσπάθησε να δει το author πεδίο, την ημερομηνία τροποποίησης, την ημερομηνία δημιουργίας καθώς και το όνομα του author που τροποποίησε τελευταία φορά το αρχείο. Αν η φήμη ότι βρέθηκε ο υπολογιστής σύνταξης της προκύρηξης ισχύει και δεν είναι σενάρια των ΜΜΕ, αυτό μπορεί να βασίζεται πάνω στα ακόλουθα:

  • Author: Αν το πεδίο αυτό ήταν το ίδιο, αυτό αποτελεί μια ένδειξη
  • GUID: Αν υπήρχε το πεδίο αυτό και ταίριαζε στη MAC address του συγκεκριμένου υπολογιστή, αποτελεί ακράδαντο στοιχείο

Σε περίπτωση που βρέθηκε αρχείο .doc στον υπολογιστή με το ίδιο περιεχόμενο:

Αν η ημερομηνία και ώρα δημιουργίας του αρχείου είναι ίδια με την ημερομηνία και ώρα δημιουργίας του αρχείου στο cd αυτό μπορεί να αποτελέσει σημαντικό επιβαρυντικό στοιχείο και μπορεί να θεωρηθεί μέχρι και ακράδαντο. Φυσικά το να σβήστηκε από τον υπολογιστή το αρχείο με ένα delete και άδεισμα του κάδου ανακύκλωσης δεν μπορεί να αποτρέψει την εύρεση του από την αστυνομία(σε αυτό το θέμα θα αναφερθούμε παρακάτω). Στα παραπάνω όμως μπορεί να θίξουμε το κατά πόσο μια MAC address η οποία μπορεί να τροποποιηθεί και μια ώρα δημιουργίας η οποία καθορίζεται από την ώρα που έχει βάλει κάποιος στον υπολογιστή του και η οποία επίσης μπορεί να τροποποιηθεί αποτελούν ακράδαντα στοιχεία. Με λίγα λόγια, πεδία τα οποία μπορούν να αλλαχθούν από τον οποιονδήποτε (από την αστυνομία π.χ για να ενοχοποιήσουν κάποιον), μπορούν να θεωρηθούν ακράδαντα στοιχεία;

 

Ίχνη στο δίσκο

Ίχνη του λειτουργικού συστήματος και ίχνη που αφήνουν διάφορα προγράμματα

Θα αναφερθούμε εδώ στα ίχνη που μπορεί να αφήσει πίσω μας το λειτουργικό μας σύστημα. Θα αναφερθούμε κυρίως στο λειτουργικό σύστημα Windows καθώς είναι αυτό που χρησιμοποιείται σε μεγαλύτερο βαθμό και αφήνει και τα περισσότερα ίχνη. Αυτό φυσικά δε σημαίνει ότι λειτουργικά όπως Linux/Apple δεν αφήνουν ίχνη.

Τα Windows αφήνουν ένα σωρό ίχνη για πράγματα που κάνουμε. Τα ίχνη αυτά είναι τόσα πολλά που θα χρειαζόμασταν πάρα πολλές σελίδες και προαπαιτούμενες γνώσεις για να αναφερθούμε στο κάθε ένα. Εδώ θα αρκεστούμε σε μερικά από αυτά, αλλά αυτό που πρέπει να γίνει κατανοητό, είναι ότι κάθε λειτουργικό σύστημα κρατάει πληροφορίες για το τι κάνουμε και είναι σχεδόν αδύνατο ειδικά στην περίπτωση των windows να μην αφήσουμε ίχνη. Είναι βασικό να έχουμε έστω ενεργοποιημένη τη ρύθμιση που μας εμφανίζει και τα κρυμμένα αρχεία του λειτουργικού μας για να μπορούμε να δούμε τυχόν κρυφά αρχεία που δημιουργούνται ή υπάρχουν ήδη. Με αυτό τον τρόπο θα δούμε για παράδειγμα τα κρυφά αρχεία που δημιουργούνται όταν ανοίγουμε ένα έγγραφο word.

Ας αναφερθούμε όμως πιο συγκεκριμένα στο είδος των ιχνών καθώς κάποια από αυτά είναι λιγότερο επικίνδυνα από τα άλλα και κάποια περισσότερο.

 Ίχνη των windows

  1. Τα windows κρατάνε το όνομα οποιασδήποτε usb συσκευής έχουμε συνδέσει στον υπολογιστή μας,  και πολλές φορές καταγράφεται και ο σεριακός αριθμός(serial number είναι μοναδικός) της συσκευής αυτής. Αυτό μπορεί να είναι χρήσιμο στοιχείο καθώς κάποιος μπορεί να γνωρίζει ποιες usb συσκευές έχουμε συνδέσει στον υπολογιστή μας και άρα έχουμε μεταφέρει δεδομένα σε αυτές.

Λύση:

Για να σβήσουμε το αρχείο των usb συσκευών μας, μπορούμε να χρησιμοποιήσουμε το πρόγραμμα USBDeview το οποίο μας εμφανίζει αυτή τη λίστα και μας επιτρέπει να σβήσουμε ότι θέλουμε από τη λίστα. Φυσικά σε περίπτωση που ξανασυνδέσουμε τη συσκευή μας, θα πρέπει αφού την αποσυνδέσουμε να τη σβήσουμε από το αρχείο αυτό. Το πρόγραμμα αυτό μπορούμε να το κατεβάσουμε δωρεάν από εδώ: http://www.nirsoft.net/utils/usb_devices_view.html

  1. Αρχεία thumb.db: Τα αρχεία αυτά δημιουργούνται από τα windows σε φακέλους που ανοίγουμε και χρησιμοποιούνται για να μπορούμε να δούμε περίπου τι δεδομένα έχει ο φάκελος μας. Κλασσικό παράδειγμα είναι οι φάκελοι που περιέχουν φωτογραφίες όπου πριν μπούμε στον φάκελο, βλέπουμε να εμφανίζονται μικρογραφίες των εικόνων. Τα αρχεία thumb.db λοιπόν μπορούν να χρησιμοποιηθούν για να δει κάποιος μικρογραφίες των εικόνων που έχουμε σε ένα φάκελο, ακόμα και αν οι εικόνες έχουν σβηστεί (αρκεί να μην έχει σβηστεί ή ενημερωθεί το αρχείο thumb.db).

Λύση:

Για να λύσει κάποιος το πρόβλημα των thumbnails πρέπει στα windows να κάνει το εξής: Ανοίγουμε το “Ο υπολογιστής μου”, επιλέγουμε από την μπάρα tools -> folder options (εργαλεία -> επιλογές φακέλων), πατάμε στην καρτέλα view(προβολή) και επιλέγουμε την επιλογή do not cache thumbnails(χωρίς προσωρινή αποθήκευση μικρογραφιών). Στα windows 7 γίνεται με τον ίδιο τρόπο αλλά στο τέλος επιλέγουμε το “always show icons, never thumbnails”

  1. Πρόσφατα ανοιγμένα αρχεία: Τα windows κρατάνε αρχείο με τα ονόματα των αρχείων που ανοίξαμε πρόσφατα. Αυτό ουσιαστικά μπορεί να δώσει μια κατεύθυνση σε κάποιον ποια αρχεία να ελέγξει πρώτα καθώς και να μάθει αν τα αρχεία αυτά βρίσκονται στο δίσκο ή σε κάποιο usb stick

  1. Αρχείο hiberfil.sys: Το αρχείο αυτό δημιουργείται όταν ο υπολογιστής μας(σύνηθες σε laptop) μπαίνει σε λειτουργία hibernation(αδράνεια). Περιέχει παρόμοιες πληροφορίες με αυτές του pagefile.sys. Ουσιαστικά γράφει σε αρχείο ότι περιέχει η RAM μας εκείνη τη στιγμή(όπως αρχεία, δεδομένα, κωδικοί κλπ).

Λύση:

Είναι βασικό να μην έχουμε ενεργοποιημένη τη λειτουργία αδράνειας(hibernation) του υπολογιστή μας σε καμία περίπτωση. Είναι ένα πρώτο στοιχείο για να δει κάποιος τι κάναμε τελευταία στιγμή. Αυτό μπορεί να το δει και από τη μνήμη RAM μας, αν καταφέρει και την βγάλει από τον υπολογιστή μας λίγο αφού τον κλείσουμε (προφανώς θεωρούμε βασικό ότι αν μας πάρουν τον υπολογιστή, αυτός θα πρέπει να είναι κλειστός)

  1. Αρχείο pagefile.sys: Το αρχείο αυτό κρατά πληροφορίες που επεξεργάστηκε πρόσφατα ο υπολογιστής μας. Η απόκτηση του από κάποιον μπορεί να του δώσει από πληροφορίες μέχρι και ολόκληρα αρχεία που ανοίξαμε πρόσφατα. Το αρχείο αυτό είναι βοηθητικό στη μνήμη RAM* του υπολογιστή μας. Αντίστοιχο στο λειτουργικό σύστημα Linux είναι το swap file.

Λύση:

Δυστυχώς δε γίνεται να κάνουμε ότι κάναμε με το hibernation και με το αρχείο pagefile.sys, καθώς αν επιλέξουμε να μην υπάρχει τότε τα windows δε θα μπορούν να λειτουργήσουν σωστά. Υπάρχει η επιλογή να διαγράφεται το αρχείο αυτό αυτόματα όταν κλείνουμε τα windows αλλά αυτό μπορεί να καθυστερήσει αρκετά το κλείσιμο του υπολογιστή. (Για όσους ενδιαφέρονται: http://netsecurity.about.com/od/windowsxp/qt/aa071004.htm). Επίσης κάποιος μπορεί να ρυθμίσει το αρχείο pagefile/swap να έχει πολύ μικρό μέγεθος, όμως μια τέτοια ενέργεια θα έκανε τον υπολογιστή μας αρκετά αργό. Αυτό γίνεται επειδή ο υπολογιστής μας χρησιμοποιεί το pagefile/swap σαν “επέκταση” της μνήμης RAM. Οπότε όταν τρέχουμε ένα πρόγραμμα και η RAM μας δεν αρκεί, αποθηκεύονται κάποια δεδομένα σε τέτοια αρχεία.

  1. Αρχεία temp: Τα windows αποθηκεύουν οτιδήποτε αντιγράφουμε ή μετακινούμε, πρώτα σε ένα φάκελο temp και μετά στην τοποθεσία που επιθυμούμε. Αφού πραγματοποιηθεί η αντιφραφή/μετακίνηση, το αρχείο μας διαγράφεται από τον φάκελο temp(κάτι που δεν είναι ασφαλές, όπως θα πούμε παρακάτω).

  1. Defrag/Ανασυγκρότηση δίσκων: Εξαιτίας του τρόπου λειτουργίας των Windows, πρέπει ανά περιόδους να κάνουμε ανασυγκρότηση δίσκων(defrag) για να λειτουργεί γρηγορότερα ο υπολογιστής μας. Αυτή η ενέργεια δημιουργεί πολλά προβλήματα και θα εξηγήσουμε παρακάτω γιατί.

  1. System Restore/Επαναφορά συστήματος: Τα windows κρατάνε αρχείο με αλλαγές που κάνουμε στο δίσκο μας (κυρίως σχετικά με προγράμματα που εγκαθιστούμε) έτσι ώστε αν έχουμε στο μέλλον κάποιο πρόβλημα στο δίσκο μας, να μπορούμε να επιστρέψουμε σε προηγούμενη κατάσταση (δηλαδή π.χ πριν εγκαταστήσουμε κάποιο πρόγραμμα).

Λύση:

Η απενεργοποίηση αυτής της επιλογής γίνεται από το control panel/πίνακας ελέγχου -> system/σύστημα -> system protection/προστασία συστήματος

  1. Prefetch αρχεία: Τα windows τις περισσότερες φορές που ανοίγουμε κάποιο εκτελέσιμο αρχείο, κρατάνε ένα αντίγραφό του για να μπορούν να το ανοίξουν πιο γρήγορα την επόμενη φορά. Ο φάκελος που περιέχει τέτοια αρχεία, μπορεί να υποδείξει σε κάποιον ποια προγράμματα χρησιμοποιεί ο χρήστης του συγκεκριμένου υπολογιστή.

  1. UserAssist registry key: Τα windows κρατάνε στη registry αρχείο με οποιοδήποτε εκτελέσιμο έχουμε τρέξει στον υπολογιστή μας ενώ επίσης καταγράφεται και η τοποθεσία του αρχείου. Οι πληροφορίες αυτές είναι κρυπτογραφημένες με έναν απλοϊκό παιδικό αλγόριθμο κρυπτογράφησης ROT13.

Λύσεις για τα υπόλοιπα:

Υπάρχουν προγράμματα που διαγράφουν αρκετά από τα ίχνη που αφήνει το λειτουργικό μας. Σε καμία περίπτωση αυτό όμως δεν πρέπει να μας επαναπαύει και να θεωρούμε ότι δεν έχουμε αφήσει ίχνη. Είναι σχεδόν αδύνατο σε εγκατεστημένο λειτουργικό να μην αφήσουμε καθόλου ίχνη(θεωρώντας ότι ακόμα και μικρά ίχνη έχουν σημασία). Θα αναφερθούμε στο τέλος σε ολοκληρωμένες λύσεις πάνω σε θέματα ασφάλειας που θα λύνουν τα περισσότερα από τα προβλήματα που θα αναφέρουμε.

Σημείωση: Για να ανακτήσει κάποιος δεδομένα από τη μνήμη RAM θα πρέπει είτε να αποκτήσει τον υπολογιστή μας ενώ αυτός λειτουργεί ή λίγο αφού τον κλείσαμε να πάρει τις μνήμες RAM και να αντιγράψει τα περιεχόμενά τους σε δίσκο, καθώς η μνήμη RAM χάνει τα δεδομένα της όσο κρυώνει (δηλαδή αφού κλείσουμε τον υπολογιστή). Ένας τρόπος για να είμαστε σίγουροι ότι κατά μεγάλο ποσοστό τα δεδομένα της RAM έχουν χαθεί, είναι να επανεκκινήσουμε τον υπολογιστή μας, να αφήσουμε να φορτώσει το λειτουργικό μας σύστημα και μετά να τον κλείσουμε.

Μερικά ενδεικτικά προγράμματα είναι τα παρακάτω:

(τα προγράμματα αυτά δεν κάνουν ακριβώς τα ίδια, οπότε καλό είναι να τα χρησιμοποιούμε όλα και όχι μόνο ένα)

Ccleaner (δωρεάν από εδώ: http://www.piriform.com/ccleaner)

Clean After Me (δωρεάν από εδώ: http://www.nirsoft.net/utils/clean_after_me.html)

Evidence Eliminator

MRU-Blaster (δωρεάν από εδώ: http://www.javacoolsoftware.com/mrublaster.html)

BleachBit (δωρεάν για windows και linux από εδώ: http://bleachbit.sourceforge.net)

Επικινδυνότητα:

Από μικρή έως μεγάλη. Το να βρει η αστυνομία το ποιες συσκευές usb έχουμε συνδέσει παλιότερα στον υπολογιστή μας, μπορεί απλά να τους δώσει μια κατεύθυνση αλλά όχι και στοιχεία. Όμως αρχεία pagefile και hiberfil μπορούν να δώσουν στο πιάτο ολόκληρα αρχεία του υπολογιστή μας. Οπότε η επικινδυνότητα σε αυτό το σημείο εξαρτάται από το είδος και το περιεχόμενο των αρχείων που μπορούν να βρουν μέσω αυτών των μεθόδων.

 

Ίχνη από διεγραμμένα αρχεία

Είναι βασικό να κάνουμε μια μικρή εισαγωγή στον τρόπο που αποθηκεύονται οι πληροφορίες στο δίσκο μας, ώστε να γίνουν κατανοητά τα όσα θα πούμε παρακάτω. Ο σκληρός δίσκος του υπολογιστή μας χωρίζεται σε περισσότερα από ένα κομμάτια. Το κάθε κομμάτι έχει το δικό του ρόλο στη λειτουργία του δίσκου. Δυο βασικά κομμάτια θα περιγράψουμε εδώ.

Ας σκεφτούμε το σκληρό μας δίσκο σαν ένα βιβλίο. Όπως και το βιβλίο, έτσι και ο δίσκος περιέχει περιεχόμενα στην αρχή και στις σελίδες που αναφέρονται στα περιεχόμενα υπάρχουν δεδομένα. Με λίγα λόγια ο δίσκος έχει ένα κομμάτι όπου είναι ουσιαστικά ο κατάλογος των περιεχομένων του δίσκου(master file table(MFT)) και ένα κομμάτι όπου είναι τα πραγματικά δεδομένα. Ο υπολογιστής μας για να καταλάβει που πρέπει να αποθηκεύσει νέα δεδομένα(δηλαδή για να βρει άδειο χώρο) κοιτάει το MFT. Οποιαδήποτε τοποθεσία για την οποία δεν υπάρχει πληροφορία στο MFT, θεωρείται άδειος χώρος.

Όταν δημιουργούμε ένα αρχείο στον υπολογιστή μας, γίνονται δύο βασικά πράγματα:

  1. Ο υπολογιστής μας βρίσκει ένα άδειο σημείο στο δίσκο να αποθηκεύσει τα δεδομένα
  2. Ενημερώνεται το MFT και εισάγεται η τοποθεσία που βρίσκεται το αρχείο

Όταν διαγράφουμε ένα αρχείο στον υπολογιστή μας, γίνονται το εξής (και εδώ δημιουργείται το πρόβλημα):

  • Ενημερώνεται το MFT και πλέον η τοποθεσία που βρισκόταν το αρχείο, θεωρείται άδεια

Με λίγα λόγια, αυτό που γίνεται όταν διαγράφουμε ένα αρχείο, είναι να μαρκάρεται η τοποθεσία ως ελεύθερη-άδεια. Αυτό όπως είναι προφανές, δεν διαγράφει τα δεδομένα, απλά αφήνει την τοποθεσία ελεύθερη. Για να διαγραφεί στην πραγματικότητα το αρχείο, πρέπει στο σημείο που ήταν το αρχείο μας να γραφτούν άλλα δεδομένα. Όμως ο τρόπος που επιλέγεται η τοποθεσία που θα γραφτούν νέα δεδομένα δεν μπορεί να ελεγχθεί.

Για να γίνει πιο κατανοητή η διαδικασία, σκεφτείτε πως έχετε ένα βιβλίο, του οποίου τα περιεχόμενα είναι γραμμένα με μολύβι. Όταν διαγράφουμε μια σελίδα πχ την 26, ο υπολογιστής ουσιαστικά σβήνει τη συγκεκριμένη σελίδα από τον πίνακα περιεχομένων. Όταν θέλει να προσθέσει μια σελίδα, θα αναζητήσει από τον πίνακα περιεχομένων τις “κενές” σελίδες και εκτός των άλλων θα του δοθεί ως απάντηση και η σελίδα 26. Αν τύχει και επιλέξει τη σελίδα 26 ο υπολογιστής μας, θα “πατήσει” από πάνω ότι είναι ήδη γραμμένο σε αυτή τη σελίδα. Αν το αρχείο μας έπιανε όλη τη σελίδα 26 και το νέο αρχείο πιάνει τη μισή, τότε η μισή θα περιέχει το παλιό αρχείο και η άλλη μισή το καινούριο. Η ανάκτηση του παλιού αρχείου διαβάζοντας τη μισή σελίδα, είναι δύσκολη αλλά όχι αδύνατη και εξαρτάται από το είδος του αρχείου.

Μετακίνση, Αντιγραφή, Ανασυγκρότηση δίσκου και Format:

  • Μετακίνηση

Τι ακριβώς γίνεται όταν μετακινούμε ένα αρχείο από ένα σημείο σε άλλο στον ίδιο δίσκο; Τίποτα απολύτως, απλά ο υπολογιστής μας μάς εμφανίζει ότι το αρχείο είναι στην επιφάνεια εργασίας για παράδειγμα αντί σε κάποιον άλλο φάκελο. Στην πραγματικότητα δε μετακινείται τίποτα απολύτως. Εικονικά μόνο βλέπουμε το αρχείο μας σε άλλο σημείο, ενώ το MFT παραμένει το ίδιο. Σε περίπτωση που μετακινήσουμε το αρχείο μας σε άλλο δίσκο ο υπολογιστής μας αντιγράφει το αρχείο μας σε ένα φάκελο temp, σβήνει εικονικά(delete) το αρχείο από την παλιά τοποθεσία, αντιγράφει το αρχείο μας στη νέα τοποθεσία και σβήνει το αρχείο από το φάκελο temp. Δηλαδή για να μετακινηθεί ένα αρχείο μας από ένα δίσκο σε άλλο, ο υπολογιστής δημιουργεί ένα δεύτερο αντίγραφο του αρχείου μας σε έναν temp φάκελο και στο τέλος διαγράφει εικονικά το 2 φορές υπάρχον αρχείο από το δίσκο. Το αν θα σβηστούν πραγματικά τα αρχεία μας, είναι θέμα τύχης αν στην τοποθεσία αυτή γραφτεί κάποιο άλλο αρχείο ίδιου ή μεγαλύτερου μεγέθους. Με λίγα λόγια, αν κάποιος είχε μια ελπίδα να ανακτήσει το αρχείο μας από τον παλιό δίσκο, τώρα έχει δυο ελπίδες καθώς το αρχείο μας υπάρχει 2 φορές στο δίσκο αυτόν.

  • Αντιγραφή:

Στην περίπτωση της αντιγραφής, συμβαίνει αυτό που περιγράψαμε πάνω -δημιουργείται ένα αντίγραφο δηλαδή του αρχείου μας, το οποίο αφού ολοκληρωθεί η αντιγραφή “διαγράφεται”. Δηλαδή στην πραγματικότητα υπάρχει δυο φορές στον δίσκο μας.

  • Ανασυγκρότηση δίσκου:

Όταν επιλέγουμε να κάνουμε ανασυγκρότηση δίσκου, ο υπολογιστής μας ουσιαστικά αντιγράφει και “τακτοποιεί” τα δεδομένα μας, τα οποία όπως αναφέραμε αποθηκεύει τυχαία όπου βρει χώρο (όχι στη σειρά δηλαδή). Ας επιστρέψουμε στο παράδειγμα με το βιβλίο. Ας υποθέσουμε πως έχουμε ένα βιβλίο που είναι γραμμένες (δηλαδή υπάρχουν στον πίνακα περιεχομένων) οι σελίδες 26,37,58,65 και όλες οι υπόλοιπες είναι κενές. Αυτό που κάνει ο υπολογιστής μας με την ανασυγκρότηση είναι το εξής: Αντιγράφει τα περιεχόμενα των σελίδων 26,37,58,65 στις σελίδες 1,2,3,4 που είναι άδειες και ενημερώνει τον πίνακα περιεχομένων για την “μετακίνηση”, δηλαδή ότι οι σελίδες 26,37,58,65 είναι άδειες και οι σελίδες 1,2,3,4 έχουν στοιχεία. Άρα τα δεδομένα μας τώρα υπάρχουν 2 φορές αλλά ο υπολογιστής μας θεωρεί ότι υπάρχουν μια (αφού αναφέρονται μια φορά στον πίνακα περιεχομένων). Φυσικά το παράδειγμα είναι σχετικό και περιγράφει τη διαδικασία χωρίς να σημαίνει ότι κάθε φορά που κάνουμε ανασυγκρότηση, υπάρχουν όλα τα δεδομένα μας 2 φορές στο δίσκο (το ποια αρχεία και πόσα υπάρχουν 2 φορές στο δίσκο, εξαρτάται από διάφορους παράγοντες).

  • Format:

Όλοι γνωρίζουμε τη διαδικασία format ενώ κάποιοι ίσως να έχουν παρατηρήσει ότι τα windows προσφέρουν 2 λειτουργίες format (quick, non quick). Αυτό που συμβαίνει κατά τη διάρκεια ενός format είναι πολύ πιο απλό από όσο κάποιοι μπορεί να φαντάζονται. Το μόνο που συμβαίνει, είναι να σβήνεται το MFT, δηλαδή να σβήνεται ο πίνακας περιεχομένων. Δηλαδή δε σβήνεται πραγματικά κανένα αρχείο, απλά ο υπολογιστής αναγνωρίζει το δίσκο μας σαν άδειο. Για αυτό το λόγο ίσως να έχετε παρατηρήσει πως το quick format είναι πάντα γρήγορο, ανεξαρτήτως χωρητικότητας δίσκου. Το regular format που ίσως να δίνει την αυταπάτη ότι όντως σβήνει τα αρχεία μας, το μόνο παραπάνω που κάνει σε σχέση με το quick format, είναι να ελέγχει το δίσκο μας για bad sectors (κατεστραμμένα σημεία) και για αυτό το λόγο η ταχύτητα του εξαρτάται από το μέγεθος του δίσκου. Με λίγα λόγια, καμία από τις 2 επιλογές format, δεν είναι ασφαλής (το ίδιο ισχύει και για τα λειτουργικά Linux/Mac OS).

Πως διαγράφεται πραγματικά ένα αρχείο:

Στην περίπτωση που διαγράψουμε ένα αρχείο με delete και αδειάσουμε τον κάδο, ουσιαστικά έχει γίνει αυτό που περιγράψαμε πάνω, δηλαδή ελευθερώθηκε η θέση στα περιεχόμενα μόνο. Για να σιγουρευτούμε ότι τα δεδομένα μας έχουν εξαφανιστεί από το δίσκο, θα πρέπει να γεμίσουμε το δίσκο με αρχεία, μέχρι να γεμίσει τελείως. Οπότε, τότε θα είμαστε σίγουροι ότι και στη θέση που ήταν παλιά το αρχείο μας, τώρα είναι νέα δεδομένα. Δηλαδή αν έχουμε ένα δίσκο 20GB και χρησιμοποιούμε τα 15, στην περίπτωση που σβήσουμε ένα αρχείο, θα πρέπει να γεμίσουμε όλο μας το δίσκο ώστε να σιγουρευτούμε ότι ο υπολογιστής μας έγραψε εκεί που ήταν το αρχείο που σβήσαμε.

Άλλος τρόπος διαγραφής:

Υπάρχουν προγράμματα που μπορούν να αναλάβουν την ασφαλή διαγραφή ενός αρχείου. Αυτό που κάνουν ουσιαστικά αυτά τα προγράμματα, είναι το εξής: Βλέπουν το ακριβές μέγεθος του αρχείου που επιλέξαμε και πηγαίνουν στην τοποθεσία που αρχίζει το αρχείο μας. Ανοίγουν το αρχείο μας (σαν 0 και 1) και γράφουν μέσα τυχαία δεδομένα πάνω στα άλλα μέχρι να καταλαμβάνει το ίδιο μέγεθος που είχε αρχικά. Ύστερα διαγράφουν απλά το αρχείο. Με λίγα λόγια, το αρχείο δεν διαγράφεται ουσιαστικά (διαγράφεται με τον ίδιο τρόπο όπως όταν πατάμε delete). Όμως δεν μας απασχολεί ιδιαίτερα αφού το αρχείο μας πλέον δεν είναι αυτό που ήταν πριν καθώς τα δεδομένα του έχουν αλλάξει. Ας το φανταστούμε σαν ένα βιβλίο. Λέμε λοιπόν ότι θέλουμε να διαγράψουμε τις σελίδες 30-32. Το πρόγραμμα πηγαίνει στη σελίδα 30 και αρχίζει και γράφει τυχαία γράμματα μέχρι τη σελίδα 32. Ύστερα μέσω του απλού delete διαγράφει τις σελίδες 30-32 από τον πίνακα περιεχομένων. Άρα ακόμα και αν βρει κάποιος τις σελίδες 30-32 θα δει ακαταλαβίστικα πράγματα. Τέτοιου είδους προγράμματα προσφέρουν και μια λειτουργία ασφαλούς διαγραφής ενός ήδη διεγραμμένου αρχείου. Σε αυτή την περίπτωση αυτό που κάνουν είναι αυτό που περιγράψαμε πάνω σαν πραγματικό τρόπο διαγραφής. Η επιλογή λέγεται συνήθως wipe/shred free space και αυτό που κάνει μια τέτοια λειτουργία είναι να γεμίζει το δίσκο μας με τυχαία δεδομένα μέχρι να γεμίσει πλήρως (μετά φυσικά αυτά διαγράφονται από τον πίνακα περιεχομένων). Οπότε είναι καλύτερα να διαγράφουμε τα αρχεία μας με τέτοια προγράμματα που πρώτα τα αχρηστεύουν και όχι με delete καθώς η διαδικασία ασφαλούς διαγραφής σε αυτή την περίπτωση (με wipe free space) μπορεί να διαρκέσει αρκετή ώρα (εξαρτάται από το μέγεθος του ελεύθερου χώρου του δίσκου).

Υλική καταστροφή αντί για διαγραφή:

Είναι ίσως ο πιο λάθος τρόπος καθώς:

  • Μπορούν να μας κατηγορήσουν για καταστροφή αποδεικτικών στοιχείων
  • Θα πρέπει να κάνουμε ολική καταστροφή. Επειδή ο υπολογιστής μας δεν μπορεί να διαβάσει το σκληρό δίσκο ή το cd, δε σημαίνει ότι καταστράφηκαν πλήρως.

Λύσεις:

Eraser

Srm ή shred (Linux)

dban( bootable iso για διαγραφή ολόκληρων δίσκων)

Αναλυτικές οδηγίες:

Οδηγίες για την εγκατάσταση και τη χρήση των παραπάνω προγραμμάτων μπορούν να βρεθούν εδώ: skytal.es ασφαλής διαγραφή αρχείων

Επικινδυνότητα:

Μεγάλη. Εδώ θεωρούμε ότι η επικινδυνότητα είναι μεγάλη, καθώς σε συνδυασμό με τα ίχνη που αφήνουν διάφορα προγράμματα, είναι πιθανόν η αστυνομία να μπορέσει να ανακτήσει αρχεία που θεωρούσαμε διεγραμμένα. Για παράδειγμα, όταν γράφουμε κάτι στο microsoft/open office το πρόγραμμα αποθηκεύει ότι κάνουμε και σε ένα κρυφό εφεδρικό αρχείο. Ίσως να έχετε παρατηρήσει σε περιπτώσεις που κολλάει το πρόγραμμα και κλείνει ό,τι όταν το ανοίγουμε καταφέρνει και ανακτά όλα όσα είχαμε κάνει. Αυτό γίνεται επειδή ανοίγει το εφεδρικό αρχείο -το οποίο συνήθως είναι στον ίδιο φάκελο με το πρωτότυπο- ή το ανακτά από άλλη τοποθεσία. Όταν κλείσουμε κανονικά το πρόγραμμα (δηλαδή δεν κλείσει επειδή κόλλησε), το πρόγραμμα σβήνει εικονικά αυτό το εφεδρικό αρχείο και συνήθως τα περισσότερα από τα υπόλοιπα προσωρινά αρχεία. Πως το σβήνει; Με ένα απλό delete (δεν βρίσκεται στο κάδο ανακύκλωσης), άρα δεν σβήνεται με ασφάλεια. Με λίγα λόγια αν εμείς αργότερα σβήσουμε με ασφάλεια το .doc αρχείο μας, κάποιος ίσως καταφέρει να διαβάσει αυτά που είχαμε γράψει, ανακτώντας το εφεδρικό αρχείο που σβήστηκε από το πρόγραμμα. Η μόνη λύση για αυτό το πρόβλημα είναι να γεμίσουμε το δίσκο μας με δεδομένα μέχρι να γεμίσει πλήρως ώστε να σιγουρευτούμε ότι το αρχείο μας διεγράφη. Υπάρχει επίσης πιθανότητα το αρχείο μας να υπάρχει και σαν temp αρχείο στο φάκελο temp. Το ίδιο ισχύει στην περίπτωση που επιλέξουμε μέσω του browser μας να σβήσουμε cookies ή την cache. Για αυτό το λόγο για οτιδήποτε θέλουμε να διαγράψουμε, πρέπει να χρησιμοποιούμε προγράμματα που μας δίνουν την επιλογή της ασφαλούς διαγραφής. Προγράμματα όπως Ccleaner, Evidence Eliminator, Clean After Me, παρέχουν αυτή τη δυνατότητα.

Φήμες:

Υπάρχει η φήμη που λέει πως ότι και να κάνει κάποιος, πάντα θα υπάρχει τρόπος ανάκτησης των αρχείων ή ότι για να μην υπάρχει τρόπος ανάκτησης του αρχείου μας, θα πρέπει να γραφτούν από πάνω δεδομένα 35 φορές (gutman method). Αυτές οι φήμες είναι πέρα για πέρα αναληθείς, καθώς 1 φορά overwrite είναι αρκετή. Φήμες που λένε για ηλεκτρονικά μικροσκόπια που ελέγχουν τον δίσκο σημείο-σημείο και διαβάζουν τα δεδομένα δεν ισχύουν και δεν θα μπούμε σε αυτό το σημείο στη διαδικασία να αναλύσουμε το γιατί. Συνεπώς στις ρυθμίσεις των άνω προγραμμάτων είναι ασφαλές κάποιος να χρησιμοποιήσει την επιλογή που κάνει 1 pass. Περισσότερες πληροφορίες για τους δύσπιστους:

http://www.nber.org/sys-admin/overwritten-data-gutmann.html

http://www.infosecisland.com/blogview/16130-The-Urban-Legend-of-Multipass-Hard-Disk-Overwrite.html

Συμπεράσματα

Αυτό που πρέπει κάποιος να συμπεράνει από τα παραπάνω, είναι ότι δεν υπάρχει ουσιαστικός τρόπος να είμαστε 100% σίγουροι ότι δεν έχουμε αφήσει ίχνη πίσω μας. Ακόμα και αν αγνοήσουμε τα ίχνη που αφήνουν τα Windows, δε μπορούμε να τα αγνοήσουμε τα ίχνη που αφήνουν προγράμματα όπως Microsoft Office, καθώς εμπεριέχουν μεγάλους κινδύνους. Για να λύσουμε, για παράδειγμα το πρόβλημα των εφεδρικών αρχείων που δημιουργεί το Office, θα πρέπει κάθε φορά που ανοίγουμε ένα αρχείο στον υπολογιστή μας, μετά να διαγράφουμε ασφαλώς τον άδειο χώρο του δίσκου μας, κάτι που απαιτεί αρκετό χρόνο. Για αυτό το λόγο θα πρέπει ο υπολογιστής μας να λειτουργεί σε ένα πλήρες ελεγχόμενο περιβάλλον ώστε να μην αφήνει ίχνη ή ότι είναι να κάνουμε να το κάνουμε σε internet cafe. Μια πολύ καλή λύση σε αυτό το πρόβλημα είναι τα bootable live cd/dvd. Υπάρχουν και εκδόσεις σε usb, όμως έχουν το μειονέκτημα ότι τα usb λειτουργούν και σαν σκληροί δίσκοι οπότε υπάρχει η πιθανότητα -ανάλογα με την ασφάλεια του λειτουργικού συστήματος- να γραφτούν δεδομένα). Τα bootable live cd, είναι στην ουσία cd που έχουν εγκατεστημένο ή συμπιεσμένο ένα λειτουργικό σύστημα (συνήθως linux) και αφού κάνουμε επανεκκίνηση του υπολογιστή μας, μπορούμε να μπούμε σε ένα λειτουργικό σύστημα το οποίο δε θα γράψει τίποτα στον δίσκο μας καθώς όλα τα δεδομένα θα αποθηκεύονται στη RAM.H διαδικασία για να μπορέσει ο υπολογιστής να ξεκινήσει από το cd γίνεται από το bios.

Ίσως ακούγεται υπερβολική μια τέτοια μέθοδος, αλλά θεωρούμε ότι είναι η πιο ασφαλής με την έννοια ότι αν κάποιος θέλει να γράψει κάτι σε ένα αρχείο .doc και να το περάσει στο usb stick του, ο μόνος τρόπος για να σιγουρευτεί ότι μόνο στο usb stick θα υπάρχουν δεδομένα είναι αυτός, αφού το λειτουργικό σύστημα στην περίπτωση του live cd τρέχει στη RAM. Με λίγα λόγια ακόμα και για το θέμα των εφεδρικών αρχείων, μπορούμε να είμαστε σίγουροι ότι μόνο στο usb stick μας θα υπάρχουν και όχι σε διάφορες τοποθεσίες του δίσκου μας που δεν θέλουμε να είναι.

Στην περίπτωση των internet cafe προκύπτουν άλλα προβλήματα όπως κάμερες ασφαλείας και η αναγνώριση του προσώπου μας από θαμώνες. Ακόμα όμως και αν λύσουμε(ή θεωρήσουμε ασήμαντα) αυτά τα προβλήματα, θα πρέπει να γνωρίζουμε ότι τα περισσότερα internet cafe(αν όχι όλα), έχουν πρόγραμμα παρακολούθησης όλων των υπολογιστών που δίνει τη δυνατότητα στον administrator-ταμία να μπορεί να βλέπει οτιδήποτε κάνουμε στον υπολογιστή μας live. Επίσης καλό θα είναι να γνωρίζουμε ότι η επαναφορά που γίνεται από τους υπολογιστές των internet cafe σε αρχική κατάσταση κατά την επανεκκίνηση του υπολογιστή (και που ουσιαστικά διαγράφει τα όποια αρχεία αποθηκεύσαμε στο δίσκο πριν την επανεκκίνηση), στην πραγματικότητα διαγράφει εικονικά τα αρχεία που αποθηκεύσαμε στο δίσκο. Αυτό που κάνει, είναι να επαναφέρει το MFT (πίνακα περιεχομένων) σε μια προεπιλεγμένη κατάσταση. Με λίγα λόγια τα αρχεία μας συνεχίζουν να υπάρχουν μέχρι κάποιος να γράψει πάνω από αυτά. Επίσης το πρόγραμμα αυτό είναι στις περισσότερες περιπτώσεις εύκολο να παρακαμφθεί από κάποιον τρίτο και να τοποθετήσει κάποιο κακόβουλο πρόγραμμα (π.χ να υποκλέπτονται οι κωδικοί που χρησιμοποιούμε). Με λίγα λόγια, ένας υπολογιστής σε ένα internet café μπορεί να είναι μολυσμένος από ιους παρά το γεγονός ότι επαναφέρεται σε αρχική κατάσταση μετά από κάθε επανεκκίνηση.

Bootable linux live cd/dvds (ενδεικτικά καθώς υπάρχουν πάρα πολλά):

Ubuntu

(το Ubuntu έχει επιλογή πριν το εγκαταστήσουμε, να το δοκιμάσουμε)

FedoraLiveCD

(είναι το λειτουργικό σύστημα Fedora σε live cd έκδοση)

Backtrack4 (dvd)

(Linux λειτουργικό το οποίο προσφέρει πολλά εργαλεία σχετικά με hacking. Έχει προεγκατεστημένα προγράμματα για ασφαλή διαγραφή αρχείων (srm,shred κλπ) καθώς και προγράμματα κρυπτογράφησης αρχείων. Επίσης έχει ειδική επιλογή για να επιτραπεί η δικτύωση (πρόσβαση στο internet (start networking) προσφέροντας με αυτό τον τρόπο περισσότερη ασφάλεια. Απαιτεί κάποια γνώση εντολών linux)

Ubuntu Privacy Remix

(Είναι το λειτουργικό Ubuntu, με εγκατεστημένο το πρόγραμμα κρυπτογράφησης truecrypt, προγράμματα αποθήκευσης κωδικών κλπ. Η δικτύωση είναι απενεργοποιημένη και δεν υπάρχει τρόπος να ενεργοποιηθεί)

Tails

(Είναι το λειτουργικό Debian με εγκατεστημένο το πρόγραμμα ανωνυμίας tor, προγράμματα αποθήκευσης κωδικών κλπ.)

Επίσης για τους φανατικούς χρήστες των windows τα παρακάτω μπορεί να φανούν χρήσιμα καθώς αποτελούν προεγκατεστημένες εκδόσεις των windows σε cd/dvd (απαιτούν cd εγκατάστασης των windows):

BartPE

(http://www.nu2.nu/pebuilder/ και http://en.wikipedia.org/wiki/BartPE )

WinBuilder

(http://en.wikipedia.org/wiki/WinBuilder καθώς και http://winbuilder.net/download.php?list.5 )

Και τα πέντε linux live cd/dvd που αναφέραμε έχουν εγκατεστημένα προγράμματα ανάγνωσης και δημιουργίας αρχείων word, pdf κλπ. Ένα σημείο το οποίο πρέπει να προσέξουμε, είναι το mounting σκληρών δίσκων. Και τα 4, βλέπουν τους σκληρούς μας δίσκους αλλά δεν τους έχουν εξαρχής ενεργοποιημένους έτσι ώστε να μην υπάρχει πιθανότητα να γραφτούν δεδομένα σε αυτούς. Συνεπώς αν έχουμε ενεργοποιημένους 2 σκληρούς δίσκους και θέλουμε να γράψουμε δεδομένα μόνο στον 1 καλό είναι να απενεργοποιήσουμε τον άλλο(unmount volume). Τα live cd Ubuntu, FedoraLiveCD και Ubuntu Privacy Remix είναι αρκετά εύχρηστα, ενώ το Backtrack είναι πιο δύσκολο καθώς για πολλές ενέργειες απαιτείται γνώση χειρισμού και εντολών του λειτουργικού συστήματος Linux

Ασφάλεια αρχείων

Είναι βασικό να μην επιτρέπουμε την πρόσβαση/απόκτηση του δίσκου/usb stick μας σε τρίτους. Είναι βασικό όμως, ακόμα και σε αυτή την περίπτωση να έχουμε μια δικλείδα ασφαλείας ώστε ο άλλος να μην μπορεί να δει τα αρχεία μας. Αυτό επιτυγχάνεται με την κρυπτογράφηση των αρχείων μας. Υπάρχουν πολλά προγράμματα που μπορούν να το κάνουν αυτό. Ένα πολύ γνωστό ανοιχτού κώδικα πρόγραμμα είναι το truecrypt το οποίο δίνει τις εξής δυνατότητες: Κρυπτογράφηση ολόκληρου του δίσκου ή ενός κομματιού του (partition) ή δημιουργία ενός αρχείου που θα λειτουργεί σαν δοχείο κρυπτογράφησης των αρχείων που θα τοποθετούμε (file container). Προσφέρει επίσης και τη δυνατότητα κρυπτογράφησης ενός δίσκου που περιέχει λειτουργικό σύστημα (ένας φορητός σκληρός δίσκος κρυπτογραφημένος και φορτωμένος με windows, είναι ασφαλής, εύχρηστος και φτηνός πλέον). Δε θα μπούμε σε λεπτομέρειες για το συγκεκριμένο πρόγραμμα, απλά θα αναφέρουμε κάποια βασικά πράγματα ώστε να διατηρήσουμε την ασφάλεια των αρχείων μας μέσω αυτού του προγράμματος όσο το δυνατόν καλύτερη:

  • Χρήση μεγάλων κωδικών

Είναι βασικό να χρησιμοποιούμε κωδικούς μεγαλύτερους των 20 χαρακτήρων. Κωδικοί 8 χαρακτήρων είναι αρκετά εύκολο να βρεθούν σε μικρό χρονικό διάστημα

  • Χρήση όσο μεγαλύτερης γκάμας χαρακτήρων γίνεται

Καλό είναι αν μπορούμε να χρησιμοποιούμε γράμματα μικρά και κεφαλαία, αριθμούς καθώς και ειδικούς χαρακτήρες(όπως ! _ , [ } κλπ). Όσο μεγαλύτερη είναι η γκάμα τόσο πιο ασφαλές(περισσότερες πληροφορίες στο κομμάτι της κρυπτογραφίας).

  • Χρήση keyfiles

Keyfiles ονομάζονται τα αρχεία που απαιτούνται από το σύστημα σαν επιπλέον(ή μοναδικός) κωδικός για να αποκρυπτογραφηθούν τα δεδομένα μας. Η χρήση των keyfiles(ειδικά αν είναι πολλά) θωρακίζει σε ακόμα μεγαλύτερο βαθμό τα αρχεία μας, καθώς απαιτείται από κάποιον να έχει στην κατοχή του και τα keyfiles.  Οπότε αν έχουμε τα keyfiles σε ξεχωριστό usb stick και μάλιστα μαζί με πολλά τυχαία αρχεία, κάποιος θα πρέπει να έχει στην κατοχή του το usb stick μας για να έχει ελπίδες να αποκρυπτογραφήσει τα αρχεία μας, ενώ αν τα keyfiles μας είναι μαζί με πολλά άλλα αρχεία, θα πρέπει να μαντέψει ο συνδυασμός ποιών αρχείων θα του δώσει πρόσβαση. Ένα πρόβλημα που προκύπτει εδώ, είναι ότι το keyfile που θα χρησιμοποιούμε, κάθε φορά που το χρησιμοποιούμε θα έχει ως τελευταία ημερομηνία τροποποίησης την ημερομηνία που είτε το ανοίξαμε σαν αρχείο είτε το χρησιμοποιήσαμε σαν keyfile. Αυτό μπορεί να αποτελέσει πρόβλημα, καθώς αν τελευταία στιγμή κλειδώσουμε τον κρυπτογραφημένο δίσκο μας, κάποιος μπορεί να μαντέψει ποιο/α μπορεί να είναι το keyfile μας με γνώμονα τα αρχεία που ανοίξαμε τελευταία. Όπως είπαμε και πιο πάνω, τα στοιχεία αυτά δεν μπορούν να διαγραφούν. Μπορούν όμως να τροποποιηθούν μέσω της χρήσης ενός προγράμματος όπως για παράδειγμα το timestomp. Το timestomp-gui είναι ένα πρόγραμμα που δίνει τη δυνατότητα σε κάποιον γρήγορα και χωρίς τη χρήση γραμμής εντολών[command-prompt (γνωστό σαν dos σε κάποιους)] να αλλάζει την ημερομηνία αυτή(timestamp λέγεται). Φυσικά δεν είναι έξυπνο να έχουν όλα τα αρχεία μας timestamps 2008 και το keyfile μας να έχει ημερομηνία 2003. Επίσης, καλό είναι να μη δημιουργούμε keyfiles μέσω του truecrypt καθώς εξαιτίας του τρόπου δημιουργίας τους, μπορούν να εντοπιστούν και να υποψιαστεί κάποιος εύκολα ότι είναι keyfiles του truecrypt. Καλό είναι να χρησιμοποιούμε αρχεία που υπάρχουν ήδη στον υπολογιστή μας αλλά που δεν θα τροποποιήσουμε (π.χ αρχεία jpg, exe κλπ).

Το πρόγραμμα truecrypt για παράδειγμα, χρησιμοποιεί τα πρώτα 1024 kilobytes του αρχείου keyfile. Αυτό σημαίνει πως χρησιμοποιεί 8.388.608 bits σαν εξτρά κωδικό. To bits μπορεί να πάρει τιμή 0 ή 1, άρα με βάση τα όσα αναφέραμε στην αρχή περί κρυπτογραφίας και πλήθος συνδασμών, προκύπτουν 2 8.388.608 συνδυασμοί. Για να μην μπερδευτείτε με bits σκεφτείτε για παράδειγμα ότι έχουμε ένα τριψήφιο κωδικό και έχουμε διαλέξει ως χαρακτήρες τους 0 και 1. Άρα έχουμε 2 3 πιθανούς συνδυασμούς. Σκεφτείτε τώρα ότι το truecrypt χρησιμοποιεί το keyfile, σαν ένα κωδικό 8.388.608ψήφιο και έχει διαλέξει σαν χαρακτήρες τους 0 και 1. Συνεπώς, αν δεν υπάρχει κάποιο προγραμματιστικό λάθος ή λάθος στην υλοποίηση του αλγορίθμου, είναι αδύνατο να βρεθεί ο κωδικός χωρίς το keyfile.

  • Τυχαιότητα

Είναι βασικό να χρησιμοποιούμε όσο το δυνατό τυχαίους κωδικούς. Κωδικοί οι οποίο είναι το όνομά μας, η διεύθυνση του σπιτιού μας, η ημερομηνία γέννησής μας ή όλα αυτά συνδυασμένα μαζί, δεν είναι ασφαλείς κωδικοί και είναι τα πρώτα πράγματα που θα δοκιμάσει κάποιος. Επίσης κλασσικοί κωδικοί όπως 12345, asdf, abcde, qwerty είναι αυτοί που θα δοκιμαστούν στη συνέχεια. Για παράδειγμα το facebook και το twitter έχουν αρχείο με κάποιους κλασσικούς κωδικούς και απαγορεύουν σε κάποιον να χρησιμοποιήσει κάποιον από τους κωδικούς αυτούς. Ένα χρήσιμο πρόγραμμα για την παραγωγή τυχαίων κωδικών, είναι το PWGen.

  • Ποιος θυμάται τους κωδικούς;

Σε γενικές γραμμές, είναι καλό να χρησιμοποιούμε εντελώς τυχαίους κωδικούς. Αν ο κωδικός είναι κάτι που μπορούμε να θυμηθούμε, ίσως να μπορεί να ανακαλυφθεί και από άλλους. Ένας τυχαίος κωδικός 50 ψηφίων που θα περιέχει γράμματα κεφαλαία και πεζά, αριθμούς καθώς και σύμβολα, δε μπορεί να ανακαλυφθεί τόσο εύκολα. Πως όμως θα θυμόμαστε ένα τόσο μεγάλο κωδικό; Εδώ έρχονται τα προγράμματα αποθήκευσης κωδικών. Ένα πολύ καλό, εύχρηστο και ασφαλές πρόγραμμα, είναι το KeePass. Συνεπώς, καλό είναι να έχουμε τυχαίους και μεγάλους κωδικούς για την κρυπτογράφηση των αρχείων μας, να έχουμε αυτούς τους κωδικούς αποθηκευμένους σε ένα κρυπτογραφημένο αρχείο του keepass το οποίο θα είναι ασφαλές κάνοντας χρήση ενός μεγάλου κωδικού που να μπορούμε όμως να θυμηθούμε, καθώς και ενός keyfile (υποστηρίζει το πρόγραμμα), τα οποία θα έχουμε αποθηκευμένα σε ένα usb stick για παράδειγμα το οποίο σε κάποια δύσκολη κατάσταση θα μπορούμε να ξεφορτωθούμε ή να καταστρέψουμε. Το αρχείο των κωδικών μας θα μπορούσαμε να το προστατεύσουμε χρησιμοποιώντας ως κωδικό μια πρόταση greeklish βάζοντας ανάμεσα στις λέξεις είτε σύμβολα, είτε αριθμούς. Με αυτόν τον τρόπο το μέγεθος του κωδικού μας, και μεγαλώνει, και χρησιμοποιούμε μεγαλύτερη γκάμα χαρακτήρων. Επίσης μπορεί κάποιος να χρησιμοποιεί λέξεις και ανα 2 ψηφία για παράδειγμα να εισάγει ειδικούς χαρακτήρες. Για παράδειγμα μπορεί να έχουμε σαν βάση τον κωδικό TellMeSomething και να τον μετατρέψουμε σε Te56ll$Me87(So^%me;’th*&in98g)*

Σημείωση:

Το γεγονός ότι τα αρχεία μας είναι κρυπτογραφημένα δε σημαίνει ότι επιτρέπουμε σε κάποιον να τα αποκτήσει. Αν λοιπόν έρθει η αστυνομία για κάποια έρευνα σπίτι μας καλό θα είναι να μην βρουν και πάρουν τα αρχεία μας (δηλαδή το δίσκο ή το usb stick που τα έχουμε). Φυσικά, το γεγονός πως έχουμε τα αρχεία μας κρυπτογραφημένα, δε σημαίνει πως αυτά δεν αφήνουν ίχνη στο δίσκο μας (όπως αναφέραμε παραπάνω). Ένας τρόπος λύσης του συγκεκριμένου ζητήματος, είναι η κρυπτογράφηση ολόκληρου του δίσκου μαζί με το λειτουργικό μας σύστημα. Επίσης δεν είναι γνωστή η ελληνική νομοθεσία πάνω στο θέμα των κωδικών, καθώς και το αν κάποιος είναι υποχρεωμένος να δώσει τον κωδικό αν του ζητηθεί κάτι τέτοιο (και τι κατηγορίες θα υποστεί αν αρνηθεί). Για παράδειγμα, σε διάφορες χώρες όταν κάποιος ταξιδεύει με αεροπλάνο, είναι υποχρεωμένος να παραδώσει το laptop του για έλεγχο, καθώς επίσης και να αποκρυπτογραφήσει τυχόν κρυπτογραφημένα δεδομένα. Τέλος, πρέπει να έχουμε πάντα στο νου μας ότι η ασφάλεια των δεδομένων μας όταν κάνουμε χρήση της κρυπτογραφίας, εξαρτάται από την υλοποίηση του αλγορίθμου και από το ίδιο το πρόγραμμα που χρησιμοποιούμε. Για παράδειγμα το truecrypt θεωρείται ένα από τα καλύτερα στην ασφαλή κρυπτογράφηση των αρχείων. Αυτό δε σημαίνει ότι δεν είχε ή θα έχει προβλήματα: http://esec.fr.sogeti.com/blog/index.php?2008/12/08/46-cspn-truecrypt-english

Αναλυτικές οδηγίες:

Οδηγίες για το πως μπορεί να χρησιμοποιήσει κάποιος το truecrypt δημιουργώντας ένα file container, μπορεί να βρει εδώ:  skytal.es truecrypt

Οδηγίες για το πως μπορεί να χρησιμοποιήσει κάποιος το truecrypt για whole disk encryption, μπορεί να βρει εδώ: http://www.top-windows-tutorials.com/Disk-encryption.html

Για περισσότερη ασφάλεια στην περίπτωση που κάποιος επιλέξει τη λύση του full disk encryption μπορεί να διαβάσει κάποιος το ακόλουθο tutorial: http://www.anti-forensics.com/full-disk-encryption-with-truecrypt-on-windows-xp και http://www.anti-forensics.com/modify-truecrypt-encryption-boot-loader-strings

Οδηγίες για το πως μπορεί να χρησιμοποιήσει κάποιος το dm-crypt στο λειτουργικό linux: skytal.es dm-crypt

Links

Truecrypt (http://www.truecrypt.org)

Keepass (http://keepass.info)

PWGen (http://pwgen-win.sourceforge.net)

 

Δικτυακά Ίχνη

Τα ίχνη στο διαδίκτυο που αφήνει κανείς είναι πολύ συγκεκριμένα και δυστυχώς  μόνο κάποια από αυτά μπορεί να καλύψει κάποιος εκ των υστέρων. Για να γίνουν περισσότερο κατανοητά τα παρακάτω είναι απαραίτητο να εξηγήσουμε σύντομα κάποια βασικά πράγματα σχετικά με τον τρόπο με τον οποίο συνδεόμαστε στο internet.

Αρχικά θα πρέπει να γνωρίζουμε ότι για να συνδεθεί ο υπολογιστής μας στο internet, θα πρέπει να μπορεί να συνδεθεί με κάποιο modem/router είτε ενσύρματα μέσω κάποιου καλωδίου, είτε ασύρματα (οπότε θα πρέπει να έχουμε ασύρματα κάρτα δικτύου). Και στις δυο περιπτώσεις αυτό που γίνεται, είναι η κάρτα δικτύου μας να συνδέεται με το modem/router και στη συνέχεια αυτό να δρα ως διαμεσολαβητής μας. Στη συνέχεια το router μας, μέσω της γραμμής τηλεφώνου στέλνει τα στοιχεία της σύνδεσης μας στον πάροχο υπηρεσιών μας (π.χ Forthnet) και αυτός αφού μας ελέγξει την εγκυρότητα της σύνδεσής μας (αν δηλαδή μπορούμε να συνδεθούμε), δίνει στο router μας μια διεύθυνση ip ώστε να μπορεί να συνδεθεί στο internet.

Τα βασικά που πρέπει να κρατήσουμε από το πάνω σχέδιο για να κατανοήσουμε τι συμβαίνει όταν ανοίγουμε μια ιστοσελίδα είναι τα εξής:

  1. Ο υπολογιστής μας μεταβιβάζει το αίτημα μας (άνοιγμα ιστοσελίδας) στο modem/router μας
  2. Το router μας μεταβιβάζει το αίτημα στον ISP (internet service provider π.χ Forthnet)
  3. O ISP μεταβιβάζει το αίτημά μας στον ISP από τον οποίο έχει πρόσβαση στο internet ο server που φιλοξενεί την ιστοσελίδα που θέλουμε να επισκεφτούμε (π.χ Tellas)
  4. O ISP του server, μεταβιβάζει το αίτημα στο server που φιλοξενεί τη σελίδα και ο server απαντά
  5. Η απάντηση ακολουθεί τον ανάποδο δρόμο (από τον server, στον isp του server, στον isp μας, στο router, στον υπολογιστή μας)

Αυτό συμβαίνει στα δευτερόλεπτα που κάνει ο υπολογιστής μας για να ανοίξει μια σελίδα στο internet. Τώρα σκεφτείτε ότι κάθε κόμβος είναι ένα ίχνος της διαδρομής, άρα γνωρίζει και τον προηγούμενο κόμβο (από όπου ήρθε το αίτημα) και τον επόμενο κόμβο (που θα στείλει το αίτημα) καθώς και την αρχή και το τέλος της διαδρομής. Δηλαδή ο ISP του server, γνωρίζει σίγουρα ότι ο ISP μας του έστειλε ένα αίτημα και ότι το αίτημα πρέπει να μεταβιβαστεί στον server. Επίσης γνωρίζει ότι το μήνυμα ξεκίνησε από το router μας, και ότι πρέπει να καταλήξει στον server. Φυσικά αυτά είναι δεν είναι τα μόνα ίχνη.

Διεύθυνση IP:

Κάθε router που έχει πρόσβαση στο internet έχει τουλάχιστον 1 διεύθυνση ip. Η διεύθυνση αυτή είναι μοναδική στον κόσμο και αντιστοιχεί στον ISP μας. Δηλαδή κάποιος που γνωρίζει την ip μας, γνωρίζει αυτομάτως τη χώρα από την οποία συνδεόμαστε καθώς και τον service provider. Κάθε service provider έχει συγκεκριμένο εύρος διευθύνσεων από τις οποίες μπορεί να επιλέξει και μας δίνει όταν συνδεόμαστε σε αυτόν. Επίσης είναι προφανές ότι όποτε ο ISP δίνει μια ip, σημειώνει σε αρχείο την ώρα που δόθηκε η ip και τα στοιχεία του κατόχου (δηλαδή τα στοιχεία που έχουμε δώσει για το πακέτο σύνδεσης στο internet). Η συνεννόηση για την αποστολή των πακέτων και τη διαδρομή που θα ακολουθήσουν, γίνεται χρησιμοποιώντας διευθύνσεις ip. Δηλαδή, όταν θέλουμε να ανοίξουμε μια σελίδα, το πακέτο που στέλνουμε έχει πάνω τη διεύθυνση μας (ip) και τη διεύθυνση του προορισμού (ip). Είναι προφανές λοιπόν ότι κάθε κόμβος της διαδρομής γνωρίζει ότι τα πακέτα που στέλνονται είναι από εμάς, γνωρίζει τον προορισμό, και επειδή το πακέτο περνάει από αυτόν μπορεί να διαβάσει και τα περιεχόμενα του πακέτου. Με λίγα λόγια, είναι σα να χρησιμοποιούμε το ταχυδρομείο για να στείλουμε ένα διαφανές πακέτο. Το ταχυδρομείο γνωρίζει τον αποστολέα από τη διεύθυνση που γράφει το πακέτο, γνωρίζει τον παραλήπτη, και μπορεί να δει και τα περιεχόμενα του πακέτου αφού αυτό είναι διαφανές. Αυτό περίπου συμβαίνει σε κάθε μη κρυπτογραφημένη πληροφορία που μεταδίδουμε μέσω internet με τη μόνη διαφορά σε σχέση με το παράδειγμα του ταχυδρομείου, ότι δε μπορούμε να βάλουμε ψεύτικη διεύθυνση αποστολέα καθώς πάντα πρέπει να γνωρίζουμε αν το μήνυμά μας έφτασε ή όχι.

Διεύθυνση MAC(MAC address):

Κάθε συσκευή που συνδέεται σε ένα δίκτυο έχει ένα 12ψήφιο μοναδικό MAC κωδικό. Αυτός ο κωδικός, εκτός των άλλων έχει πληροφορίες σχετικές με το μοντέλο της συσκευής και αποστέλλεται κάθε φορά που μια συσκευή προσπαθεί να συνδεθεί σε μια άλλη. Με λίγα λόγια ο υπολογιστής μας στέλνει τη MAC της κάρτας δικτύου μας στο router, το router στέλνει τη δικιά του MAC στον ISP κ.ο.κ. Είναι προφανές λοιπόν ότι όταν συνδεόμαστε σε ένα ασύρματο δίκτυο το οποίο δεν είναι δικό μας, στέλνουμε στο ασύρματο router τη διεύθυνση MAC της ασύρματης κάρτας δικτύου μας όπως και το όνομα του υπολογιστή. Τα καλά νέα είναι ότι αυτή η πληροφορία (η MAC address δηλαδή) μπορεί να τροποποιηθεί με τη χρήση ενός απλού προγράμματος όπως είναι το MACAddressChanger για Windows ή το macchanger για Linux. Αυτά τα προγράμματα επιτρέπουν την τροποποίηση της mac address του υπολογιστή μας, όχι του router μας. Για την τροποποίηση της mac address του router απαιτούνται πολύ πιο πολύπλοκες αλλαγές πάνω στο λογισμικό του ίδιου του router, διαδικασία την οποία δεν θα περιγράψουμε εδώ. Σε κάποια router ωστόσο, υποστηρίζεται η αλλαγή της mac address μέσω των ρυθμίσεων που προσφέρει το ίδιο το router. Θα πρέπει να τονίσουμε όμως πως η αλλαγή της mac address του router μας δεν μας προσφέρει καμία ανωνυμία στην περίπτωση που χρησιμοποιούμε την προσωπική (δηλαδή αυτή που πληρώνουμε με συνδρομή) μας σύνδεση στο διαδίκτυο. Μια τέτοια ενέργεια θα ήταν αντίστοιχη με το να αλλάζαμε συσκευή κινητού τηλεφώνου αλλά να χρησιμοποιούσαμε την ίδια κάρτα sim.

Παρακολούθηση του internet:

Ίσως κάποιοι να έχουν ακούσει για την παραλαβή από την ΕΥΠ μιας συσκευής που καθιστά εφικτή την παρακολούθηση του internet. Η παρακολούθηση του internet μοιάζει σε πολλά σημεία με την παρακολούθηση των κινητών τηλεφώνων, όπως την περιγράψαμε παραπάνω. Στη συγκεκριμένη περίπτωση, η παρακολούθηση γίνεται ακριβώς με τον ίδιο τρόπο, με μια man-in-the-middle παρακολούθηση, δηλαδή με το να μπαίνει η ΕΥΠ ως διαμεσολαβητής μεταξύ εμάς και του service provider μας. Φυσικά, ένα τέτοιο μηχάνημα επιτρέπει συγκεκριμένο αριθμό ταυτόχρονων παρακολουθήσεων. Μπαίνοντας λοιπόν ως διαμεσολαβητής η ΕΥΠ, συμμετέχει και αυτή στο παιχνίδι της μεταφοράς των πακέτων. Η παρακολούθηση και σε αυτή την περίπτωση, γίνεται στοχοποιώντας τα στοιχεία της σύνδεσής μας όπως ακριβώς και στην περίπτωση της κινητής τηλεφωνίας. Δηλαδή δίνεται εντολή, όποτε συνδέεται ο Κ με τον πάροχό του, να παρακολουθούνται τα δεδομένα που στέλνει μέσω internet.  Επίσης μπορεί να γίνεται παρακολούθηση με βάση τη MAC address του router μας. Στην περίπτωση του internet, τα περισσότερα μηνύματα μεταδίδονται χωρίς κάποιου είδους κρυπτογράφηση. Συνεπώς αν είμαστε υπό παρακολούθηση, η ΕΥΠ μπορεί να δει και να δοκιμάσει τα εξής:

  • Σε ποιες σελίδες μπαίνουμε
  • Μπορεί να διαβάσει τους κωδικούς μας σε διάφορα sites αν μεταδίδονται χωρίς κρυπτογράφηση (κάτι που συμβαίνει σε πολύ μεγάλο βαθμό)
  • Με ποιους μιλάμε σε προγράμματα όπως το msn καθώς και το τι λέμε
  • Μπορεί να υποκλέψει αρχεία που στέλνουμε μέσω internet
  • Μπορεί να δοκιμάσει να αποκτήσει πρόσβαση στον υπολογιστή μας χρησιμοποιώντας κάποια κενά ασφάλειας του λειτουργικού μας συστήματος (όπου αν τα καταφέρει, μιλάμε για game over, καθώς μετά θα είναι σα να κάθονται στον υπολογιστή μας).
  • Μπορεί να ανακατευθύνει τις σελίδες μας (δηλαδή π.χ αντί για google.com να μας ανοίξει astynomia.gr) ή να τροποποιήσει στοιχεία που περιέχει η σελίδα που θέλουμε να ανοίξουμε (για παράδειγμα στο gmail αντί το κουτί εισαγωγής των στοιχείων να είναι του gmail, να είναι κάποιας άλλης σελίδας ή τροποποιημένο ώστε να καταγράφει τον κωδικό μας). Ή φυσικά να πατήσουμε να μπούμε στο gmail, να ανοίξει μια σελίδα πανομοιότυπη αλλά να μην είναι σε κάποιο server της google αλλά της αστυνομίας.  Η συγκεκριμένη μέθοδος λέγεται phising (για το “κόλπο” των ψεύτικων πανομοιότυπων σελίδων) και dns spoofing (για την ανακατεύθυνση σε άλλους servers).
  • Μπορεί να διαβάσει τους κωδικούς των λογαριασμών e-mail μας αν η σύνδεση μας με τον mail server δεν είναι ασφαλής.

Και αν τα παραπάνω σας φαίνονται απίστευτα, σκεφτείτε ότι αν σε ένα ασύρματο δίκτυο στο οποίο είστε συνδεδεμένοι υπάρχει και κάποιος άλλος χρήστης, αυτός ο άλλος μπορεί να κάνει όλα τα παραπάνω χωρίς να χρειάζεται να είναι η ΕΥΠ ή να έχει κάποια απίστευτη τεχνογνωσία μιας και υπάρχει πληθώρα προγραμμάτων που κάνουν τα παραπάνω εφικτά και για ένα μη εξειδικευμένο χρήστη. Επίσης, είναι προφανές ότι αν η ΕΥΠ δεν μπορεί να βρει τον κωδικό του mail μας μέσω της παρακολούθησης, με ένα τηλεφώνημα στην εταιρία που έχει τον mail server, θα αποκτήσει πρόσβαση αργά ή γρήγορα καθώς μεγάλες εταιρίες όπως google, microsoft, facebook κλπ είναι παραπάνω από πρόθυμες να συνεργαστούν.

 

Σε γενικές γραμμές το internet μπορεί να θεωρηθεί ένα από τα πιο ανασφαλή μέσα επικοινωνίας αν δεν εφαρμόσουμε ειδικές μεθόδους προστασίας της επικοινωνίας μας. Αυτό που θα πρέπει να γνωρίζουμε ανά πάσα στιγμή, είναι ότι στο internet ότι στέλνουμε μπορεί να υποκλαπεί. Συνεπώς το μόνο που μπορούμε να κάνουμε για να προστατεύσουμε την επικοινωνία μας, είναι να φροντίσουμε έτσι ώστε ακόμα και αν υποκλαπεί, να είναι άχρηστη -με λίγα λόγια κρυπτογραφία και ανωνυμία.

Ανωνυμία στο internet

Είπαμε παραπάνω ότι σε αντίθεση με το ταχυδρομείο, δεν μπορούμε να βάλουμε ψεύτικα στοιχεία για αποστολέα όταν συνδεόμαστε στο internet. Αυτό είναι αλήθεια, όμως όπως η εισαγωγή ενός διαμεσολαβητή στη μετάδοση των πληροφοριών μας μπορεί να αποτελέσει κάτι αρνητικό για εμάς, με τον ίδιο τρόπο μπορεί να χρησιμοποιηθεί και υπέρ μας. Το θέμα της ανωνυμίας στο internet χρησιμοποιεί ένα βασικό κανόνα ο οποίος υπάρχει σε κάθε μέθοδο. Ο κανόνας αυτός μπορεί να παρουσιαστεί με το εξής παράδειγμα:

Ας σκεφτούμε πως βρισκόμαστε σε ένα πολύ μεγάλο χώρο. Θέλουμε να επικοινωνήσουμε με τον Χ χωρίς όμως οι άλλοι να γνωρίζουν ότι εμείς επικοινωνήσαμε μαζί του. Οπότε λέμε το μήνυμα μας σε κάποιον έστω Κ. Το μήνυμά μας μπορεί να είναι κρυπτογραφημένο, μπορεί και όχι (ανάλογα τη μέθοδο). Από τη στιγμή που θα το πούμε στον Κ, ο Κ μπορεί είτε να το πει σε κάποιον άλλο να το προωθήσει αυτός, είτε να το μεταφέρει αυτός στον Χ (ανάλογα τη μέθοδο).

Σκεφτείτε το συγκεκριμένο παράδειγμα και βρείτε τα πιθανά κενά ασφαλείας που δημιουργούνται:

  • Ο Κ μπορεί να διαβάσει το μήνυμά μας αν αυτό δεν είναι κρυπτογραφημένο. Θέλουμε κάτι τέτοιο;
  • Το μήνυμα μας για να μεταφερθεί στον Χ ακολουθεί ένα μονοπάτι. Αν π.χ το μονοπάτι είναι: από εμάς στον Κ και από τον Κ στον Χ, τότε ο τρίτος που θα δει τον Κ να μεταφέρει το μήνυμα, μπορεί να απαιτήσει από αυτόν να του πει ποιος ήταν ο αρχικός αποστολέας του μηνύματος. Οπότε το ερώτημα που προκύπτει είναι το εξής: Είναι ο Κ αρκετά αξιόπιστος ώστε να μην αποκαλύψει ότι εμείς του είπαμε να μεταφέρει το μήνυμα.

Ακριβώς τα ίδια υπάρχουν και στην ανωνυμία στο internet καθώς λειτουργεί κάνοντας χρήση του παραπάνω παραδείγματος.

Proxies

Τα proxies χρησιμοποιούνται για τη σύνδεση μας στο διαδίκτυο όταν το επιθυμούμε. Το proxy ουσιαστικά είναι ένας server, που όταν θέλουμε να ανοίξουμε μια ιστοσελίδα, στέλνουμε το αίτημα σε αυτόν και αυτός μας στέλνει τα δεδομένα. Δηλαδή είναι αυτός ο διαμεσολαβητής της επικοινωνίας μας (εν γνώση μας όμως). Αυτό έχει ως αποτέλεσμα ο server που φιλοξενεί τη σελίδα που θέλουμε να ανοίξουμε να μη μπορεί να δει ότι εμείς θέλουμε να την ανοίξουμε. Αυτό που βλέπει είναι ότι ο proxy θέλει να ανοίξει την ιστοσελίδα, οπότε στέλνει τις πληροφορίες στον proxy και αυτός τις στέλνει πίσω σε εμάς. Proxies μπορουν να χρησιμοποιηθούν για μεταφορές αρχείων, για αποστολή e-mail και άλλες λειτουργίες. Εδώ όμως προκύπτουν δυο εύλογα ερωτήματα και ορισμένες παρατηρήσεις.

Ερωτήματα:

  • Πραγματικά ανώνυμοι;

Ο proxy που μας στέλνει τα δεδομένα, γνωρίζει ότι εμείς του τα ζητήσαμε. Η αστυνομία θα δει ότι ο proxy ζητάει τα δεδομένα. Και όταν ανακαλύψει ότι αυτός που άνοιξε μια παράνομη σελίδα ή έστειλε ένα mail ύποπτου περιεχομένου, δεν είναι άνθρωπος αλλά server, θα πάει και θα ρωτήσει τον server για ποιον (ip) έκανε το διαμεσολαβητή. Και εκεί φυσικά εξαρτόμαστε από το αν ο server κρατάει αρχείο με αυτές τις υπηρεσίες και από το πόσο διατεθειμένος είναι ο ιδιοκτήτης του server να παραδώσει αυτό το αρχείο στην αστυνομία. Φυσικά αν τα στοιχεία μας δε βρεθούν, η αστυνομία μπορεί να φτάσει στην πόρτα μας και με άλλο τρόπο. Ας πούμε για παράδειγμα ότι στείλαμε ένα e-mail με παράνομο περιεχόμενο σε έναν άλλο χρήστη που παρακολουθείται και μένει στην ελλάδα  χρησιμοποιώντας proxy (συνδεθήκαμε δηλαδή για παράδειγμα στο yahoo mail μας μέσω ενός proxy) στις 20:58. Αυτό που θα δει η αστυνομία, είναι ένα παράνομο e-mail που στάλθηκε στις 20:58 από έναν proxy server που δεν κρατάει αρχεία συνδέσεων. Πως μπορεί να εντοπίσει ότι το στείλαμε εμείς αν έχει την υποψία; Αυτό που μπορεί να κάνει, είναι να ελέγξει τους ISP ποιες ip στις 20:58 στείλανε δεδομένα στον proxy server. Άρα θα δει ότι εμείς στις 20:58 στείλαμε δεδομένα στον proxy server, την ίδια ώρα που ο proxy server έστειλε ένα mail. Το συγκεκριμένο σενάριο δεν είναι στάνταρ διαδικασία αλλά σίγουρα δεν είναι και απίθανο. Φυσικά η τελευταία περίπτωση εντοπισμού δεν μπορεί να αποτελέσει ακράδαντο στοιχείο, καθώς αν ο server εξυπηρετεί πολλούς χρήστες δεν μπορεί να αποδείξει κάποιος με μοναδικό στοιχείο τη σύνδεση μας σε έναν proxy server ότι εμείς στείλαμε το mail αυτό. Θα μπορούσαμε κάλλιστα να χρησιμοποιούμε τον proxy server για να σερφάρουμε στο internet.

Σε αυτό το σημείο κάναμε 2 παραδοχές:

  • Ο παραλήπτης μένει στην ελλάδα και είναι υπό παρακολούθηση. Άρα η αστυνομία θα υποκλέψει το e-mail που στείλαμε
  • Είμαστε ύποπτοι άρα πιθανώς εμπλεκόμενοι και μένουμε στην ελλάδα

Κάνουμε αυτές τις παραδοχές γιατί μόνο σε αυτή την περίπτωση θα έχει αξία η έρευνα που περιγράφουμε. Αλλιώς θα πρέπει να ερευνηθούν χιλιάδες ISP πολλών χωρών.

  • Πραγματικά ασφαλείς;

Το γεγονός ότι στείλαμε τα δεδομένα μας ανώνυμα, δε σημαίνει ότι αυτά είναι απόρρητα. Με λίγα λόγια δε σημαίνει ότι δε μπορεί κάποιος να υποκλέψει το e-mail που στείλαμε. Το μόνο που πετύχαμε εδώ ήταν η ανωνυμία, όχι η διασφάλιση του απορρήτου.

Παρατηρήσεις:

  • Μια φορά επώνυμος = για πάντα επώνυμος

Ισχύει το ίδιο που λέγαμε παραπάνω για τα κινητά τηλέφωνα. Αν για παράδειγμα, μπω από τη σύνδεση που είναι στο όνομά μου σε ένα λογαριασμό e-mail που αργότερα το χρησιμοποιήσω για παράνομους σκοπούς, δεν έχει σημασία αν αργότερα μπαίνω ανώνυμα. Ο mail server έχει στο αρχείο για το λογαριασμό μου, μια διεύθυνση ip η οποία δεν είναι proxy αλλά αντιστοιχεί στο όνομά μου.

  • Εγώ ανώνυμος, εσύ ανώνυμος;

Το να στέλνει κάποιος ανώνυμα e-mail στο λογαριασμό e-mail κάποιου που είναι επώνυμος και μας γνωρίζει, εμπεριέχει τον κίνδυνο να αποκαλυφθεί το όνομα μας από αυτόν που μας γνωρίζει.

  • Το ότι χρησιμοποιούμε proxy/vpn/tor, δε σημαίνει ότι είμαστε 100% ανώνυμοι αν χρησιμοποιούμε internet από σύνδεση που είναι στο όνομά μας. Υπάρχουν και άλλοι τρόποι ένας server να δει την πραγματική μας ip και θα περιγράψουμε παρακάτω το πως γίνεται αυτό καθώς και πως μπορούμε να το αποφύγουμε

Tor: Λύση για συγκεκριμένα πράγματα

Το tor είναι ένα από τα πιο διάσημα προγράμματα ανωνυμίας. Ο τρόπος λειτουργίας του είναι παρόμοιος με αυτό των proxy servers με μόνες διαφορές ότι το tor περιλαμβάνει χρήστες και όχι servers και ότι υπάρχει μια κρυπτογράφηση των δεδομένων. Ας δούμε πως λειτουργεί:

Όπως βλέπουμε και στο σχέδιο, η Alice θέλει να στείλει ένα μήνυμα στον Bob. Το μήνυμα κρυπτογραφείται και η διαδρομή που ακολουθεί είναι μέσω άλλων χρηστών του tor(που έχουν επιλέξει να είναι διαμεσολαβητές (relay traffic)), μέχρι τον τελευταίο διαμεσολαβητή στον οποίο αποκρυπτογραφείται το μήνυμα, και ο οποίος το στέλνει στον Bob. Ο τελευταίος διαμεσολαβητής λέγεται exit node και η διαδικασία για να γίνει κάποιος exit node είναι πολύ απλή. Όπως φαίνεται και στο σχήμα, η διαδρομή από εμάς μέχρι και τον exit node είναι κρυπτογραφημένη. Δηλαδή οι ενδιάμεσοι δεν μπορούν να γνωρίζουν ούτε τον αρχικό αποστολέα, ούτε τον τελικό παραλήπτη. Ο exit node όμως αποκρυπτογραφεί το πακέτο γιατί είναι αυτός που θα το μεταφέρει στον παραλήπτη.

Ποια ip βλέπει ο παραλήπτης και ποια ip θα δει κάποιος τρίτος που παρακολουθεί τον παραλήπτη;

Η ip που βλέπει ο παραλήπτης, είναι η ip του exit node. Την ίδια ip θα δει και αστυνομία αν παρακολουθεί τον παραλήπτη. Αυτό που θα δει θα είναι ότι ο “ύποπτος” έλαβε ένα μήνυμα από τον exit node.

Το γεγονός ότι ο exit node αποκρυπτογραφεί το πακέτο, τι σημαίνει πρακτικά;

Σημαίνει πως μπορεί να διαβάσει το μήνυμά μας, αν αυτό είναι αποκρυπτογραφημένο. Το 2007 ένας σουηδός hacker, κατάφερε να υποκλέψει εκατοντάδες κωδικούς e-mail πρεσβειών διαφόρων χωρών χωρίς τη χρήση εξειδικευμένων τεχνικών. Στην ουσία είχε στήσει έναν exit node και παρακολουθούσε ότι περνούσε από αυτόν. Τα mail που χρησιμοποιούσαν οι συγκεκριμένες πρεσβείες δεν απαιτούσαν οι κωδικοί πρόσβασης να είναι κρυπτογραφημένοι, με αποτέλεσμα ο σουηδός hacker να μπορεί να βλέπει τους κωδικούς πρόσβασης που χρησιμοποιούσαν οι πρεσβείες. Το ίδιο θα μπορούσε να κάνει και με μηνύματα στο msn τα οποία επίσης μεταδίδονται χωρίς κάποια κρυπτογράφηση. Ουσιαστικά απέδειξε το αυτονόητο -ότι το tor (και οποιουδήποτε είδους proxy) απλά εξασφαλίζει την ανωνυμία, δεν εξασφαλίζει ότι δεν μπορεί κάποιος τρίτος δεν μπορεί να δει τα όσα λέμε. Με λίγα λόγια ανωνυμία ≠ ασφάλεια

Συμπεράσματα

Αυτό που πρέπει να συμπεράνει κάποιος από τα παραπάνω, είναι πως ούτε στην περίπτωση του tor εξασφαλίζεται 100% το απόρρητο του μηνύματος. Ναι μεν έχουμε με μεγαλύτερη σιγουριά ανωνυμία (καθώς είναι σα να χρησιμοποιούμε πολλούς proxy servers για να στείλουμε 1 μήνυμα) αλλά το μήνυμα μπορεί και πάλι να υποκλαπεί. Επίσης το tor χρησιμοποιεί έναν τρόπο δρομολόγησης που ονομάζεται onion routing και μέσω αυτού αυτός που μεταφέρει το μήνυμα μας, δεν μπορεί να καταλάβει ότι εμείς είμαστε ο αρχικός αποστολέας. Επίσης κανείς δεν μας διαβεβαιώνει ότι η αστυνομία ή άλλες υπηρεσίες παρακολούθησης του εξωτερικού δεν έχουν exit nodes στο tor. Σε γενικές γραμμές, θα πρέπει να θεωρούμε σαν δεδομένο πως όταν χρησιμοποιούμε το tor, ο exit node βλέπει τα μηνύματά μας, έτσι ώστε να έχουμε πάντα στο μυαλό μας πως η ανωνυμία δεν διασφαλίζει το απόρρητο μιας επικοινωνίας.

 

Ναι αλλά είναι η λύση όσον αφορά το θέμα της ανωνυμίας;

Τίποτα δεν είναι η απόλυτη λύση όταν έχουμε να κάνουμε με την ασφάλεια στον κλάδο της πληροφορικής. Το tor προς το παρόν θεωρείται μια από τους πιο σίγουρες (όσο σίγουρος μπορεί να είναι κανείς) μεθόδους ανωνυμίας. Αυτό όμως δεν είναι μονιμότερο του προσωρινού και καλύτερο παράδειγμα από την “τρύπα” που βρέθηκε το 2007 δεν υπάρχει. Το 2007 βρέθηκε ένα bug στο πρόγραμμα του tor το οποίο μπορούσε να επιτρέψει σε κάποιον να ανακατευθύνει όλη τη διαδικασία της κίνησης (από τον ένα χρήστη στον άλλο) όπως ήθελε, καθώς επίσης και να βρει την πραγματική ip του αποστολέα. Αυτό το bug ουσιαστικά έβαζε σε κίνδυνο όλο το δίκτυο του tor. Φυσικά το σφάλμα διορθώθηκε αλλά ποιος είναι 100% σίγουρος ότι 1)δεν υπάρχει άλλο bug 2)την ώρα που διαβάζετε αυτό δεν έχει βρεθεί 3)δεν υλοποιείται ήδη; Επίσης ένας άλλος τρόπος να μαντέψει κάποιος σε ποια σελίδα μπαίνουμε αν χρησιμοποιούμε το tor, είναι παρατηρώντας τις 2 άκρες του νήματος που φαίνεται και στο σχέδιο. Με αυτό τον τρόπο κάποιος βλέποντας μας να στέλνουμε δεδομένα προς το tor και παρατηρώντας τα exit nodes και τις ώρες που λαμβάνονται και στέλνονται πακέτα από εμάς και συγκρίνοντας τες με τις ώρες που στέλνει και λαμβάνει πακέτα ένας exit node μπορούν να αποκτήσουν μια υποψία για εμάς. Αυτή η υποψία ίσως να είναι αρκετή για την έκδοση ενός εντάλματος. Για να είναι 100% σίγουρος κάποιος θα πρέπει να ακολουθήσει το νήμα από το τέλος προς την αρχή. Για να γίνει αυτό, θα πρέπει να πάει στον ISP του exit node και να δει με βάση την ώρα από που ήρθαν τα συγκεκριμένα πακέτα. Στη συνέχεια να πάει σε αυτόν που έστειλε τα πακέτα, να βρει τον ISP, και πάλι συγκρίνοντας τις ώρες να πάει σε αυτόν που έστειλε τα πακέτα. Ουσιαστικά θα πρέπει να ακολουθήσει την αντίστροφη διαδρομή ψάχνοντας με βάση τις ώρες τα αρχεία των ISP. Φυσικά το σενάριο αυτό δεν είναι καθόλου απίθανο. Ένα ενδιαφέρον άρθρο για το πόσο καλή είναι η ανωνυμία του tor βρίσκεται εδώ (απαιτεί κάποιες τεχνικές γνώσεις): http://www.cl.cam.ac.uk/~sjm217/papers/oakland05torta.pdf Επίσης το site του tor ξεκαθαρίζει πως δεν αποτελεί την απόλυτη λύση για την ανωνυμία και ενημερώνει πως ακόμα και με την χρήση του tor, μπορεί κάποιος να κάνει λάθη που θα προδώσουν την ταυτότητά του: http://www.torproject.org/download.html.en#Warning

VPN (Virtual Private Network)

Το vpn είναι αυτό ακριβώς που λέει η λέξη με λίγα λόγια. Θα απαιτούσε πολλές σελίδες η ενδελεχής ανάλυση του τι είναι vpn, καθώς οι υποκατηγορίες στις οποίες χωρίζεται είναι ουκ ολίγες. Ας σκεφτούμε ότι ενώ είμαστε συνδεδεμένοι στο δίκτυο της forthnet π.χ, είμαστε συνδεδεμένοι παράλληλα σε ένα άλλο εικονικό δίκτυο. Το δίκτυο αυτό, όπως η forthnet μας δίνει μια ip. Μόνο που όταν συνδεόμαστε στο internet χρησιμοποιούμε την εικονική ip. Κάτι σαν proxy περίπου. Ίσως κάποιοι να έχουν ακούσει για τα vpn και να έχουν ακούσει επίσης ότι είναι η καλύτερη λύση. Η αλήθεια είναι πως είναι αρκετά καλή λύση που λύνει το θέμα της ανωνυμίας και προσφέρει και ασφάλεια μέσω της κρυπτογράφησης των δεδομένων. Όμως, ακριβώς όπως και στην περίπτωση των proxy, εξαρτώμαστε καθαρά από τον πάροχο vpn. Δεν γνωρίζουμε τι αρχεία κρατάει ο πάροχος αυτός, καθώς και το πόσο ασφαλής είναι η σύνδεσή μας. Ένα παράδειγμα που αποδεικνύει το εφιαλτικό σενάριο ενός αναξιόπιστου παρόχου vpn αποτελεί η περίπτωση εξάρθρωσης της ομάδας shadowcrew. Μπορεί κάποιος να ψάξει αναλυτικά την υπόθεση αλλά το ζουμί στην περίπτωσή μας, είναι ότι τα μέλη της χρησιμοποιούσαν ένα vpn που ήλεγχε το fbi (το οποίο vpn τους το είχε προτείνει άλλο μέλος που αποφάσισε να συνεργαστεί με το fbi). Συνεπώς το fbi γνώριζε και τις πραγματικές ip των χρηστών, και κρατούσε αρχείο, καθώς επίσης και αρχείο με τις κινήσεις των χρηστών. Ενδεικτικό είναι ότι θεωρείται σίγουρο πως αν όχι όλοι, η συντριπτική πλειοψηφία των συλληφθέντων χρησιμοποιούσε το vpn του fbi. Πόσο σίγουροι είστε για τον ιδιοκτήτη του vpn καθώς και για τα logs που αυτός κρατάει; Υπάρχουν πολλοί πάροχοι vpn οι οποίοι είναι με πληρωμή και άλλοι οι οποίοι είναι δωρεάν. Από τους δωρεάν, αξιόπιστος θεωρείται ο riseup.net ο οποίος είναι και κινηματικός server.

Ασύρματα δίκτυα:

Άλλος ένας τρόπος να παραμείνουμε ανώνυμοι, είναι να συνδεθούμε σε κάποιο ασύρματο δίκτυο που δεν είναι στο όνομά μας (είτε κλειδωμένο είτε ανοιχτό). Οπότε ότι κάνουμε θα είναι στο όνομα αυτού που έχει τη σύνδεση που χρησιμοποιούμε. Φυσικά αυτό μπορεί να βάλει τον κάτοχο σε προσωρινά μπλεξίματα μιας και τη δικιά του πόρτα θα χτυπήσει η αστυνομία, όμως δεν είναι δύσκολο να αποδείξει κάποιος ότι είχε συνδεθεί κάποιος άλλος στο router του εκείνη την ώρα. Το πόσο σύντομα η δικαιοσύνη θα τον πιστέψει, κανείς δεν μπορεί να το προβλέψει καθώς δεν είναι γνωστό αν έχουν υπάρξει παρόμοιες υποθέσεις, ενώ επίσης η δίωξη ηλεκτρονικού εγκλήματος δε φημίζεται για την εξυπνάδα της (πράγμα που σημαίνει πως μπορεί να μην μπουν στον κόπο να εντοπίσουν αν υπήρχε κάποιος άλλος χρήστης του ασύρματου δικτύου). Ο συγκεκριμένος τρόπος ανωνυμίας, σε συνδυασμό με τη χρήση proxy ή tor μπορεί να θεωρηθεί ο πιο ασφαλής όσον αφορά την ανωνυμία, καθώς ακόμα και αν εντοπιστεί η ip μας, δε θα έρθουν στην πόρτα μας.

Αυτό σημαίνει:

  • Πως ακόμα και αν επιλέξουμε να χρησιμοποιήσουμε το ασύρματο δίκτυο κάποιου, δεν είναι έξυπνο αυτό το δίκτυο να είναι στη γειτονιά μας
  • Το να χρησιμοποιούμε ασύρματα δίκτυα που βρίσκονται όλα σε μια ακτίνα 3 τετραγώνων, επίσης δεν είναι έξυπνο μιας και υποδεικνύει την ακτίνα μέσα στην οποία μένουμε
  • Σε περίπτωση που η αστυνομία φτάσει στην περιοχή εντοπίζοντας μια ip που ανήκει σε κάποιον, και μας δει να καθόμαστε σε ένα παγκάκι με ένα laptop στα πόδια, το πιο πιθανό είναι ότι θα μαζέψουν και εμάς

Επίσης:

  • Πρέπει να γνωρίζουμε πως με το που καταγραφεί η ip του ασύρματου router που χρησιμοποιούμε, η ταυτοποίηση και η εύρεση της διεύθυνσης του κατόχου απαιτεί ελάχιστο χρονικό διάστημα, αρκεί φυσικά να αντιδράσει και η αστυνομία έγκαιρα
  • Το ασύρματο router με το που συνδεθούμε σε αυτό, καταγράφει τη mac address της κάρτας δικτύου μας καθώς και το όνομα του υπολογιστή. Ενώ το όνομα του υπολογιστή δεν είναι ακράδαντο στοιχείο, η mac address θεωρείται μοναδική (παρά το γεγονός ότι μπορούμε να την αλλάξουμε). Αυτό σημαίνει πως αν η mac address που έχει καταγραφεί στο router είναι η δικιά μας, θα πρέπει να πείσουμε το δικαστήριο πως κάποιος άλλος άλλαξε τη mac address του και ανάμεσα σε 281.474.976.710.656 διαφορετικές mac addresses, έτυχε να έχει τη δικιά μας.
  • Ένας τρόπος να εντοπίσουν τον “κλέφτη” του ασύρματου ιντερνετ, είναι να ελέγξουν για τυχόν στοιχεία από κάμερες τις περιοχής

Συμπεράσματα:

  • Ανωνυμία δε σημαίνει ασφάλεια. Στο 99% των περιπτώσεων η ανωνυμία αποτελεί εμπόδιο στην ασφάλεια των δεδομένων μας.
  • Ακόμα και πίσω από έναν ή πολλούς proxies υπάρχουν τρόποι να μας εντοπίσει κάποιος
  • Μια φορά επώνυμοι = ποτέ ανώνυμοι
  • Δεν υπάρχει τυχαία mac address ούτε πολλές ίδιες.
  • Χρήση ξένου ασύρματου δικτύου προσφέρει μεν περισσότερη ανωνυμία, εμπλέκει τρίτους δε.
  • Το tor, ο proxy server θα στείλουν την αστυνομία στο σπίτι του τελευταίου διαμεσολαβητή μας ή στον ιδιοκτήτη του proxy server. Στην περίπτωση του vpn, η αστυνομία θα χτυπήσει την πόρτα του παρόχου του vpn. Ο ιδιοκτήτης του proxy server ή του vpn μέσω των αρχείων καταγραφής κινήσεων(logs) –αν κρατάει- θα τους στείλει σε εμάς. Στην περίπτωση του tor ο τελευταίος διαμεσολαβητής θα τους στείλει στον προτελευταίο διαμεσολαβητή. Δεν μπορούν να σίγουροι όμως αν ο επόμενος διαμεσολαβητής είναι η αρχή της αλυσίδας ή απλά ένας ακόμα κρίκος.
  • Η ανωνυμία στο internet δεν ισοδυναμεί με απόκρυψη, ισοδυναμεί με χρήση της επωνυμίας άλλου. Άραγε ο άλλος το γνωρίζει; Και αν το γνωρίζει, τι κάνει για αυτό (ένα καλό ερώτημα για vpn servers, proxy servers, ασύρματα δίκτυα κλπ)
  • Ανώνυμα μηνύματα σε επώνυμους χρήστες σημαίνει ότι η ανωνυμία μας εξαρτάται από τρίτους.

Είδαμε ότι τίποτα δεν είναι με 100% σιγουριά απόλυτα ανώνυμο. Από τη στιγμή που πραγματοποιούμε τη σύνδεση μας στο δίκτυο που είναι στο όνομά μας, ήδη έχουμε κάνει το πρώτο λάθος. Αυτό σημαίνει 1) ότι κάνοντας χρήση κάποιων εκ των μεθόδων ανωνυμίας (proxy,vpn,tor), κάποιος σίγουρα γνωρίζει την πραγματική μας ip 2) εξαρτώμαστε από την καλή καρδιά του ιδιοκτήτη του vpn/proxy server ή από την ασφάλεια σε επίπεδο προγραμματισμού του tor (και φυσικά θεωρούμε ότι εργάζονται για το καλό της ανωνυμίας).  Άρα δεν είμαστε απόλυτα ασφαλείς. Ο μόνος τρόπος να είμαστε όσο το δυνατόν περισσότερο σίγουροι, είναι να έχουμε συνδεθεί και σε ένα ασύρματο δίκτυο που δεν ανήκει σε εμάς. Πιο σίγουρη λύση μεταξύ των vpn/proxy/tor μέχρι στιγμής θεωρείται το tor καθώς στην περίπτωση του vpn πρέπει να γνωρίζουμε τον πάροχο. Ένα ενδιαφέρον θεωρητικό άρθρο πάνω στα δίκτυα ανωνυμίας μπορεί κανείς να βρει εδώ: http://www.nd.edu/~netsci/TALKS/Kleinberg.pdf

Προγράμματα που κάνουν χρήση των παραπάνω:

Tor/Vidalia bundle

https://www.torproject.org/projects/vidalia.html.en

Το πρόγραμμα αυτό δίνει τη δυνατότητα στον υπολογιστή μας να συνδεθεί κάνει χρήση του tor, καθώς και να χρησιμοποιεί τον υπολογιστή μας ως πέρασμα για άλλους χρήστες. Υπόψιν πως οι ταχύτητες του tor και των proxy servers, δεν προσφέρονται για κατέβασμα μεγάλων αρχείων

Tor button

https://www.torproject.org/torbutton/index.html.en

Plugin για τον firefox/internet explorer/chrome/thunderbird που μας δίνει τη δυνατότητα να “σερφάρουμε” στο internet ή/και να στέλνουμε e-mail ανώνυμα. Αντίστοιχο είναι το plugin foxyproxy που επιτρέπει και επιπλέον επιλογές

Tor browser bundle

https://www.torproject.org/projects/torbrowser.html.en

Πρόγραμμα που δίνει τη δυνατότητα χωρίς κάποια εγκατάσταση, να ανοιξεί κάποιος τον firefox και να χρησιμοποιήσει το tor για να “σερφάρει” ανώνυμα

OpenVPN GUI

http://swupdate.openvpn.net/community/releases/openvpn-2.1.4-install.exe

Πρόγραμμα που μας δίνει τη δυνατότητα να συνδεθούμε σε ένα vpn δίκτυο

MACAddressChanger

http://www.technitium.com/tmac/index.html

Πρόγραμμα που αλλάζει την MAC address μας σε όποια εμείς επιθυμούμε

macchanger (Linux)

Πρόγραμμα που αλλάζει την MAC address μας σε όποια εμείς επιθυμούμε

Σημείωση:  Το tor για τα e-mail μας μπορεί να χρησιμοποιηθεί με 2 τρόπους: είτε χρησιμοποιώντας το plugin για τον firefox και μέσω του browser δούμε τα e-mail μας, είτε αν έχουμε το πρόγραμμα thunderbird για να διαβάζουμε e-mail, χρησιμοποιώντας ίδιο plugin για το πρόγραμμα αυτό.

Κρυπτογραφία στο internet

Και στην περίπτωση της κρυπτογραφίας των δεδομένων στο internet ισχύουν τα όσα αναφέραμε περί κρυπτογραφίας στην αρχή. Στην περίπτωση του internet όμως, έχουμε να κάνουμε με έναν αποστολέα κρυπτογραφημένου μηνύματος και έναν παραλήπτη, συνεπώς ο παραλήπτης πρέπει να γνωρίζει πως να αποκρυπτογραφήσει το μήνυμα που του στείλαμε, είτε ο παραλήπτης είναι ένας server είτε είναι κάποιος με τον οποίο μιλάμε στο msn. Και εδώ προκύπτει ένα ακόμα πρόβλημα: πόσο σίγουροι είμαστε ότι επικοινωνούμε απευθείας με κάποιον και όχι μέσω κάποιου διαμεσολαβητή;

Σε ιστοσελίδες:

Είναι σχεδόν απίθανο κάποιος που χρησιμοποιεί συχνά το internet να μην έχει πετύχει κρυπτογραφημένη σύνδεση με ιστοσελίδα. Το πιο πιθανό είναι ότι έχει πετύχει αλλά δεν το κατάλαβε γιατί δε του ζητήθηκε ποτέ κωδικός. Αυτή είναι η περίπτωση του πρωτοκόλλου SSL/TLS που κρυπτογραφεί τη “συνομιλία” μας με κάποιο server. Συνήθως χρησιμοποιείται σε σελίδες όπου πρέπει να εισάγουμε κάποιον κωδικό ή σε σελίδες που επιτρέπουν την αγορά προϊόντων μέσω internet. Με αυτό τον τρόπο διασφαλίζεται ότι ακόμα και αν κάποιος υποκλέπτει τις πληροφορίες που στέλνουμε, δε μπορεί να τις διαβάσει. Για να καταλάβει κάποιος αν έχει συνδεθεί με μια σελίδα με το πρωτόκολλο SSL ή TLS, αρκεί να δει στη μπάρα που αναγράφεται η διεύθυνση(url) της ιστοσελίδας. Αν στη μπάρα γράφει http σημαίνει ότι η σύνδεση μας δεν είναι κρυπτογραφημένη, ενώ αν γράφει https σημαίνει ότι είναι (στις περισσότερες περιπτώσεις η μπάρα εμφανίζεται με άλλο χρώμα όταν είναι https). Στην παρακάτω εικόνα φαίνεται πως λειτουργεί το συγκεκριμένο πρωτόκολλο.

Στην περίπτωση της αστυνομίας, η αστυνομία μπορεί να δει ότι επισκεφτήκαμε τη σελίδα https://athens.indymedia.org όμως δεν μπορεί να δει το περιεχόμενο μιας ανάρτησης που κάναμε. Ο μόνος τρόπος να διαβάσουν το περιεχόμενο των μηνυμάτων μας, είναι να τους ανοίξουμε εμείς την πόρτα. Αυτό συνήθως συμβαίνει με έναν από τους δύο ακόλουθους τρόπους (και σε αυτή την περίπτωση, κάποιος που είναι στο ασύρματο δίκτυο που είμαστε και εμείς, μπορεί να κάνει τα παρακάτω χωρίς να έχει κάποιες υπερβολικά εξεζητημένες γνώσεις):

  • Κάποιος(εδώ η αστυνομία) μπορεί να μπει ανάμεσα σε εμάς και τον server και να μας στείλει ψεύτικο πιστοποιητικό και δικό του πρωτόκολλο κρυπτογράφησης. Με αυτόν τον τρόπο εμείς θα στέλνουμε τα δεδομένα μας σε αυτόν, αυτός θα τα διαβάζει και θα τα στέλνει στον server ενώ εμείς θα νομίζουμε ότι επικοινωνούμε απευθείας με τον server. Στις περιπτώσεις που το πιστοποιητικό που χρησιμοποιεί ο server είναι πιστοποιημένο από αναγνωρισμένη πηγή(π.χ verisign), αν κάποιος τρίτος το αλλάξει, ο browser θα μας ενημερώσει ότι το πιστοποιητικό αυτό δεν είναι έγκυρο δίνοντας μας τη δυνατότητα να επιλέξουμε αν παρόλα αυτά θέλουμε να συνεχίσουμε τη σύνδεση. Το ίδιο όμως θα κάνει ακόμα και αν το πιστοποιητικό είναι το αυθεντικό αλλά δεν είναι πιστοποιημένο από αναγνωρισμένη πηγή. Συνεπώς, θέλει προσοχή καθώς το γεγονός ότι ο browser μας μάς εμφανίζει ένα τέτοιο μήνυμα δε σημαίνει απαραίτητα υποκλοπή, δε σημαίνει και το αντίθετο όμως. Επίσης, το γεγονός ότι ο browser μας δεν μας εμφανίζει μήνυμα λάθος πιστοποιητικού, σημαίνει πολύ απλά πως εμπιστεύεται π.χ την verisign ότι το πιστοποιητικό αυτό είναι αυθεντικό και δεν είναι ένα πλαστό πιστοποιητικό που χρησιμοποιεί η interpol για παράδειγμα.
  • Ένας άλλος τρόπος, είναι κάποιος τρίτος να μπει σαν διαμεσολαβητής και να μας ξεγελάσει ότι υπάρχει ασφαλής σύνδεση ενώ δεν υπάρχει. Για παράδειγμα μέσω μιας man in the middle επίθεσης, να στέλνονται τα δεδομένα σε http και όχι https μορφή και ο τρίτος να επηρεάζει το εικονίδιο του browser αλλάζοντας το στο εικονίδιο που χρησιμοποιεί για https. Αυτή η επίθεση είναι πολύ εύκολη να εντοπιστεί. Λειτουργεί συνήθως όταν κάποιος πάνω στη βιασύνη, ελέγχει μόνο αν ο browser στη μπάρα διεύθυνσης εμφανίζει το εικονίδιο για https ενώ δεν ελέγχει αν γράφει για url https
  • Ένας τρίτος τρόπος ο οποίος έγινε γνωστός καθώς επηρέαζε το gmail, είναι το slidejacking ή αλλιώς hijacking ενός session cookie. Όταν συνδεόμαστε σε ένα λογαριασμό μας σε μια ιστοσελίδα, κατά 90% έχουμε αποθηκεύσει ένα αρχείο cookie στον υπολογιστή μας για ταυτοποίηση. Όταν υπάρχει ένας διαμεσολαβητής στο δίκτυό μας, μπορεί να το αποκτήσει. Το πρόβλημα τίθεται όταν το cookie από μόνο του αρκεί για να μας δώσει πρόσβαση στο λογαριασμό. Αυτό το πρόβλημα υπήρχε με το gmail και πλέον έχει λυθεί. Είναι αρκετά κλασσικό πρόβλημα σε πολλά forums. Κάποιος τρίτος, μπορεί αφού έχουμε μπει στο λογαριασμό μας, να μπει και αυτός κάνοντας χρήση του cookie. Αυτό δεν είναι ακριβώς πρόβλημα κρυπτογραφίας, αλλά είναι πρόβλημα που δείχνει πως ακόμα και με σωστή υλοποίηση της κρυπτογραφίας, υπάρχουν περιπτώσεις που δεν είμαστε ασφαλείς.

Σε e-mail:

Ένας τρόπος για να κρυπτογραφήσουμε τα μηνύματα που στέλνουμε μέσω e-mail, είναι μέσω της χρήσης του OpenPGP (Pretty Good Privacy) το οποίο χρησιμοποιεί διάφορους αλγορίθμους κρυπτογράφησης για την κρυπτογράφηση των μηνυμάτων μας. Για να γίνει εφικτό αυτό, θα πρέπει να χρησιμοποιήσουμε κάποιο πρόγραμμα αποστολής e-mail μηνυμάτων αντί να χρησιμοποιούμε τον browser μας. Ένα τέτοιο πρόγραμμα είναι το thunderbird το οποίο μέσω της χρήσης ενός plugin που λέγεται enigmail μας επιτρέπει να δημιουργήσουμε τα δικά μας κλειδιά κρυπτογράφησης των μηνυμάτων μας καθώς και κλειδιά πιστοποίησης της ταυτότητάς μας. Χρησιμοποιώντας μέγεθος κλειδιού 4096 bits και τον αλγόριθμο κρυπτογράφησης RSA και τηρώντας όσα είπαμε στην αρχή περί κρυπτογραφίας μπορούμε να στείλουμε μηνύματα με ασφάλεια.. Για αυτούς που δεν επιθυμούν να χρησιμοποιήσουν κάποιο πρόγραμμα για να διαβάζουν και να στέλνουν e-mail αλλά επιθυμούν να το πράττουν μέσω του browser τους, υπάρχει ένα addon για τον firefox που λέγεται firepgp και δίνει τη δυνατότητα στο χρήστη να κρυπτογραφήσει οποιοδήποτε κείμενο ή λέξη στον browser, κάνοντας χρήση του PGP. Δυστυχώς, πρόσφατα διακόπηκε η ανανέωση του προγράμματος (δηλαδή δε θα κυκλοφορήσει νέα έκδοση), κάτι που σημαίνει ότι το συγκεκριμένο addon δεν “υπόσχεται” ότι στην περίπτωση που βρεθούν bugs θα διορθωθούν (κάτι διόλου ασήμαντο όπως αναφέραμε και παραπάνω στο κομμάτι της κρυπτογραφίας).

Αναλυτικός οδηγός:

Αναλυτικός οδηγός για τη χρήση του enigmail με το πρόγραμμα thunderbird, μπορεί να βρεθεί εδώ: skytal.es Enigmail & Thunderbird

Σε chat:

Είπαμε πιο πάνω ότι συνομιλίες μέσω msn μπορούν εύκολα να υποκλαπούν καθώς μεταδίδονται χωρίς κάποιου είδους κρυπτογράφηση. Υπάρχει λύση και σε αυτό το πρόβλημα, όμως είναι απαραίτητο να μη χρησιμοποιούμε το πρόγραμμα windows live messenger(τον λογαριασμό μας μπορούμε να τον χρησιμοποιούμε) καθώς το πρόγραμμα αυτό δεν μας προσφέρει τη δυνατότητα για κρυπτογράφηση. Ένα πρόγραμμα που υποστηρίζει το πρωτόκολλο που χρησιμοποιεί το msn(συνεπώς μπορούμε να κάνουμε chat με τον λογαριασμό του msn μας), είναι το pidgin. To pidgin επιτρέπει την εγκατάσταση ενός plugin που λέγεται Off-the-Record-Messaging, το οποίο μας δίνει τη δυνατότητα να κρυπτογραφήσουμε τα μηνύματά μας, ενώ επίσης μπορεί να πιστοποιήσει τον χρήστη με τον οποίο επικοινωνούμε. Για να χρησιμοποιήσουμε το συγκεκριμένο plugin, πρέπει και οι δύο πλευρές να έχουν το πρόγραμμα και το plugin εγκατεστημένο για να ξεκινήσει το private conversation. Από τη στιγμή που ξεκινήσει η κρυπτογραφημένη συνομιλία, αν κάποιος τρίτος υποκλέψει τα μηνύματα μας, το μόνο που θα βλέπει θα είναι το κρυπτογραφημένο κείμενο.

Αναλυτικός οδηγός:

Αναλυτικός οδηγός για τη χρήση του pidgin με το plugin OTR, μπορεί να βρεθεί εδώ:  skytal.es Ασφαλής επικοινωνία μέσω Instant Messaging και Chat και εδώ skytal.es Pidgin & OTR

Σημείωση:

Η χρήση της ανωνυμίας για τα παραπάνω, όπου απαιτείται η εισαγωγή απόρρητων στοιχείων(κωδικών πρόσβασης) μπορεί να αποτελέσει κίνδυνο αν η εισαγωγή γίνεται με μη ασφαλή τρόπο. Τι νόημα έχει να κρυπτογραφούμε τα μηνύματα μας αν μεταδίδουμε τους κωδικούς μας στον αέρα; Συνεπώς αν οι κωδικοί μας εισάγονται χωρίς τη χρήση κρυπτογραφίας (SSL/TLS), κάποιος exit node του tor μπορεί να διαβάσει τους κωδικούς μας. Φυσικά αν δε μας ενδιαφέρει η ασφάλεια του συγκεκριμένου λογαριασμού αλλά μας ενδιαφέρει μόνο η ανωνυμία του, αυτό δεν αποτελεί πρόβλημα. Θα πρέπει να γνωρίζουμε όμως ότι δεν έχει νόημα για παράδειγμα να στέλνουμε κρυπτογραφημένα μηνύματα και να αποθηκεύονται στα απεσταλμένα μη-κρυπτογραφημένα καθώς αν κάποιος αποκτήσει τον κωδικό μας θα τα διαβάσει από εκεί. Επίσης, τα όσα είπαμε αρχικά περί κρυπτογραφίας, ισχύουν και εδώ. Για παράδειγμα η χρήση της SSL από μόνη της δε σημαίνει ότι τα δεδομένα μας είναι ασφαλή. Ένα χρήσιμο site για να ελέγξετε την ποιότητα της SSL ενός site είναι το https://www.ssllabs.com . Δοκιμάστε για παράδειγμα το gmail.com, το athens.indymedia.org, το login.yahoo.com και το blogger.com και δείτε τις διαφορές μεταξύ τους ενώ και τα 4 sites χρησιμοποιούν SSL.

Ενώνοντας κρυπτογραφία και ανωνυμία

Όπως αναφέραμε και πιο πάνω, ανωνυμία στο internet σημαίνει ότι χρησιμοποιούμε τρίτους για να στέλνουμε τα δεδομένα μας (είτε κάνοντας χρήση tor/proxy/vpn, είτε κλέβοντας ασύρματο internet). Αυτό έχει το αρνητικό ότι η επικοινωνία μας είναι μη ασφαλής καθώς μπορεί να υποκλαπεί. Θα πρέπει να θεωρούμε ως δεδομένο το γεγονός ότι τα μηνύματα μας και η επικοινωνία μας υποκλέπτονται όποτε γινόμαστε ανώνυμοι, καθώς δεν μπορεί να γνωρίζει κάποιος με σιγουριά τους λόγους για τους οποίους ένας τρίτος προσφέρει τη λύση αυτή. Δηλαδή, δεν μπορούμε να γνωρίζουμε αν το ανοιχτό ασύρματο δίκτυο που βρήκαμε σε μια γειτονιά είναι ανοιχτό λόγω ελλιπούς γνώσης ή μεγαλοψυχίας του ιδιοκτήτη ή αν είναι εσκεμμένα αφημένο ανοιχτό και στην άλλη άκρη ο ιδιοκτήτης έχει εγκαταστήσει κάποιο πρόγραμμα που καταγράφει οτιδήποτε κάνει χρήση του internet του. Συνεπώς για να μην υπάρχει περίπτωση να “κρυφακούσει” κανείς την επικοινωνίας μας, πρέπει να γίνεται απαραίτητα χρήση της κρυπτογραφίας σε τέτοιες περιπτώσεις. Φυσικά σε αυτή την περίπτωση θυσιάζουμε ένα κανόνα της κρυπτογραφίας που λέει ότι “παρά το γεγονός ότι ένα μήνυμα είναι κρυπτογραφημένο, η υποκλοπή του είναι ένα παραπάνω στοιχείο για τον εχθρό”. Δεν υπάρχει δυστυχώς άλλος τρόπος. Αναφέραμε παραπάνω πως το tor μπορεί να λύσει το πρόβλημα ανωνυμίας όταν χρησιμοποιούμε τον browser μας. Με τον ίδιο τρόπο μπορούμε να κάνουμε ανώνυμα και τα e-mail μας αλλά και τις συνομιλίες μέσω chat. Για να κάνουμε τα e-mail μας ανώνυμα αρκεί είτε να μπούμε στο λογαριασμό μας και να στείλουμε e-mail μέσω του browser στον οποίο θα χρησιμοποιούμε τα προγράμματα που αναφέραμε παραπάνω, είτε αν χρησιμοποιούμε κάποιο πρόγραμμα για ανάγνωση και αποστολή e-mail (π.χ thunderbird) θα χρησιμοποιήσουμε αντίστοιχο plugin του tor για το συγκεκριμένο πρόγραμμα (στον thunderbird υπάρχει το fireproxy και torbutton). Για να πετύχουμε το ίδιο και στην περίπτωση του chat, θα πρέπει να κάνουμε κάποιες αλλαγές χειροκίνητα καθώς δεν υπάρχει plugin του tor για προγράμματα chat. Οι αλλαγές που πρέπει να κάνουμε είναι οι αλλαγές που κάνει αυτόματα το αντίστοιχο addon του firefox. Η χρήση του msn messenger δεν ενδείκνυται καθώς το συγκεκριμένο πρόγραμμα επιτρέπει τις αλλαγές στον τρόπο σύνδεσης μόνο αφού έχουμε ήδη συνδεθεί (μια φορά επώνυμοι = για πάντα επώνυμοι). Ένα πρόγραμμα που επιτρέπει την αλλαγή των ρυθμίσεων και υποστηρίζει τη χρήση του msn chat, είναι το pidgin στο οποίο πρέπει να ρυθμίσουμε στις επιλογές proxy να χρησιμοποιεί SOCKS 5 και για host το 127.0.0.1 και port την 9050, ενώ επίσης πρέπει να βεβαιωθούμε ότι ήδη λειτουργεί σωστά το πρόγραμμα tor. Αυτό που κάνουμε με αυτόν τον τρόπο, είναι να στέλνουμε τα δεδομένα σε εμάς στην port που χρησιμοποιεί το tor, και τα υπόλοιπα τα κάνει το πρόγραμμα. Δηλαδή, αντί τα δεδομένα μας να σταλθούν κατευθείαν, περνάνε μέσα από το tor και μετά στέλνονται μέσω του tor (είναι η διαδικασία που κάνουν αυτόματα τα addons torbutton και foxyproxy στον browser μας).

Άλλοι μέθοδοι παρακολούθησης

Trojans/rootkits/keyloggers

Ένας άλλος τρόπος παρακολούθησης των ενεργειών που κάνουμε στον υπολογιστή μας είναι μέσω προγραμμάτων trojan/rootkit. Τα προγράμματα αυτά επιτρέπουν σε κάποιον να κάνει πληθώρα ενεργειών στον υπολογιστή μας, χωρίς τη συγκατάθεση μας. Μπορεί για παράδειγμα να καταγράφει οτιδήποτε πληκτρολογούμε αναγνωρίζοντας ταυτοχρόνως το πρόγραμμα στο οποίο πληκτρολογούμε εκείνη τη στιγμή. Κάτι τέτοιο είναι καταστροφικό καθώς όχι μόνο οι συνομιλίες μας, αλλά και οι κωδικοί κρυπτογράφησής μας μπορούν να εκτεθούν. Μπορεί επίσης να καταγράφει τα ονόματα των αρχείων που ανοίγουμε, μπορεί να στέλνει την ip μας κάθε φορά που συνδεόμαστε στο internet, μπορεί να τραβάει φωτογραφίες(print screen) την επιφάνεια εργασίας μας όταν ανοίγουμε συγκεκριμένα προγράμματα, μπορεί να δίνει την ικανότητα στον χειριστή του trojan να τρέξει κάποιες συγκεκριμένες εντολές στον υπολογιστή μας, να πάρει αρχεία από τον υπολογιστή μας καθώς και ένα σωρό άλλες ενέργειες, ενώ επίσης μπορεί να του δώσει πλήρη πρόσβαση στον υπολογιστή μας όταν συνδεόμαστε στο internet. Φυσικά με τον ίδιο τρόπο που μπορεί να πάρει αρχεία από τον υπολογιστή μας, μπορεί και να φυτέψει αρχεία. Επίσης υπάρχουν και keyloggers (καταγραφείς δηλαδή των όσων πληκτρολογούμε) που δεν είναι προγράμματα. Είναι συνήθως είτε μικροί αντάπτορες που μπαίνουν ανάμεσα στο καλώδιο του πληκτρολογίου και τη θύρα του υπολογιστή μας ή είναι ενσωματωμένοι στο πληκτρολόγιο. Συνεπώς θα πρέπει να είμαστε προσεκτικοί σε περίπτωση που δούμε μια τέτοια συσκευή ή κάποιος μας αλλάξει το πληκτρολόγιο. Επίσης τα ασύρματα πληκτρολόγια είναι ανασφαλή καθώς ότι πληκτρολογούμε μεταφέρεται μέσω αέρα (ασύρματα) στον υπολογιστή μας και κάποιος μπορεί να το υποκλέψει. Σε μια περίπτωση παρακολούθησης στην Ιταλια, οι αστυνομικοί έκαναν χρήση keylogger για να συλλάβουν ένα μέλος της μαφίας, καθώς αυτός χρησιμοποιούσε OpenPGP και η αστυνομία δεν μπορούσε να παρακολουθήσει τα e-mail του.

Spyware

Τα spyware είναι μικρά προγράμματα που εγκαθίστανται στον υπολογιστή μας και παρακολουθούν συνήθως ποιες σελίδες επισκεπτόμαστε. Πολλές εταιρίες χρησιμοποιούν spyware εν αγνοία των χρηστών για να στέλνουν στοχευμένες διαφημίσεις.

Λύση

Πραγματική λύση για αυτό το πρόβλημα δεν υπάρχει και δεν θα υπάρχει ποτέ. Είναι πολύ εύκολο για κάποιον από τη στιγμή που δρα ως διαμεσολαβητής της σύνδεσης μας, να εισάγει στα δεδομένα της σελίδας που ανοίξαμε ένα trojan/rootkit/spyware. Η χρήση των antivirus/antispyware δεν αποτελεί σίγουρη λύση, καθώς καθημερινά ξεπηδούν καινούρια τέτοια προγράμματα τα οποία δεν ανιχνεύονται από τα antivirus τον πρώτο καιρό. Το μόνο που μπορούν να μας προσφέρουν τα antivirus είναι προστασία από παλαιότερα τέτοια προγράμματα κάτι που είναι χρήσιμο αν θέλουμε να είμαστε έστω και ως ένα βαθμό σίγουροι ότι ο υπολογιστής μας ή το usb stick μας είναι καθαρά. Δωρεάν antivirus υπάρχουν αρκετά όπως για παράδειγμα το Avast, Avira, Comodo, AVG κλπ ενώ άλλα προγράμματα προστασίας είναι το Spybot Search & Destroy, Anti-Malware Bytes. Επίσης πρέπει να γνωρίζουμε πως αν μια υπηρεσία όπως το FBI φτιάξει ένα πρόγραμμα που κάνει κάτι από τα παραπάνω, θα έχει ενημερώσει τις εταιρίες antivirus ώστε να μη το εντοπίζουν. Και για του λόγου το αληθές: http://www.theregister.co.uk/2001/11/27/av_vendors_split_over_fbi/

Είναι μια ακόμα απόδειξη για το ότι δεν μπορεί κάποιος να είναι 100% σίγουρος για την ασφάλεια του υπολογιστή του. Το ότι το antivirus μας για παράδειγμα δεν εντοπίζει κάτι, δε σημαίνει πως είμαστε 100% καθαροί. Ένα ενδιαφέρον πρόγραμμα προστασίας από καταγραφή των δεδομένων που πληκτρολογούμε είναι το KeyScrambler το οποίο δυστυχώς δεν είναι δωρεάν (αλλά υπάρχουν ένα σωρό warez sites όπου φυσικά θα πρέπει να κάνουμε scan με ένα antivirus πριν την εγκατάσταση). Θέλει προσοχή στην περίπτωση που κατεβάσουμε “σπασμένο” ένα πρόγραμμα, καθώς σε πολλές περιπτώσεις κολλάμε δώρο και trojan. Επίσης χρειάζεται προσοχή όταν εισάγουμε usb sticks στον υπολογιστή μας, καθώς μπορεί να περιέχουν τα παραπάνω προγράμματα. Επίσης υπάρχουν προγράμματα τα οποία εισάγονται σε usb sticks και τα οποία αυτόματα με την εισαγωγή τους στον υπολογιστή μας, πραγματοποιούν μια forensic έρευνα (αρκετά ενδελεχή ως ένα βαθμό) σε μικρό χρονικό διάστημα. Ένα τέτοιο πρόγραμμα είναι για παράδειγμα το COFEE που έχει δημιουργήσει η microsoft και έχει δώσει στις κυβερνήσεις για αυτόν το σκοπό.

Παρακολούθηση από τον server

Οι πληροφορίες που μπορεί να στέλνει ο υπολογιστής μας σε ένα server είναι πολύ περισσότερες από όσες νομίζουμε ότι είναι. Μέσω της javascript, της java, της flash, των activex ή κάποιων ελαττωματικών addon, κάποιος server μπορεί να μάθει σχεδόν τα πάντα για τον υπολογιστή μας(ακόμα και τι μοντέλο είναι ο επεξεργαστής μας). Δε θα μπούμε σε παραπάνω λεπτομέρειες σχετικά με το πλήθος των πληροφοριών καθώς είναι πάρα πολλές. Αρκεί να πούμε ότι  μπορούν να καταστήσουν οποιαδήποτε μέθοδο ανωνυμίας(εκτός του ασύρματου δικτύου) άχρηστη και να δουν την πραγματική μας ip ακόμα και αν χρησιμοποιούμε το πρόγραμμα  tor. Επίσης τα cookies μπορούν να καταστρέψουν οποιαδήποτε μέθοδο ανωνυμίας. Αν για παράδειγμα μπούμε σε ένα site με χρήση του tor και το site αυτό μας εγκαταστήσει κάποιο cookie, αν αργότερα χωρίς το tor μπούμε στο ίδιο site, το cookie αυτό μπορεί να χρησιμοποιηθεί για την ταυτοποίησή μας. Μπορείτε να ελέγξετε τον δικό σας browser και να δείτε τι μπορεί να ανακαλύψει ένας server για εσάς στα ακόλουθα sites:

http://panopticlick.eff.org

http://browserspy.dk

Λύση

Πραγματική λύση για το συγκεκριμένο πρόβλημα δεν υπάρχει. Μπορεί κάποιος να απενεργοποιήσει τη javascript, τη java και τη flash στον browser του για να αποτρέψει τη διαρροή πληροφοριών, όμως πολλά sites χρειάζονται javascript/java/flash/activex για να λειτουργήσουν σωστά. Ένα χρήσιμο addon για τον firefox που μπλοκάρει αρκετές διαρροές είναι το noscript, αρκεί να το ρυθμίσουμε να μπλοκάρει τα πάντα και όχι μόνο αυτά που δεν αναγνωρίζει ως γνωστά. Ένα γνωστό addon του firefox που “διαρρέει” την πραγματική μας ip ακόμα και όταν χρησιμοποιούμε το tor, είναι το flagfox.

Διαρροές και κενά ασφάλειας

Πρέπει να γνωρίζουμε πως ανά τακτά χρονικά διαστήματα ανακαλύπτονται κενά ασφάλειας για προγράμματα και για λειτουργικά συστήματα. Τα κενά που έχουν βρεθεί για τα windows είναι χιλιάδες, και ενώ διορθώνονται, προκύπτουν άλλα κενά. Το ίδιο ισχύει και για browsers όπως ο firefox ή ο internet explorer. Αυτό δε σημαίνει ότι το λειτουργικό σύστημα MAC OSX ή ο browser opera είναι αδιαπέραστα. Συνήθως έχουν περισσότερα κενά αλλά η έρευνα για κενά ασφάλειας γίνεται συνήθως με βάση το πόσο διάσημο είναι ένα πρόγραμμα. Τέτοια κενά μπορούν να εκθέσουν τον υπολογιστή μας και να δώσουν πρόσβαση σε κάποιον τρίτο. Συνεπώς θέλει προσοχή να κάνουμε όσο πιο συχνά update τα προγράμματά μας, ενώ επίσης ένα πρόγραμμα firewall θα μας προσέφερε περισσότερη προστασία. Επίσης δεν πρέπει να έχουμε επιλεγμένη στον υπολογιστή μας την υπηρεσία μοιράσματος αρχείων και εκτυπωτών (sharing). Περισσότερες πληροφορίες για την απενεργοποίηση του sharing εδώ: http://support.microsoft.com/kb/307874

Σημείωση: Το γεγονός ότι δεν αναλύσαμε υπερβολικά τη συγκεκριμένη κατηγορία παρακολουθήσεων, δεν είναι επειδή αυτή είναι απίθανη ή ασήμαντη. Είναι η πιο σημαντική κατηγορία. Σκεφτείτε ότι αν κάποιος αποκτήσει πρόσβαση στον υπολογιστή μας με έναν από τους παραπάνω τρόπους, μπορεί να κάνει ακριβώς ότι θα έκανε αν έπαιρνε τον υπολογιστή μας ανοιχτό στα χέρια του. Τέτοιες μέθοδοι είναι αρκετά απλές και με τον καιρό γίνονται όλο και πιο αυτοματοποιημένες. Για παράδειγμα, δεν είναι πολύπλοκο για κάποιον να εκμεταλλευτεί ένα κενό ασφάλειας του λειτουργικού μας, κάνοντας χρήση ενός προγράμματος να αποκτήσει πλήρη πρόσβαση και να αντιγράψει όλα τα δεδομένα της RAM μας. Δεν αναλύσαμε περισσότερο τη συγκεκριμένη κατηγορία επειδή καθημερινά κυκλοφορούν νέα trojans/rootkis, ανακαλύπτονται νέα κενά ασφάλειας, οπότε δεν μπορούμε να συγκεκριμενοποιήσουμε περισσότερο το συγκεκριμένο θέμα.

Συμπεράσματα

Η ασφάλεια για έναν υπολογιστή που είναι συνδεδεμένος στο internet είναι κάτι πολύ σχετικό. Στην καλύτερη περίπτωση καταγράφεται η διεύθυνση ip μας (δηλαδή το σημείο από όπου έχουμε συνδεθεί μέσω του ISP) και η mac address του router μας, ενώ στο router καταγράφεται το όνομα του υπολογιστή μας και η mac address της κάρτας δικτύου μας. Τα παραπάνω συμβαίνουν απλά ανοίγοντας το router μας το οποίο είναι συνδεδεμένο με τον υπολογιστή (είτε ενσύρματα είτε ασύρματα). Από εκεί και πέρα οποιαδήποτε παραπάνω ενέργεια κάνουμε, εμπεριέχει τον κίνδυνο να αποκαλύψουμε ακόμα περισσότερες λεπτομέρειες για εμάς. Και μόνο το γεγονός ότι είμαστε συνδεδεμένοι στο internet βάζει τον υπολογιστή μας σε κίνδυνο (για αυτό το λόγο κάποια bootable live cds δεν έχουν ενεργοποιημένη τη δικτύωση του υπολογιστή). Αυτό που κάνουν τα proxy δεν είναι να μας κάνουν αόρατους, αλλά να φαίνεται ότι κάποια πράγματα δεν γίνονται από εμάς. Ο πάροχος του internet γνωρίζει ότι είμαστε συνδεδεμένοι, δεν γνωρίζει όμως ότι εμείς σερφάρουμε π.χ στο indymedia.  Όπως είπαμε και παραπάνω, πραγματική ανωνυμία δεν υπάρχει, υπάρχει πλαστογράφηση των στοιχείων μας καθώς συνδεόμαστε μέσω άλλων παίρνοντας το ρίσκο της υποκλοπής των μηνυμάτων μας (το οποίο υπάρχει έτσι κι αλλιώς λόγω των παρακολουθήσεων ΕΥΠ και αστυνομίας).

Λύση

πιο ασφαλής τρόπος για να συνδεθούμε στο internet  ή για να στείλουμε τα μηνύματά μας είναι ο εξής:

  1. Αλλαγή της MAC address του υπολογιστή μας και του ονόματος του υπολογιστή(host name)
  2. Σύνδεση του υπολογιστή μας σε ένα ξένο ασύρματο δίκτυο(λαμβάνοντας φυσικά τα απαραίτητα μέτρα ασφάλειας ώστε να μην κινούμε υποψίες)
  3. Χρήση του προγράμματος tor
  4. Χρήση κρυπτογραφίας, είτε για αποστολή μηνυμάτων μέσω chat ή e-mail, είτε για εισαγωγή κωδικών σε ιστοσελίδες (για το λογαριασμό e-mail, chat, site, ισχύει ο κανόνας 1 φορά επώνυμος = ποτέ ανώνυμος)
  5. Απενεργοποίηση της java,javascript,flash,vbscript,activex καθώς και των addons που δεν χρειαζόμαστε εκείνη τη στιγμή
  6. Xρήση firewall και antivirus
  7. Επίσκεψη μόνο των σελιδών που χρειάζεται να επισκεφτούμε (δεν έχει νόημα να παίρνουμε τόσο ακραία μέτρα αν είναι να χαζεύουμε στο internet)

Για τη μέθοδο που μπορεί να ακολουθήσει κάποιος για να αποκτήσει πρόσβαση σε κλειδωμένα ασύρματα δίκτυα, μπορεί να ψάξει στο internet για το πρόγραμμα aircrack. Υπάρχουν πάρα πολλά tutorials(οδηγίες) στο πως μπορεί κανείς να χρησιμοποιήσει αυτό το πρόγραμμα ενώ είναι απαραίτητη η χρήση του λειτουργικού linux. Οδηγίες μπορείτε να βρείτε για παράδειγμα εδώ: https://athens.indymedia.org/front.php3?lang=el&article_id=757090 καθώς και εδώ: https://community.athens.indymedia.org/index.php?action=printpage;topic=341.0

 

Ενώνοντας τα όλα μαζί

Ας δούμε λοιπόν πως συνδυάζονται όλοι οι τρόποι προστασίας ταυτοχρόνως

Πρέπει να γνωρίζουμε ότι τα παρακάτω δημιουργούν μια δικλείδα ασφαλείας στην περίπτωση που θέλουμε να κάνουμε μια συγκεκριμένη πράξη με ανωνυμία και ασφάλεια. Η πράξη μας αυτή θα πρέπει να είναι σαν ξεχωριστή λειτουργία για τον υπολογιστή μας -πράγμα που σημαίνει πως αφού ολοκληρωθεί η πράξη κλείνουμε τον υπολογιστή μας και απομακρυνόμαστε από την περιοχή. Η ολοκλήρωση της χρήσης της δικλείδας ασφαλείας που δημιουργήσαμε, έρχεται με την απόσυρση των βημάτων με τον τρόπο που θα αναφέρουμε στη συνέχεια. Και φυσικά, και εδώ ισχύουν τα όσα αναφέραμε στην εισαγωγή -δηλαδή τίποτα δεν είναι ολοκληρωτική και παντοτινά ασφαλής λύση.

η αφαίρεση ή παραμέληση ενός από τα παρακάτω βήματα
μπορεί να σημαίνει την κατάρρευση όλων των μέτρων που έχουμε πάρει
  1. Χρήση live bootable cd (με προτίμηση σε αυτά που δεν συνδέονται απευθείας στο internet, καθώς αν συνδεθούν αυτόματα, δε θα έχουμε προλάβει να αλλάξουμε τη mac address μας)
  2. Φροντίζουμε να μην είναι συνδεδεμένος οποιοσδήποτε δίσκος δε χρειαζόμαστε. Από τη στιγμή που δε χρειαζόμαστε κάποιον δίσκο γιατί να παίζουμε με την πιθανότητα να γραφτεί σε αυτόν κάτι που δε θέλουμε;
  3. Αν θέλουμε να αποθηκεύσουμε κάτι ενοχοποιητικό, το αποθηκεύουμε κρυπτογραφημένο. Δεν το αποθηκεύουμε σε μη κρυπτογραφημένη μορφή και μετά το αντιγράφουμε κρυπτογραφημένο. Η εξασφάλιση της πλήρους διαγραφής προσωρινών αρχείων απαιτεί χρόνο, οπότε τα πάντα μέσα σε encrypted file container/partion/disk έτσι ώστε ακόμα και όταν ανοίξουμε το αρχείο και δημιουργηθεί το προσωρινό, αυτό να είναι σε κρυπτογραφημένη μορφή. Το προτιμότερο είναι να αποθηκεύουμε σε ξεχωριστό δίσκο(π.χ usb stick) ενοχοποιητικά στοιχεία
  4. Δεν χαρίζουμε metadata. Φροντίζουμε πάντα να τα σβήνουμε.
  5. Διαγράφουμε με ασφάλεια οποιοδήποτε ενοχοποιητικό αρχείο γνωρίζοντας ότι αν το έχουμε ανοίξει στο παρελθόν, κατά πάσα πιθανότητα κάπου στο δίσκο είναι κρυμμένο και ένα αντίγραφό του
  1. Αν όντως χρειαζόμαστε να μπούμε στο internet, τότε:
  • Αλλάζουμε τη MAC address, και αν το επιθυμούμε το host name του υπολογιστή μας
  • Συνδεόμαστε σε κάποιο ανοιχτό ή κλειστό ασύρματο δίκτυο (όχι στο δικό μας)
  • Συνδεόμαστε στο internet για συγκεκριμένο λόγο. Είτε αυτός είναι για να στείλουμε ένα e-mail(κρυπτογραφημένο και ίσως ανώνυμο) είτε για να επικοινωνήσουμε με κάποιον μέσω chat (κρυπτογραφημένα και ίσως ανώνυμα). Δεν συνδεόμαστε στο internet για να χαζέψουμε με τις ώρες.
  • Αν πρέπει να χρησιμοποιήσουμε browser, τον χρησιμοποιούμε πάντα σε private mode έτσι ώστε να μην υπάρχει καν η πιθανότητα εκ παραδρομής να γραφτεί κάτι στο δίσκο μας
  • Ότι κάνουμε, το κάνουμε γρήγορα. Από τη στιγμή που μια παράνομη ενέργεια εντοπιστεί και σημάνει συναγερμός έχουμε λίγο χρόνο για να φύγουμε αν η αστυνομία κινηθεί γρήγορα. Ακόμα και κάνοντας χρήση tor, δεν μπορούμε να είμαστε 100% σίγουροι ότι κατά τη διάρκεια που ήμασταν συνδεδεμένοι δεν προσβληθήκαμε από κάποιο trojan/rootkit που θα πρόδιδε την πραγματική μας θέση
  1. Αφού τελειώσει ο λόγος για τον οποίο ενεργοποιήσαμε τη δικλείδα ασφαλείας:
  • Αποσυνδεόμαστε από το internet. Αν έχουμε laptop που έχει κουμπί ενεργοποίησης της ασύρματης κάρτας δικτύου, την απενεργοποιούμε από το κουμπί για να είμαστε 100% σίγουροι
  • Αφαιρούμε όλους τους συνδεδεμένους δίσκους, ελέγχοντας αν έχουμε αποθηκεύσει όσα χρειαζόμασταν στους δίσκους που θέλαμε. Αν παρατηρήσουμε ότι κάποιο αρχείο είναι ανοιχτό και αυτό δημιούργησε προσωρινό αρχείο σε μη κρυπτογραφημένο δίσκο, αν δεν μπορούμε να το διαγράψουμε με ασφάλεια είτε επειδή δεν επιτρέπεται είτε επειδή το προσέξαμε αφού κλείσαμε το αρχείο και άρα το αντίγραφο έχει σβηστεί, δεν κάνουμε κάτι παραπάνω. Ο χρόνος που θα πάρει για να σιγουρευτούμε ότι το σβησμένο αντίγραφο δεν μπορεί να ανακτηθεί, είναι αρκετός και δεν κυλάει υπέρ μας
  • Σιγουρευόμαστε ότι τα αρχεία μας δεν έχουν metadata. Ακόμα και αν είναι σε κρυπτογραφημένο δίσκο, για ποιο λόγο να κρατάμε metadata αν δε τα χρειαζόμαστε;
  • Κλείνουμε τον υπολογιστή. Σε περίπτωση που συλληφθούμε, προσπαθούμε να καθυστερήσουμε όσο το δυνατόν περισσότερο την απόκτηση του υπολογιστή μας από τις διωκτικές αρχές για να δώσουμε περισσότερο χρόνο στη RAM να κρυώσει και να σβηστούν τα περιεχόμενά της.

 

Επίλογος

Προσπαθήσαμε να εξηγήσουμε όσο πιο συνοπτικά και περιληπτικά γινόταν, τις μεθόδους που χρησιμοποιεί η αστυνομία για ένα forensic έλεγχο σε υπολογιστές καθώς και για τις μεθόδους υποκλοπών που χρησιμοποιεί για την κινητή τηλεφωνία. Σίγουρα δεν καλύψαμε τα πάντα, καθώς κάτι τέτοιο θα απαιτούσε την έκδοση ενός ογκωδέστατου βιβλίου και πολλαπλάσια σε χρόνο και βάθος έρευνα. Προσπαθήσαμε επίσης να προσφέρουμε κάποιες λύσεις που είτε θα καταστήσουν τις forensic μεθόδους  άχρηστες, είτε θα τις καθυστερήσουν σε μεγάλο βαθμό. Οι λύσεις αυτές δεν είναι ούτε απόλυτες, ούτε θα ισχύουν για πάντα. Ο κλάδος των forensics αναπτύσσεται τα τελευταία χρόνια εξαιτίας της “εισβολής” των υπολογιστών στην καθημερινή μας ζωή. Το ίδιο γίνεται όμως και με τον κλάδο των antiforensics. Το καλύτερο, είναι να αποφεύγουμε τη χρήση των υπολογιστών στις περιπτώσεις όπου αυτό είναι δυνατό, για να είμαστε 100% σίγουροι. Θα γίνει μια προσπάθεια να ανανεώνεται η συγκεκριμένη έκδοση, όποτε αυτό κρίνεται απαραίτητο. Κάποιες χρήσιμες ιστοσελίδες που δεν αναφέρθηκαν παραπάνω, αλλά αποτελούν ένα χρήσιμο ανάγνωσμα για τον κλάδο των antiforensics καθώς και για την ασφάλεια και ανωνυμία είναι οι παρακάτω:

http://ht4w.co.uk

http://antiforensics.net

http://www.eff.org

https://ssd.eff.org

http://www.forensicswiki.org/wiki/Anti-forensic_techniques

http://www.anti-forensics.com

http://activistsecurity.org

the lair of antiforensics

css.php