В продолжение темы по анонимным браузерам …

Кэш браузера или Как была доказана твоя вина …

Введение

Наверное, ты не раз слышал рассказы о том, как сотрудники правоохранительных органов, ворвавшись в квартиру очередного не сложившегося хакера, проводят задержание, приглашают понятых, составляют протокол, опечатывают и забирают рабочую станцию хакера с собой на экспертизу. Многие даже подсмеиваются над компетентностью наших сотрудников управления «К», приводя как доказательство только тот факт, что зачастую вместе с системным блоком сотрудники милиции забирают и клавиатуру и монитор. На это можно ответить тем, что изымают технику рядовые сотрудники милиции, зачастую имеющие далёкое представление о компьютерах, и, как правило, помимо того, что бы доставить компьютер хакера в отделение, для проведения экспертизы, у них ещё есть куча нераскрытых дел – так что церемониться с какой то железкой им просто без надобности. Работает русский менталитет: «Мы возьмём всё – а там разберутся». Про весь этот процесс наслышаны все, а вот что происходит далее на той самой экспертизе, тем самым «некомпетентным» специалистом известно далеко не всем. В данной статье будет рассмотрен один из аспектов работы эксперта по добычи нужной информации, которая позже может быть приобщена к уголовному делу, и быть использована против хакера в суде.

Ситуация

5 августа 2005 года, в 8.25 утра сотрудник конструкторского отдела крупнейшей волгоградской строительной компании «Волго-Строй» Краснокутский М.Ю. только что закончил свой проект нового девяти этажного дома в центре Волгограда и решил загрузить все данные на информационный сервер компании, предоставленной фирмой «Волго-Хост». Но не смог – сообщение об ошибке гласило: «Достигнут лимит свободного места. Пожалуйста, свяжитесь с вашим системным администратором» Что Краснокутский и сделал, немедленно позвонив Иванову Д.И., работавшему системным администратором в компании «Волго-Строй».
Но к удивлению Краснокутского, их системного администратора не оказалось на месте – автоответчик в его офисе пропищал: «Уехал в Турцию в отпуск. Буду через 2 недели.» После того как был послан запрос к «Волго-Хост» по поводу не хватки свободного места и позже получен ответ – директор компании с ужасом узнал, что на их сервере в папке их системного администратора обнаружено более 300 GB музыки, недавно выпущенных фильмов и программ, а также детской порнографии. Компании было предъявлено обвинение в незаконном хранении пиратской продукции и возбуждено уголовное дело. Расследование было передано в одно из отделений управления «N».

Расследование

Любое расследование начинается со «знакомства» с подозреваемыми. В нашем случае главным подозреваемым является системный администратор «Волго-Строй» Иванов. Эксперту придется установить его круг общения, род занятий и интересов. Зачастую начальной точкой в расследовании служит та среда, где подозреваемый проводит большую часть своего времени, а для нас же – это непосредственно Интернет. Исследуя интернет активность подозреваемого, эксперт в первую очередь изучает историю и кэш браузеров. На машине Иванова были установлены Internet Explorer (IE) и Mozilla FireFox (FF). Эксперт решил начать расследование с IE.

Microsoft’s Internet Explorer (IE)

Данный браузер установлен по умолчанию во все windows системах. IE по умолчанию кэширует (сохраняет содержимое веб-страниц, просмотренных вами на жёсткий диск, во избежание их повторной загрузки). Храниться кэш для каждого пользователя в отдельном профайле по адресу:
С:Documents and SettingsivanovLocal SettingsTemporary Internet FilesContent.IE5
Внутри директории Content.IE5 содержаться дополнительные папки со «случайно» сгенерированными именами, в которых храниться информация о посещение того или иного веб ресурса. Помимо кэша существует ещё два дополнительных хранилища информации об активности пользователя. Это History, где храниться URL и дата его посещения. History храниться по адресу: C:Documents and SettingsivanovLocal SettingsHistoryHistory.IE5
Также браузер сохраняет полученные пользователем Cookies, содержащие дополнительную информацию. C:Documents and SettingsivanovCookies
Эксперт, проводящий анализ проверит все три директории, но зачастую более ценной информацией обладает именно хранилище кэша. Внутри директории Content.IE5 содержится файл index.dat, в котором и содержится интересующая нас информация. После его расшифровки у нас будет возможность просматривать те же страницы, что и Иванов. И следуя из этого уже можно будет составить первое представление о подозреваемом. Файл index.dat зашифрован по специальному алгоритму, разработанному Microsoft.

Mozilla FireFox (FF)

Вторым браузером, установленным в системе Иванова был Mozilla FireFox. Он также как IE сохраняет информацию об интернет активности пользователя.
Стоит сказать, что FF использует особый алгоритм кэширования страниц. Директория, в которой непосредственно храниться интересующая нас информация: C:Documents and Settings<пользователь>Application DataMozillaFireFoxProfiles<случайный текст>Cache
Для обоих типов браузеров процесс реконструкции закэшированных файлов и есть главная задача эксперта. Для этой цели существует ряд программ анализирующих файлы index.dat и history.dat и извлекающие оттуда всю максимально полезную информацию. После завершения реконструкции веб-страниц эксперт начнёт проводить анализ добытых им сведений.

Реконструкция и последующий анализ

Для реконструкции закэшированных файлов можно воспользоваться утилитой Web Historian либо FTK. Главной особенностью данных программ является то, что они поддерживают следующие браузеры: Internet Explorer, Mozilla FireFox, Netscape, Opera и позволяют предоставлять отчет, как в виде текстового файла, так и в html. После того как будет получен окончательный отчёт и начинается всё самое интересное. Перед экспертом теперь стоит нелёгкая задача из всей кучи страниц отфильтровать и рассмотреть те, которые непосредственно связанны с данным делом.

Анализ данных, полученных при реконструкции кэша в IE

Среди сотни страниц, сохранённых браузером, следователю удалось выявить следующие, довольно интересные моменты:
1) Системный администратор Иванов, пользовался бесплатной почтой hotmail и имел аккаунт
[email protected]. Открыв страницу из кэша – следователь увидел папку inbox его почтового ящика – никаких «интересных» для следствия писем обнаружено не было.
2) Иванов бывал в онлайн магазине ozone.ru причём делал запросы на литературу подходящую в разряд «Hacking».
3) Имел аккаунты на различных форумах security тематики. Но был не очень активен. По количеству постов, можно было сказать, что он предпочитал читать посты других и не участвовать в дискуссиях. По просматриваемым темам он больше всего интересовался сетевыми аспектами.
4) Были найдены кэши страниц сайтов по поиску крэков. В основном Иванов делал запросы на редкий софт, скорее всего, поэтому на его запросы не было результатов.
5) По просмотру страниц яндекса, Иванов, в последнее время, искал информацию о Турции: достопримечательности, отели, отдых.
6) Он имел аккаунт на платном порно сервере.
Помимо данной информации следователь также располагал точной датой посещения той или иной страницы. Первый этап исследования кэша был завершён, но информации все ещё было не достаточно, для того чтобы сделать хоть какие-нибудь выводы по поводу личности Иванова.

Анализ данных, полученных при реконструкции кэша в FF

При работе с кэшем FF использовалась программа Cache View. Размер закэшированных файлов был намного меньше, чем в случае с IE, видимо Иванов предпочитал его FF. Сравнительно не большой объём страниц позволил следователю более подробно ознакомиться с доступной информацией. Вследствие чего было выявлено два ключевых момента:
1) Была обнаружена страница форума одного из врезных порталов. Причём просматривалась ветка для администрации.
2) Также была обнаружена ещё одна страница с hotmail, но только залогиненный пользователь был не ivanov1975. Некто Дмитрий, имевший аккаунт [email protected] получил письмо от человека [email protected]. Изучение содержимого письма, сохранившегося в кэше расставило все точки над i.
B переслал Дмитрию логин и пароль системного администратора Иванова и реквизиты аккаунта, который требовалось создать.

Использование полученной информации при дальнейшем расследовании

На следующий день в офисе компании «Волго-Строй» были опрошены все сотрудники и по результатам их ответов установили, что: Дмитрий был студентом, устроившимся на работу в компанию не задолго до отпуска Иванова. Было установлено место проживания Дмитрия.
Составляя своё заключение, следователь учёл всё добытую информацию с компьютера Иванова. Анализ же жёсткого диска Дмитрия и тщательное изучение кэша, истории браузеров, логов его ICQ, удалённых файлов, и дополнительной информации подтвердил причастность Дмитрия к совершённому преступлению, а также дополнительно установил его причастность к группе madwarez.com, которая использовала сервер компании «Волго-Строй» как хранилище запрещённой информации. Для получения доступа, к которому хакерам необходимо было знать не только логин и пароль администратора, но и иметь физический доступ к компьютеру Иванова, так как для авторизации на сервере был необходим специальный файл-ключ, с распределёнными привилегиями, находившийся только на жёстком диске администратора.
Вся добытая информация с обоих компьютеров была приобщена к делу. После чего Дмитрию зачитали приговор.

В заключении

Все события, изложенные в данной статье являются вымышленным. Любое совпадение имен и названий компаний является неумышленным. Единственной задачей стоявшей передо мной, при написании данного текста, было показать вам, что, казалось бы, такие незначительные вещи как кэш могут дать опору следователям для дальнейших действий. В настоящее время, особенно в Российском сегменте существует поверие, что такая информация не может быть использована в качестве улики или вообще оглашена при судебном разбирательстве. Может вы и правы, и пока соответствующий закон ещё не был подписан, но я больше чем уверен, что и его время стремительно приближается.
Живя в Соединённых Штатах, мне довелось пообщаться со специалистом по расследованиям преступлений в IT сфере. Именно она и поведала мне о некоторых методах выявления интересующей следствие информации. На мой удивлённый вопрос: «И что всё это является уликами и может быть рассмотрено в суде?» Кейт улыбнулась и спокойно ответила: «А разве у вас в стране по-другому?».
Единственный и необходимый вывод из всего выше изложенного – это то, что нужно намного серьёзнее относиться к той информации, которая создается без вашего ведома, к тем вещам, к которым все так привыкли, и никто не ставит вопрос об их надёжности.

Программы, упоминавшиеся в статье:
Cache View – http://www.progsoc.uts.edu.au/~timj/cv/dl/cview260.zip
Web Historian – http://software-files.download.com/…8 … d=10373157
FTK – http://www.accessdata.com/Product04…m?ProductNum=04

PS^ Данная статья мной лишь отредактирована.

Copyright (C) 2005 MorpheuS"

Оставьте комментарий