안티컴퓨터 포렌식

Anti–computer forensics

반컴퓨터 포렌식 또는 반포렌식 법의학 분석을 방해하기 위해 사용되는 기술입니다.

정의.

반 법의학은 최근에야 합법적인 연구 분야로 인식되었습니다.

더 널리 알려져 있고 받아들여지는 정의 중 하나는 2002년 프랙 매거진에서 안티포렌식에 대한 가장 초기의 상세한 프레젠테이션 중 하나인 마크 로저스에서 비롯되며 안티포렌식을 "포렌식 [1]조사의 효과를 완화하기 위한 시도로 증거를 제거하거나 숨기는 것"으로 정의합니다.

더 간략화된 정의는 Scott Berinato에 의해 Anti-Forenics의 부상이라는 제목의 그의 기사에서 제공됩니다."안티포렌식은 기술 그 이상입니다.범죄 해킹에 대한 접근법은 다음과 같이 요약할 수 있습니다: 그들이 당신을 찾는 것을 어렵게 하고 그들이 [2]당신을 발견했다는 것을 증명하는 것이 불가능하게 하라."두 저자 모두 개인 데이터의 프라이버시를 보장하기 위해 포렌식 방지 방법을 사용하는 것을 고려하지 않습니다.

하위 범주

안티포렌식 방법은 다양한 도구와 기술의 분류를 더 쉽게 하기 위해 종종 몇 가지 하위 범주로 나뉩니다.보다 널리 인정되는 하위 범주 분류 중 하나는 Marcus Rogers 박사에 의해 개발되었습니다.그는 다음과 같은 하위 범주를 제안했습니다. 데이터 숨기기, 아티팩트 삭제, 추적 난독화 및 CF([3]컴퓨터 포렌식) 프로세스 및 도구에 대한 공격입니다.포렌식 도구에 대한 직접적인 공격을 [4]반포렌식이라고도 합니다.

목적 및 목표

디지털 포렌식 분야에서는 안티포렌식 방법의 목적과 목표에 대해 많은 논쟁이 있습니다.안티포렌식 도구는 의도와 디자인 면에서 순전히 악의적이라는 이 통념입니다.다른 사람들은 이러한 도구가 디지털 법의학 절차, 디지털 법의학 도구 및 법의학 검사자 교육의 결함을 설명하는 데 사용되어야 한다고 생각합니다.이러한 정서는 2005년 Blackhat Conference에서 반 포렌식 도구 저자인 James Foster와 Vinnie [5]Liu에 의해 반영되었습니다.그들은 이러한 문제들을 폭로함으로써, 법의학 수사관들은 수집된 증거가 정확하고 신뢰할 수 있다는 것을 증명하기 위해 더 열심히 노력해야 할 것이라고 말했습니다.그들은 이것이 법의학 검사관에게 더 나은 도구와 교육을 가져다 줄 것이라고 믿고 있습니다.또한 법의학 도구를 사용하여 정보를 복구하는 것은 수사관뿐만 아니라 스파이의 목표에도 동일하게 기여하기 때문에 반법의학은 스파이로부터 방어하는 데 중요합니다.

데이터 숨기기

데이터 숨기기는 데이터를 찾기 어렵게 만드는 동시에 나중에 사용할 수 있도록 액세스할 수 있도록 유지하는 프로세스입니다."데이터의 모호성과 암호화는 공격자에게 수사관의 식별과 증거 수집을 제한하는 동시에 자신의 [6]접근과 사용을 허용할 수 있는 능력을 제공합니다."

보다 일반적인 형태의 데이터 은닉에는 암호화, 스테가노그래피 및 기타 다양한 형태의 하드웨어/소프트웨어 기반 데이터 은닉이 포함됩니다.각각 다른 데이터 숨기기 방법은 디지털 포렌식 검사를 어렵게 만듭니다.서로 다른 데이터 숨기기 방법을 결합하면 성공적인 법의학 조사를 거의 불가능하게 만들 수 있습니다.

암호화

컴퓨터 포렌식을 물리치기 위해 가장 일반적으로 사용되는 기술 중 하나는 데이터 암호화입니다.암호화 및 안티포렌식 방법론에 대한 프레젠테이션에서 Secure Computing의 부사장인 Paul Henry는 암호화를 "포렌식 전문가의 악몽"[7]이라고 언급했습니다.

공개적으로 사용할 수 있는 대부분의 암호화 프로그램을 사용하면 지정된 키로만 열 수 있는 가상 암호화 디스크를 만들 수 있습니다.이러한 프로그램은 최신 암호화 알고리즘과 다양한 암호화 기술을 사용하여 지정된 키 없이 데이터를 읽는 것을 사실상 불가능하게 만듭니다.

파일 수준 암호화는 파일 내용만 암호화합니다.이렇게 하면 파일 이름, 크기 및 타임스탬프와 같은 중요한 정보가 암호화되지 않습니다.파일 내용의 일부는 임시 파일, 스왑 파일 및 삭제된 암호화되지 않은 복사본과 같은 다른 위치에서 재구성할 수 있습니다.

대부분의 암호화 프로그램에는 디지털 포렌식 작업을 점점 더 어렵게 만드는 여러 가지 추가 기능을 수행할 수 있는 기능이 있습니다.이러한 기능에는 키 파일 사용, 전체 볼륨 암호화 및 타당한 거부 기능이 포함됩니다.이러한 기능을 포함하는 소프트웨어의 광범위한 가용성은 디지털 포렌식 분야를 매우 불리하게 만들었습니다.

스테가노그래피

스테가노그래피(Steganography)는 정보나 파일을 다른 파일 안에 숨겨 데이터를 일반적인 시각에 숨겨두는 기술입니다."스테가노그래피는 일반적으로 빛 데이터(예: 디지털 사진에 묻혀 있는 감지할 수 없는 디지털 워터마크)[8] 안에 묻혀 있는 어두운 데이터를 생성합니다."일부 전문가들은 스테가노그래피 기술의 사용이 그다지 널리 퍼져 있지 않기 때문에 이 주제에 대해 많은 생각을 해서는 안 된다고 주장해왔지만, 대부분의 전문가들은 스테가노그래피가 올바르게 [2]사용될 때 법의학 과정을 방해하는 능력이 있다는 것에 동의합니다.

제프리 카에 따르면 2007년 테크니컬 무자히드(매달 테러 간행물)는 무자헤딘의 비밀이라고 불리는 스테가노그래피 프로그램을 사용하는 것의 중요성을 설명했습니다.Carr에 따르면, 이 프로그램은 사용자에게 현재 스테가날리시스 프로그램에 의한 탐지를 피할 수 있는 기능을 제공한다고 선전되었습니다.파일 [9]압축과 함께 스테가노그래피를 사용하여 이러한 작업을 수행했습니다.

다른 형태의 데이터 숨기기

다른 형태의 데이터 숨기기에는 컴퓨터 시스템의 다양한 위치에 걸쳐 데이터를 숨기기 위한 도구 및 기술 사용이 포함됩니다.이러한 위치에는 "메모리, 여유 공간, 숨겨진 디렉터리, 불량 블록, 대체 데이터 스트림, 숨겨진 파티션"[3]이 포함될 수 있습니다.

데이터 숨기기에 자주 사용되는 잘 알려진 도구 중 하나는 슬랙(Metasploit [10]프레임워크의 일부)이라고 합니다.Slacker는 파일을 분할하고 해당 파일의 각 조각을 다른 파일의 느슨한 공간에 배치하여 법의학 [8]검사 소프트웨어로부터 숨깁니다.또 다른 데이터 숨기기 기술에는 불량 섹터의 사용이 포함됩니다.이 기술을 수행하기 위해 사용자는 특정 섹터를 양호한 섹터에서 불량 섹터로 변경한 다음 해당 클러스터에 데이터를 배치합니다.법의학적 검사 도구는 이러한 군집을 불량으로 간주하고 [8]내용을 검사하지 않고 계속 진행할 것이라는 믿음이 있습니다.

아티팩트 지우기

참고 항목: 데이터 삭제

아티팩트 지우기에 사용되는 방법은 특정 파일 또는 전체 파일 시스템을 영구적으로 제거하는 작업입니다.이는 디스크 청소 유틸리티, 파일 삭제 유틸리티 및 디스크 디가우스/[3]파괴 기술을 포함한 다양한 방법을 사용하여 수행할 수 있습니다.

디스크 정리 유틸리티

디스크 클리닝 유틸리티는 다양한 방법을 사용하여 디스크의 기존 데이터를 덮어씁니다(데이터 잔여량 참조).안티포렌식 도구로서의 디스크 청소 유틸리티의 효율성은 일부에서는 완전히 효과적이지 않다고 생각하기 때문에 종종 문제가 되고 있습니다.디스크 정리 유틸리티가 디스크 정리에 허용될 수 있다고 생각하지 않는 전문가들은 현재의 DOD 정책에 대한 의견을 바탕으로 정리할 수 있는 유일한 형태는 디가우싱(degausing)이라고 말합니다(국가 산업 보안 프로그램 참조).디스크 정리 유틸리티는 파일 시스템이 삭제되었다는 서명을 남기기 때문에 비판을 받기도 합니다. 이러한 서명은 허용되지 않는 경우도 있습니다.널리 사용되는 디스크 클리닝 유틸리티에는 DBAN, srm, BCWipe Total WipeOut, KillDisk, PC Inspector 및 CyberScrubs cyberCide가 포함됩니다.NISTNSA에 의해 승인된 또 다른 옵션은 ATA 사양에 내장된 Secure Erase 명령을 사용하는 CMRR Secure Erase입니다.

파일 삭제 유틸리티

파일 지우기 유틸리티는 운영 체제에서 개별 파일을 삭제하는 데 사용됩니다.파일 삭제 유틸리티의 장점은 훨씬 더 오래 걸리는 디스크 정리 유틸리티와 달리 비교적 짧은 시간에 작업을 완료할 수 있다는 것입니다.파일 지우기 유틸리티의 또 다른 장점은 일반적으로 디스크 지우기 유틸리티보다 훨씬 작은 서명을 남긴다는 것입니다.파일 삭제 유틸리티에는 두 가지 주요 단점이 있습니다. 첫째, 사용자가 프로세스에 참여해야 하고 둘째, 일부 전문가들은 파일 삭제 프로그램이 항상 정확하고 완전히 파일 [11][12]정보를 삭제하지는 않는다고 생각합니다.널리 사용되는 파일 삭제 유틸리티에는 BCWipe, R-Wipe & Clean, Eavita Wipe & Delete, CyberScrubs Privacy Suite 등이 있습니다.sled srm과 같은 Linux 툴에서는 단일 [13][14]파일을 삭제하는 데도 사용할 수 있습니다. SSD는 펌웨어가 다른 셀에 쓸 수 있어 데이터 복구가 가능하기 때문에 삭제하기가 더 어렵습니다.이러한 경우에는 전체 드라이브에서 ATA Secure [15]Erase를 지원하는 hdparm과 같은 도구를 사용해야 합니다.

디스크 디가우싱/파괴 기술

디스크 디가우싱은 자기장이 디지털 미디어 장치에 적용되는 프로세스입니다.그 결과 이전에 저장된 모든 데이터가 완전히 삭제된 장치가 됩니다.디가우싱은 데이터 삭제를 보장하는 효과적인 수단임에도 불구하고 안티포렌식 방법으로 거의 사용되지 않습니다.이는 일반 소비자들이 감당하기 어려운 기계의 소자 비용이 높기 때문으로 풀이됩니다.

데이터 삭제를 보장하기 위해 더 일반적으로 사용되는 기술은 장치의 물리적 파괴입니다.NIST는 "물리적 파괴는 분해, 소각, 분쇄, 분쇄 및 [16]용해를 포함한 다양한 방법을 사용하여 수행할 수 있다"고 권장합니다.

추적 난독화

추적 난독화의 목적은 법의학적 검사 과정을 혼란스럽게 하고 방향을 흐리게 하며 우회시키는 것입니다.추적 난독화는 "로그 클리너, 스푸핑, 잘못된 정보, 백본 호핑, 좀비화된 계정, 트로이 목마 명령"[3]을 포함하는 다양한 기술과 도구를 포함합니다.

널리 알려진 추적 난독화 도구 중 하나는 Timesomp(Metasploit [10]Framework의 일부)입니다.Timesomp는 사용자에게 액세스, 생성 및 수정 시간/[2]날짜와 관련된 파일 메타데이터를 수정할 수 있는 기능을 제공합니다.사용자는 Timesomp와 같은 프로그램을 사용하여 파일의 [citation needed]신뢰성에 직접 의문을 제기하여 합법적인 환경에서 사용할 수 없는 파일을 만들 수 있습니다.

또 다른 잘 알려진 추적 해독 프로그램은 Transmogrify(Metasploit [10]Framework의 일부이기도 함)입니다.대부분의 파일 형식에서 파일의 헤더는 식별 정보를 포함합니다.(.jpg)에는 (.jpg)로 식별되는 헤더 정보가 있고, (.doc)에는 (.doc)으로 식별되는 정보가 있습니다.사용자는 (.jpg) 헤더를 (.doc) 헤더로 변경할 수 있도록 파일의 헤더 정보를 변경할 수 있습니다.포렌식 검사 프로그램 또는 운영 체제가 컴퓨터에서 이미지 검색을 수행하는 경우에는 (.doc) 파일을 보고 [2]건너뜁니다.

컴퓨터 포렌식에 대한 공격

과거에 안티포렌식 도구는 데이터를 파괴하거나 데이터를 숨기거나 데이터 사용 정보를 변경하여 법의학 프로세스를 공격하는 데 중점을 두었습니다.안티포렌식은 최근 검사를 수행하는 법의학 도구를 공격하는 데 도구와 기술이 집중되는 새로운 영역으로 이동했습니다.이러한 새로운 안티포렌식 방법은 잘 문서화된 포렌식 검사 절차, 널리 알려진 포렌식 도구 취약성, 디지털 포렌식 [3]검사관의 도구에 대한 과도한 의존도를 포함하는 많은 요인의 혜택을 받았습니다.

일반적인 법의학 검사 중에 검사관은 컴퓨터 디스크의 이미지를 만듭니다.이렇게 하면 원래 컴퓨터(증거)가 법의학 도구에 의해 오염되는 것을 방지할 수 있습니다.해시는 이미지의 무결성을 확인하기 위해 법의학 검사 소프트웨어에서 생성됩니다.최근의 안티툴 기술 중 하나는 이미지를 확인하기 위해 생성된 해시의 무결성을 대상으로 합니다.해시의 무결성에 영향을 줌으로써 후속 조사에서 수집된 모든 증거에 [3]이의를 제기할 수 있습니다.

물리적.

컴퓨터 전원이 켜져 있는 동안(예를 들어 손에 쥐고 가는 절도 및 법 집행 기관의 압수) 데이터에 대한 물리적 액세스를 방지하기 위해 다음과 같은 다양한 솔루션을 구현할 수 있습니다.

  • USB Guard 또는 USBKill과 같은 소프트웨어 프레임워크는 USB 권한 부여 정책 및 사용 방법 정책을 구현합니다.USB 장치를 삽입 또는 제거하여 소프트웨어가 트리거된 경우 특정 작업을 [17]수행할 수 있습니다.실크로드관리자인 Ross Ulbricht체포된 후 소유자가 컴퓨터를 종료할 때 컴퓨터를 압수하는 것을 감지하기 위한 여러 개념 증명 포렌식 도구가 생성되었습니다. 따라서 전체 디스크 암호화를 [18][19]사용할 경우 데이터에 액세스할 수 없게 됩니다.
  • Kensington 보안 슬롯을 사용하여 기회주의적 도둑의 도난을 방지하는 하드웨어 케이블 앵커.
  • 배출 시 데이터를 잠그거나 종료 또는 삭제하는 BusKill과 같은 하드웨어 킬 케이블
  • 컴퓨터 케이스 또는 폭발물이 장착된 센서(: 광검출기)의 섀시 침입 탐지 기능 사용.일부 관할 구역에서는 이 방법이 권한 없는 사용자를 심각하게 불구로 만들거나 죽일 수 있으며 [20]증거를 인멸하는 것으로 구성될 수 있으므로 불법일 수 있습니다.
  • 전원 공급 장치에 연결된 상태에서만 작동하도록 노트북에서 배터리를 제거할 수 있습니다.케이블을 분리하면 컴퓨터가 즉시 종료되어 데이터가 손실됩니다.그러나 전력 서지의 경우 동일한 현상이 발생합니다.

이러한 방법 중 일부는 컴퓨터를 종료하는 데 의존하는 반면, 데이터는 몇 초에서 몇 분까지 RAM에 보존되어 이론적으로 콜드 부팅 [21][22][23]공격을 허용할 수 있습니다.RAM을 저온에서 동결하는 것은 이번에 더 연장될 수 있으며 야생에 대한 일부 공격이 [24]목격되었습니다.이 공격에 대응하는 방법이 있으며 종료하기 전에 메모리를 덮어쓸 수 있습니다.일부 포렌식 방지 도구는 RAM의 온도를 감지하여 특정 [25][26]임계값 미만일 때 종료를 수행하기도 합니다.

변조에 강한 데스크톱 컴퓨터를 만들기 위한 시도가 이루어졌습니다(2020년 기준, ORL 모델은 가장 좋은 예 중 하나입니다).그러나 이 특정 모델의 보안은 보안 연구원이자 Qubes OS 설립자인 Joanna Rutkowska[27]의해 논의되고 있습니다.

범죄자 사용

안티포렌식의 연구와 적용은 일반적으로 적(예: 조사 기자, 인권 옹호자, 활동가, 기업 또는 정부 스파이)에 의한 기밀 데이터의 법의학 공격으로부터 사용자를 보호할 수 있습니다.퍼듀 대학의 맥 로저스는 범죄자들도 법의학적인 도구를 사용할 수 있다고 지적합니다.

Rogers는 안티포렌식을 정의할 때 더 전통적인 "범죄 현장" 접근법을 사용합니다."범죄 현장의 증거의 존재, 양 및/또는 질에 부정적인 영향을 미치거나 증거의 분석 및 조사를 [3]수행하기 어렵거나 불가능하게 하려는 시도."

안티포렌식의 효과

안티포렌식 방법은 인간 요소, 도구에 대한 의존성, 컴퓨터의 [28]물리적/논리적 한계 등 법의학 프로세스의 몇 가지 약점에 의존합니다.검사자는 이러한 약점에 대한 법의학 프로세스의 취약성을 줄임으로써 안티포렌식 방법이 성공적으로 [28]조사에 영향을 미칠 가능성을 줄일 수 있습니다.이 작업은 조사자에 대한 교육을 강화하고 여러 도구를 사용하여 결과를 확인함으로써 수행될 수 있습니다.

참고 항목

참고 사항 및 참조 사항

  1. ^ 그루크 (2002). "Defeating Forensic Analysis on Unix". Retrieved 2019-09-06. 프랙 매거진.
  2. ^ a b c d Berinato, S. (2007).안티 포렌식의 부상.2008년 4월 19일 CSO Online에서 검색됨: http://www.csoonline.com/article/221208/The_Rise_of_Anti_Forensics
  3. ^ a b c d e f g 로저스, D. M. (2005).록히드 마틴에게 반 포렌식 프레젠테이션이 주어졌습니다.샌디에고.
  4. ^ 하틀리, W. 매튜(2007).디지털 포렌식에 대한 현재 및 미래의 위협."Archived copy" (PDF). Archived from the original (PDF) on 2011-07-22. Retrieved 2010-06-02.{{cite web}}CS1 유지보수: 제목으로 보관된 복사본(링크)
  5. ^ "Black Hat USA 2005 – Catch Me If You Can – 27July2005". Foster, J. C., & Liu, V. (2005). Retrieved 11 January 2016.
  6. ^ 페론, C.S.J. (n.a.)디지털 포렌식:데이터 변환 기술의 새로운 동향.Seccuris에서: http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdf 웨이백 머신에서 2008-08-19 보관.
  7. ^ 헨리, P. A. (2006).Anti-Forenics를 통한 보안 컴퓨팅 [Layer One 비디오 파일].https://www.youtube.com/watch?v=q9VUbiFdx7w&t=2m18s 에서 검색됨
  8. ^ a b c Berghel, H. (2007 / 제50권, 제4호)데이터 숨기기, 포렌식 및 안티포렌식.ACM의 통신, 15-20.
  9. ^ Carr, J. (2007).지하디스트 웹사이트에서 사용하는 반 포렌식 방법.2008년 4월 21일 eSecurityPlanet에서 검색됨: http://www.esecurityplanet.com/prevention/article.php/3694711 2012-07-30 아카이브.today.
  10. ^ a b c "Metasploit Anti-Forensics Project (MAFIA) - Bishop Fox". Vincent Liu. Retrieved 11 January 2016.
  11. ^ "Myths about Disk Wiping and Solid State Drives". 3 December 2012.
  12. ^ "What is Data Destruction, the Best Ways to Erase Your Data Securely". 13 January 2020.
  13. ^ "Shred(1) - Linux man page".
  14. ^ "Ubuntu Manpage: SRM - secure remove (Secure_deletion toolkit)". Archived from the original on 2017-08-29. Retrieved 2020-05-15.
  15. ^ "Secure Erase and wipe your SSD, will it work?". 23 March 2017.
  16. ^ 키셀, R., 숄, M., 스콜로첸코, S., & Li, X. (2006)미디어 검사 지침입니다.Gaithersburg: 국립 표준 기술 연구소의 컴퓨터 보안 부서.
  17. ^ "USBGuard". GitHub. 12 February 2022.
  18. ^ "Hephaest0s/Usbkill". GitHub. 12 February 2022.
  19. ^ "Silk-guardian". GitHub. 19 January 2022.
  20. ^ "Destruction of Evidence Law and Legal Definition USLegal, Inc".
  21. ^ https://www.usenix.org/legacy/event/sec08/tech/full_papers/halderman/halderman.pdf[베어 URL PDF]
  22. ^ 기사 제목 웨이백[bare URL PDF] 머신에서 2020-07-22 보관.
  23. ^ "Archived copy" (PDF). Archived from the original (PDF) on 2020-09-18. Retrieved 2020-05-15.{{cite web}}CS1 유지보수: 제목으로 보관된 복사본(링크)
  24. ^ "Cold boot".
  25. ^ "Protect Linux from cold boot attacks with TRESOR Linuxaria".
  26. ^ "Tails - Protection against cold boot attacks".
  27. ^ "Thoughts on the "physically secure" ORWL computer the Invisible Things".
  28. ^ a b Harris, R. (2006).반 포렌식 합의 도출: 반 포렌식 문제를 정의하고 제어하는 방법 검토.2010년 12월 9일 검색 위치: http://www.dfrws.org/2006/proceedings/6-Harris.pdf 웨이백 머신에서 2012-03-14 보관.

외부 링크